關於部落格
除了忙與盲之外,也要停下來想一想、看一看... 建議使用 FireFox 或 IE7 以上版本瀏覽。
使用 IE6 若看不到網頁請留個言唷








☞ 網誌分類列表 ☜

※ 網誌分類列表 ※
  自製軟體
  程式語言
  ├ 程式語言.BCB
  └ 程式語言.C#
  應用軟體
  └ MSN
  網站架設
  └ 部落軌道
  Ubuntu
  電腦硬體
  遊戲育樂
  日常生活
  └ 乾癬
  網路硬碟
 ◎不分類網誌列表◎ 





jQuery(document).ready(function(){
jQuery("#boxVisit a[class!='boxVisitSelf'],#boxRecommend a,#boxRecommended a").unbind('click');
jQuery("#boxVisit a[class!='boxVisitSelf'],#boxRecommend a,#boxRecommended a").click(function(){
window.open(this.href);return false;
}).attr('target','');
});



function toggle() {
var ele = document.getElementById("chromemenu");
var text = document.getElementById("displayText");
if(ele.style.display == "block") {
ele.style.display = "none";
text.innerHTML = "☞ 顯示工具列 ☜";
}
else {
ele.style.display = "block";
text.innerHTML = "☞ 隱藏工具列 ☜";
}
}


☞ 顯示工具列 ☜
  • 754912

    累積人氣

  • 9

    今日人氣

    14

    追蹤人氣

禁能所有磁碟自動播放(含USB隨身碟/光碟機)



上個月在高登老大家看到「隨身碟的正確使用方法」,文中提到正確的使用方法,我想大部分的問題都是客戶直接使用「我的電腦」去開啟隨身碟,由我的電腦點選隨身碟時,若隨身碟已中 autorun.inf 的毒,則每點一次,等於執行病毒一次。有些 USB 毒還不會幫你開磁碟,導致在中毒時,無法直接點進 USB 磁碟。

即然無法限制使用者的操作,還是得找到方式解決才行。 經過一番努力及實測,總算有了以下結果。



其實,行政院國家資通安全會報技術服務中心 在 2008/02/26 就已發佈 USB 病毒的防護建議,各大公家機關及學校都會收到國家資通安全會報技術服務中心所發出資安公告。不過,在官方網站竟然找不到公告連結 以下是我將所找到的資源做個整理,順便附上檔案,以利不時之需。

國家資通安全會報 技術服務中心
漏洞/資安訊息通告
發佈編號  ICST-ANA-2008-0002 發佈日期  2008/02/26 14:18:29
事件種類  其他 發現時間  2008/02/25
通告名稱  USB蠕蟲威脅及防護建議
內容說明  目前使用者經常利用USB儲存裝置(USB隨身碟、大拇哥、USB外接式硬碟機) 進行備份資料或資料傳遞、交換,然而USB儲存裝置具有可能導致散播惡意程式的風險。已知目前有許多惡意程式會利用微軟Windows作業系統中提供之「裝置自動執行(Autoruns)」功能進行散播。此類利用USB儲存裝置進行散播的惡意程式被稱為「USB蠕蟲 (USB Worm)」。

使用受「USB Worm」感染之USB儲存裝置至其他電腦交換資料時,可能感染其他電腦。在受感染的電腦上使用USB儲存裝置也可能使正常的USB儲存裝置成為帶原體,進而成為散播惡意程式的幫兇。

在技術細節上,「USB Worm」會在磁碟裝置根目錄中寫入一個autorun.inf檔案,當使用者插入該磁碟裝置,並從桌面「我的電腦」點選進入該磁碟代號時,預設情況下作業系統會自動讀取autorun.inf並執行autorun.inf中所指定的惡意程式,進而使惡意程式感染電腦。

