图文说明：http://tinyurl.com/4tfdd2 目前使用者经常利用USB储存装置(USB随身碟、大拇哥、USB外接式 硬碟机) 进行备份资料或资料传递、交换，然而USB储存装置具有 可能导致散播恶意程式的风险。已知目前有许多恶意程式会利用微 软Windows作业系统中提供之「装置自动执行(Autoruns)」功能进 行散播。此类利用USB储存装置进行散播的恶意程式被称为「USB蠕 虫 (USB Worm)」。 使用受「USB Worm」感染之USB储存装置至其他电脑交换资料时，可 能感染其他电脑。在受感染的电脑上使用USB储存装置也可能使正常 的USB储存装置成为带原体，进而成为散播恶意程式的帮凶。 在技术细节上，「USB Worm」会在磁碟装置根目录中写入一个autorun.inf 档案，当使用者插入该磁碟装置，并从桌面「我的电脑」点选进入 该磁碟代号时，预设情况下作业系统会自动读取autorun.inf并执行 autorun.inf中所指定的恶意程式，进而使恶意程式感染电脑。 关闭作业系统装置自动执行功能可以降低此威胁的风险，而目前网路 上常见关闭作业系统装置「自动播放」功能的防护方法并无法彻底根 绝此威胁的发生。本资安讯息提供另一种关闭装置自动执行的设定方 式供各单位於USB蠕虫威胁防护之参考。 甲胖PS：目前「关闭自动播放」、「shift 键开启随身碟」、「机码 启动随身碟的唯读功能」或「随身碟磁区上右键开启档案总管」等USB 防护已被证实属於无效防范，请参考OSSF::自由软体铸造场(Open Source Software Foundry)「避免随身碟病毒，只需 1 招」一文。 主要原理： 对HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion \Explorer\MountPoints2 机码之Everyone 的权限进行限制，USB 装 置仍可以正常使用，但不会再执行autorun.inf 档中的设定。以下说 明的设定方式只针对目前登入电脑的使用者，若同部电脑下以不同的 使用者帐号登入，则须以相同之步骤进行设定。本方法设定後无须重 新开机，即刻生效。 以下针对关闭自动执行功能提供二种设定方法，分别为利用工具修改 及手动修改： 方法一 (手动设定修改)： 步骤１、於「开始/执行」中执行regedit，进入登录编辑程式。 步骤２、找到机码名称: HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion \Explorer\MountPoints2 步骤３、点选该机码，按右键选择「使用权限」。 步骤４、新增使用者Everyone。 步骤５、设定使用者Everyone 的完全控制权限为「拒绝」，选取 「套用」＼「确定」後离开。 还原设定： 如果要回复设定，请依照步骤1-3，再移除 Everyone 使用者，按 「套用」＼「确定」离开後即可。 方法二 (利用工具修改)： 本方法适合应用於自动化大量部署，可应用於网域登录程序档 (Login Script)，於使用者登入网域时自动进行设定。 步骤１、下载Windows Resource Kit Tools SubInACL.exe工具 步骤２、安装完成後，於「开始/执行」中执行cmd，进入命令列模式。 步骤３、进入SubInACL 工具路径，预设安装路径为C:\Program Files \Windows Resource Kits\Tools。 步骤４、执行以下指令: SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 /deny=everyone=f 步骤５、按下Enter键执行，待执行结束，权限修改完毕。 步骤６、修改完成，点选进入光碟或USB 随身碟，将不会执行autorun.inf档。 还原设定： 若要回复设定，请输入以下指令: SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 /grant=everyone=f 关闭装置自动执行功能可能造成的影响： １、依据上述方法设定後，将关闭所有装置的autorun.inf 的执行功能 ，因此包含 CD-ROM/DVD-ROM 在内的装置也将无法执行光碟片置入後自 动执行的功能。 ２、已知目前部份具特殊功能之USB 随身碟(如指纹辨识、加密等)，使 用autorun.inf 功能来自动执行必要的应用程式，如经过上述设定後， 此类随身碟将失去自动执行的能力，必须由使用者自行点入随身碟中执 行。 资料来源： 国家资通安全会报技术服务中心资安讯息通告 发布编号 ICST-ANA-2008-0002 发布时间 2008/02/26 14:18:29 -- 我的Blog：http://xzjiang.blogspot.com/ 南亩耕，东山卧，世态人情经历多。 闲将往事思量过。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.167.3.157