圖文說明：http://tinyurl.com/4tfdd2 目前使用者經常利用USB儲存裝置(USB隨身碟、大拇哥、USB外接式 硬碟機) 進行備份資料或資料傳遞、交換，然而USB儲存裝置具有 可能導致散播惡意程式的風險。已知目前有許多惡意程式會利用微 軟Windows作業系統中提供之「裝置自動執行(Autoruns)」功能進 行散播。此類利用USB儲存裝置進行散播的惡意程式被稱為「USB蠕 蟲 (USB Worm)」。 使用受「USB Worm」感染之USB儲存裝置至其他電腦交換資料時，可 能感染其他電腦。在受感染的電腦上使用USB儲存裝置也可能使正常 的USB儲存裝置成為帶原體，進而成為散播惡意程式的幫兇。 在技術細節上，「USB Worm」會在磁碟裝置根目錄中寫入一個autorun.inf 檔案，當使用者插入該磁碟裝置，並從桌面「我的電腦」點選進入 該磁碟代號時，預設情況下作業系統會自動讀取autorun.inf並執行 autorun.inf中所指定的惡意程式，進而使惡意程式感染電腦。 關閉作業系統裝置自動執行功能可以降低此威脅的風險，而目前網路 上常見關閉作業系統裝置「自動播放」功能的防護方法並無法徹底根 絕此威脅的發生。本資安訊息提供另一種關閉裝置自動執行的設定方 式供各單位於USB蠕蟲威脅防護之參考。 甲胖PS：目前「關閉自動播放」、「shift 鍵開啟隨身碟」、「機碼 啟動隨身碟的唯讀功能」或「隨身碟磁區上右鍵開啟檔案總管」等USB 防護已被證實屬於無效防範，請參考OSSF::自由軟體鑄造場(Open Source Software Foundry)「避免隨身碟病毒，只需 1 招」一文。 主要原理： 對HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion \Explorer\MountPoints2 機碼之Everyone 的權限進行限制，USB 裝 置仍可以正常使用，但不會再執行autorun.inf 檔中的設定。以下說 明的設定方式只針對目前登入電腦的使用者，若同部電腦下以不同的 使用者帳號登入，則須以相同之步驟進行設定。本方法設定後無須重 新開機，即刻生效。 以下針對關閉自動執行功能提供二種設定方法，分別為利用工具修改 及手動修改： 方法一 (手動設定修改)： 步驟１、於「開始/執行」中執行regedit，進入登錄編輯程式。 步驟２、找到機碼名稱: HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion \Explorer\MountPoints2 步驟３、點選該機碼，按右鍵選擇「使用權限」。 步驟４、新增使用者Everyone。 步驟５、設定使用者Everyone 的完全控制權限為「拒絕」，選取 「套用」＼「確定」後離開。 還原設定： 如果要回復設定，請依照步驟1-3，再移除 Everyone 使用者，按 「套用」＼「確定」離開後即可。 方法二 (利用工具修改)： 本方法適合應用於自動化大量部署，可應用於網域登錄程序檔 (Login Script)，於使用者登入網域時自動進行設定。 步驟１、下載Windows Resource Kit Tools SubInACL.exe工具 步驟２、安裝完成後，於「開始/執行」中執行cmd，進入命令列模式。 步驟３、進入SubInACL 工具路徑，預設安裝路徑為C:\Program Files \Windows Resource Kits\Tools。 步驟４、執行以下指令: SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 /deny=everyone=f 步驟５、按下Enter鍵執行，待執行結束，權限修改完畢。 步驟６、修改完成，點選進入光碟或USB 隨身碟，將不會執行autorun.inf檔。 還原設定： 若要回復設定，請輸入以下指令: SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 /grant=everyone=f 關閉裝置自動執行功能可能造成的影響： １、依據上述方法設定後，將關閉所有裝置的autorun.inf 的執行功能 ，因此包含 CD-ROM/DVD-ROM 在內的裝置也將無法執行光碟片置入後自 動執行的功能。 ２、已知目前部份具特殊功能之USB 隨身碟(如指紋辨識、加密等)，使 用autorun.inf 功能來自動執行必要的應用程式，如經過上述設定後， 此類隨身碟將失去自動執行的能力，必須由使用者自行點入隨身碟中執 行。 資料來源： 國家資通安全會報技術服務中心資安訊息通告 發佈編號 ICST-ANA-2008-0002 發佈時間 2008/02/26 14:18:29 -- 我的Blog：http://xzjiang.blogspot.com/ 南畝耕，東山臥，世態人情經歷多。 閑將往事思量過。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.167.3.157