關閉USB裝置自動執行（Autorun）功能

出處：http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1386



 

小心病毒就在USB中

陳凱斌

前言 　如眾所周知，Web已成為現今資安威脅的最主要來源！然而根據趨勢科技公司之統計分析（【註1】、【註2】），2007年下半年前十大惡意程式入侵管道中，Web佔了八名，另二名則是由USB奪下，可見此一管道的病毒與資安威脅也不容忽視。上（2）月下旬，國家資通安全會報技術服務中心也發出通報並提供USB蠕蟲的威脅與防護建議。本文則彙整相關重點，提醒同仁日常使用此類設備時應格外注意。 USB逐漸淪為病毒傳播的溫床 　USB隨身碟由於輕便、容量大、價格便宜等特性，早已取代磁片等其他媒體，成為最普遍的可攜式儲存裝置。但往往病毒即利用使用便利與系統預設參數的弱點，成為病毒傳播與侵犯的溫床。已知目前有許多惡意程式會利用微軟Windows作業系統中所提供之「裝置自動執行（Autoruns）」功能進行散播。此類利用USB儲存裝置進行散播的惡意程式被稱為「USB蠕蟲（USB Worm）」；關鍵在於多數使用者均慣於Windows環境中用“我的電腦”開啟USB隨身碟，或者不按Shift鍵開啟隨身碟檔案，允許電腦自動執行隨身碟上的檔案。 　「USB Worm」會在磁碟裝置根目錄中寫入一個autorun.inf檔案，當使用者插入該磁碟裝置，並從桌面「我的電腦」點選進入該磁碟代號時，在預設情況下，作業系統會自動讀取autorun.inf並執行autorun.inf中所指定的惡意程式，進而使惡意程式感染電腦。 　關閉作業系統裝置自動執行功能可以降低此威脅的風險；而目前網路上常見關閉作業系統裝置「自動播放」功能的防護方法，並無法徹底根絕此威脅的發生。 　　 　微軟Windows作業系統關閉裝置自動執行（Autorun）功能設定的原理在於針對 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Exploerer\MountPoint2機碼之Everyone的權限進行限制，在此之下，USB裝置仍可正常使用，但不會再執行autorun.inf檔中的設定。 　以下說明的設定方式只針對目前登入的使用者，若同部電腦下以不同的使用帳號登入，則必須以相同之步驟進行設定（本方法設定後無須重開機，即刻生效）。                                                                　以下所提供的三種方法適用於Windows XP以及Windows Vista： 方法一（利用工具手動修改）: 　此方法適合應用於大量自動化部署，可應用於網域登錄程序檔（Logon Script），於使用者登入網域時自動進行設定。 步驟： 1.下載 Windows Resource Kit Tools –SubInACL.exe工具，下載subinacl.msi 檔案。 2.自動安裝完成後，於「開始/執行」中執行cmd，進入命令列模式。 3.進入SubInACL工具路徑（預設安裝路徑為C:\Program Files\Windows ResourceKits\Tools）。 4.執行以下指令，如【圖1】所示： SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /deny=everyone=f（使用者可以直接以複製以上指令，再按滑鼠右鍵選擇貼上即可）   圖1 5.按下Enter鍵執行，待執行結束，權限修改完畢，如【圖2】。   圖2 6.修改完成，點選進入光碟或USB隨身碟，將不會執行autorun.inf檔。 還原設定： 若要回復設定，請輸入（或複製/貼上）以下指令： SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /grant=everyone=f 方法二（手動設定修改）： 步驟： 1. 於「開始/執行」中執行regedit，進入登錄編輯程式。 2. 找到機碼名稱： HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\MountPoints2 3. 點選該機碼，按右鍵選擇「使用權限」，如【圖3】。   圖3 4.新增使用者Everyone。點選「新增」鍵後在「輸入物件名稱來選取」欄內輸入「Everyone」即可，如【圖4】。   圖4 5.設定使用者 Everyone 的完全控制權限為「拒絕」，選取「套用/確定」後離開，如【圖5】。   圖5 還原設定： 　若要回復設定，請依照步驟1至3，再移除Everyone使用者，按「套用/確定」離開後即可。 　關閉裝置自動執行功能可能造成的影響： 依據上述方法設定後，將關閉所有裝置的autorun.inf的執行功能，因此包含CD-ROM/DVD-ROM在內的裝置也將無法執行光碟片置入後自動執行的功能。 已知目前部份具特殊功能之USB隨身碟（如指紋辨識、加密等），使用autorun.inf功能來自動執行必要的應用程式，如經過上述設定後，此類隨身碟將失去自動執行的能力，必須由使用者自行點入隨身碟中執行。 方法三（電腦管理服務設定法）: 　以下的圖樣取自Windows Vista作業系統，Windows XP使用者在排版上會和插圖不同，但名詞的使用是一致的。 步驟： 1.點選「開始」，在「我的電腦」上按右鍵，選擇「管理」，如【圖6】（Vista的使用者會出現一個確認的畫面，請點選「繼續」）。   圖6 2.在「電腦管理」的視窗裡點選「服務及應用程式」下的「服務」，如【圖7】。   圖7 3.找出「Shell Hardware Detection」，點選後會出現另一個小視窗；在「啟動類型」裡選擇「停用」，如【圖8】（在Windows XP裡選擇「已停用」）。 圖8 4.按下「確認」鍵。 還原設定： 　重複步驟1至3，在「啟動類型」裡選擇「自動」，按下「確認」鍵即可。 結語 　由於使用受「USB Worm」感染之USB儲存裝置至其他電腦交換資料時，不僅可能感染其他電腦，甚至可能造成個人資料外洩；在受感染的電腦上使用USB儲存裝置也可能使正常的USB儲存裝置成為帶原體，進而成為散播惡意程式的幫兇。雖然此類病毒傳播速度不若Web或網路芳鄰等管道快速，但卻可能穿破企業資安防線的利器。 　虛擬世界的病毒危害，正如同自然世界一般，不僅千奇百怪、無所不在，更是演化快速、無孔不入；而個人的疏忽，往往也將造成組織資訊安全的嚴重危害，不可不慎！因此，正確的使用習慣、正確的系統設定、以及瞭解自身常用裝置之可能弱點，是維護個人電腦使用安全性的重要原則。 參考資料 【註1】：趨勢科技公佈台灣企業2007下半年度資安威脅報告 【註2】：趨勢科技發佈「2007年資安威脅報告暨2008預測」