如何利用組策略防止Conflicker蠕蟲對Windows的攻擊?
組策略對于維護系統的網絡安全性有著至關重要的作用,如果Conflicker蠕蟲病毒攻擊我們的系統改怎么辦?這時組策略就該隆重登場了。
Windows系統的安全狀況確實讓人堪憂,雖然Windows系統安全涉及方面很多,但是始終不變的事實就是:windows環境和IT以及操作系統世界的其他部分一樣需要加以保護。每個操作系統都可能受到病毒攻擊,不過通常情況下,病毒和蠕蟲病毒會選擇攻擊使用范圍廣泛的操作系統,在Conflicker事件中,這種現象也不例外。很多人對微軟公司存有這樣的偏見:他們認為微軟公司就是不安全的;微軟公司不知道如何保護操作系統;微軟公司的系統只有打補丁后才比較安全;如果公司不允許用戶成為本地管理員才能保證微軟系統的安全性,等等。對于Conflicker而言,在該蠕蟲病毒出現后的幾個小時內供應商就向用戶提供了補丁,但是被感染的計算機數量仍然在不斷增加,為什么會這樣呢?邏輯表明用戶的計算機并沒有得到正確的修復,本文將介紹一些方法幫助用戶保護計算機免受conflicker蠕蟲病毒的攻擊,基于該蠕蟲攻擊系統的方式。
關于ConFlicker的基本信息
自2008年11月首次現身以來,總共出現過兩種Conflicker變體。第一種conflicker并不像第二種那樣嚴重,想要了解更多相關信息可以瀏覽微軟公司在安全更新MS08-067中對conflicker的描述信息(鏈接為:http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)。第二代Conflicker病毒于2008年12月發現,具有更廣泛和致命的攻擊性。
最新的Conflicker病毒可以在各個點攻擊系統,試圖在可能的位置潛入系統,而不被發現,即使被發現,也很難將其移除。Conflicker病毒將會通過以下幾種方式攻擊計算機:
在Windows System文件夾中使用不同的名字創建隱藏DLL文件
在ProgramFiles\Internet Explorer或者ProgramFiles\Movie Maker文件夾下創建隱藏DLL文件
在Registry內的HKCU\Software\Microsoft\Windows\CurrentVersion\Run目錄下創建條目
在Registry內的HKLM\SYSTEM\CurrentControlSet\Services目錄下將其自身作為服務進行加載
試圖使用現有的登錄用戶憑證復制自身到目標計算機的ADMIN$共享下
利用普通強度密碼,試圖“破解”目標計算機的本地SAM的用戶密碼
在目標計算機上創建遠程計劃任務(如果用戶名和密碼被破解)
將自身復制到所有映射和可移動的設備
在所有設備上創建一個autorun.inf文件,該文件將會利用自動播放功能(如果已經啟用的話),然后在自動運行過程中啟動病毒感染
禁用查看隱藏文件功能
修改系統的TCP設置以允許大量并發連接
刪除windows Defender的注冊表項
重新設置System Restore Points
從不同網站下載文件
正如上面所說,ConFlicker是一種非常活躍的蠕蟲病毒,它試圖感染操作系統的各個不同區域、文件夾、注冊表以及刺痛的其他關鍵區域。
獲取補丁
抵御conflicker病毒攻擊的最好解決方案就是獲取微軟公司的修復補丁,下載地址為:http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
你會發現Windows Vista和Windows 7系統在漏洞方面只是處于“重要”級別,因為這些操作系統的保護和安全功能比之前版本的系統更加有效。
組策略設置幫助保護系統免受ConFlicker的攻擊
首先,如果受到攻擊的計算機的用戶不屬于本地管理員組的成員,蠕蟲病毒將很難攻擊該計算機。因此,想要避免受到該攻擊,可以使用Group Policy Preferences(組策略首選項)來將用戶帳戶從本地管理員組中移除。該組策略的位置為User Configuration\Preferences\Control Panel Settings\Local Users and Groups,你只要為“管理員”配置一個本地組策略,然后選擇單選“刪除當前用戶”按鈕,正如圖1所示。