關閉作業系統裝置自動執行功能可以降低此威脅的風險,而目前網路上常見關閉作業系統裝置「自動播放」功能的防護方法並無法徹底根絕此威脅的發生。本資安訊息提供另一種關閉裝置自動執行的設定方式供各單位於USB蠕蟲威脅防護之參考。
影響平台  Microsoft Windows XP/2003/Vista
影響等級  高
建議措施  1.可考慮關閉作業系統中裝置自動執行功能,降低USB Worm的散播風險,相關設定方式請參考本警訊之附件說明。

2.關閉作業系統裝置自動執行功能亦可能造成部份使用該功能之正常服務無法正確運作,請參閱附件中之說明。
參考資料  本警訊提供徹底關閉作業系統「裝置自動執行(Autoruns)」功能的設定方法,供各單位參考使用。相關設定方式請參考本警訊之附件說明。
 此類通告發送對象為通報應變網站登記之資安聯絡人。若貴 單位之資安聯絡人有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw/)進行修改。若您仍為貴 單位之資安聯絡人但非本事件之處理人員,請協助將此通告告知相關處理人員。

如果您對此通告的內容有疑問或關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。

國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)

地 址: 台北市富陽街116號

聯絡電話: 02-27339922
傳真電話: 02-27331655

電子郵件信箱: service@icst.org.tw


文中提到的附件,則是在 台灣藝術大學電算中心-資訊安全 頁面找到
PDF 檔案的內容節錄:

微軟 Windows 作業系統關閉裝置自動執行(Autorun)功能設定方法
 
主要原理:

對HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorerMountPoints2 機碼之Everyone 的權限進行限制,USB 裝置仍可以正常使用,但不會再執行 autorun.inf 檔中的設定。
以下說明的設定方式只針對目前登入電腦的使用者,若同部電腦下以不同的使用者帳號登入,則須以相同之步驟進行設定。本方法設定後無須重新開機,即刻生效。
 
以下針對關閉自動執行功能提供二種設定方法,分別為利用工具修改及手動修改:



方法一(利用工具修改):


本方法適合應用於自動化大量部署,可應用於網域登錄程序檔(Login Script),於使用者登入網域時自動進行設定。

步驟

1.  下載 Windows Resource Kit Tools - SubInACL.exe 工具。

■ 下載網址:
http://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en
  
2.  安裝完成後,於「開始/執行」中執行 cmd,進入命令列模式。

3.  進入 SubInACL 工具路徑(預設安裝路徑為 C:Program FilesWindows Resource KitsTools。

4.  執行以下指令(如下圖 1 所示):


SubInACL /subkeyreg HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 /deny=everyone=f
 


圖1

5.  按下 Enter 鍵執行,待執行結束,權限修改完畢(如圖 2 所示)。


圖2
 
6.  修改完成,點選進入光碟或 USB 隨身碟,將不會執行 autorun.inf 檔。

還原設定:

若要回復設定,請輸入以下指令:


SubInACL /subkeyreg HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 /grant=everyone=f
 



方法二(手動設定修改):
( ... 方法二內容略 ... )



關閉裝置自動執行功能可能造成的影響:

 
1.  依據上述方法設定後,將關閉所有裝置的 autorun.inf 的執行功能,因此包含 CD-ROM/DVD-ROM 在內的裝置也將無法執行光碟片置入後自動執行的功能。

2.  已知目前部份具特殊功能之 USB  隨身碟(如指紋辨識、加密等),使用 autorun.inf 功能來自動執行必要的應用程式,如經過上述設定後,此類隨身碟將失去自動執行的能力,必須由使用者自行點入隨身碟中執行。
 

會把方法二略去,是因為已測試過無效,一定要用方法一才有效

以上說明太過技術,現在簡單的來了

DisableAutoRun.zip (下載檔名會是 149bbb138752cd.zip 因為天空檔名都是亂碼 請見諒)

下載解壓,執行 DisableAutoRun.bat 就等同完成上述方法一的操作。操作後,即使插入含有 USB 病毒的隨身碟,由「我的電腦」去點隨身碟,也可以正常開啟隨身碟,同時不會自動執行病毒程式,這樣一來,只要不自己去點病毒程式,就不會中毒了
相簿設定
標籤設定
相簿狀態