圖1:從本地管理員組移除當前用戶帳戶
由于該蠕蟲病毒還將進行枚舉然后攻擊目標計算機上的用戶名本地列表,你還應該確保在每個桌面的本地SAM中沒有其他用戶賬戶。 這也可以使用圖1中相同的策略進行修復,但是還需要刪除管理員組的所有成員用戶,正如圖2所示。
圖2:從本地管理員組移除所有成員用戶
注意:
在圖2中,Domain Admins組和本地管理員帳戶會被迫進入本地管理員帳戶組,這也是個最佳安全做法
當用戶嘗試執行管理任務時,這些操作將會在前臺執行。ConFlicker 蠕蟲總是嘗試不斷的寫入或修改大量的受保護的文件、文件夾以及關鍵注冊表內容。這些UAC設置可以在Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options找到。雖然上述設置在windows XP或者Server 2003中并不適用,不過對于vista和server2008而言,是非常好的配置。組策略控制著用戶帳戶控制(UAC)的所有區域,并可以集中管理UAC對管理員和標準用戶的控制,應該啟用UAC功能,然后向(管理員)提升權限,并自動拒絕(標準用戶)提高權限要求。這樣能夠阻止病毒、蠕蟲和其他惡意軟件執行任何行動以修改操作系統文件和注冊表。
圖3:Windows Vista 和Server2008中的UAC設置訪問控制
注意:
欲了解更多關于UAC的配置問題,請參閱“Top 5 Security Reasons to Use Vista”。
組策略設置中最后需要確定的配置就是用戶帳戶密碼問題,由于Conflicker病毒試圖猜測密碼,因此要確保密碼政策(Password Policies)設置的密碼是很長并且復雜的,密碼政策設置通常在Active Directory域的默認域策略中完成,不過也可以在獨立電腦的本地GPO中進行配置,密碼正常設置的位置是Computer Configuration\Windows Settings\Security Settings\Local Policies\Account Policies目錄下,正如圖4所示:
圖4:密碼政策能夠限制用戶帳戶密碼的強度
不過即便如此,在AutoPlay自動播放功能的控制下,組策略設置也還是可以被改變的。由于ConFlicker能夠向可移動設備(由AutoPlay控制)進行寫入,該蠕蟲只要將autorun.inf文件放入可移動設備就可以感染計算機。但是,如果用戶將自動播放功能禁用,這種感染就不會發生。要想通過組策略禁用自動播放功能,可以進入Computer Configuration\Administrative Templates\Windows Components,正如圖5所示。
圖5:可以通過組策略禁用AutoPlay自動播放功能
結語
由于整個行業都未采取積極行動,導致ConFlicker病毒感染范圍不斷擴大。該病毒出現以后,行業就馬上提供了有效的修復補丁和防止該蠕蟲病毒感染的方法,但仍然無濟于事。如果管理員、企業和用戶能夠采取行動防止蠕蟲病毒的進一步滲透,該病毒就不再會對大家造成威脅,而在此之前,病毒感染范圍還將繼續蔓延。這也就是為什么用戶需要理解采取行動制止該病毒繼續傳播的原因,其中最好的做法就是將組策略配置為拒絕對系統的訪問,并幫助提高系統密碼的安全強度。拒絕Conflicker對系統的訪問很簡單,只要系統配置設置為不允許后臺作為管理員訪問即可。而密碼也很容易得到保護,只要將其設置為很長且復雜的密碼即可。部署了這些措施,你的系統就能免受Conflicker病毒的毒害。
在ConFlicker病毒攻擊我們的系統時,及時配置組策略,提高系統的安全性,保障我們系統的安全,使我們的系統免受ConFlicker病毒的攻擊。更多有關組策略的知識還有待于讀者去學習和掌握。
【編輯推薦】
