資深網(wǎng)管教你怎樣徹底防范U盤病毒

　　提起病毒對(duì)于我們這些中小企業(yè)的網(wǎng)絡(luò)管理員來說第一反應(yīng)就是U盤病毒，在實(shí)際工作中確實(shí)如此，很多病毒都是通過U盤進(jìn)行傳播的，一般來說員工計(jì)算機(jī)的系統(tǒng)都會(huì)由專業(yè)的網(wǎng)絡(luò)管理員負(fù)責(zé)安裝，各個(gè)補(bǔ)丁都會(huì)安裝齊全，Windows update服務(wù)也必然是開啟并自動(dòng)更新的，因此漏洞病毒并不能夠輕易入侵員工計(jì)算機(jī)。所以說員工計(jì)算機(jī)感染病毒的 常見途徑就是U盤感染了。由于我們這些網(wǎng)絡(luò)管理員無法從根上杜絕員工計(jì)算機(jī)上的插拔U盤操作，所以感染U盤病毒已經(jīng)成為企業(yè)內(nèi)網(wǎng)的家常便飯，相信上述問題也困擾著眾多企業(yè)網(wǎng)管，今天筆者就從多個(gè)方面多個(gè)角度結(jié)合自己的經(jīng)驗(yàn)為各位讀者介紹防范U盤病毒的真知卓見。

　　一，U盤病毒感染機(jī)理：

　　對(duì)于大多數(shù)U盤病毒來說他們都是通過系統(tǒng)的自動(dòng)播放功能以及AUTORUN文件實(shí)現(xiàn)打開U盤時(shí)自動(dòng)運(yùn)行病毒程序，從而將病毒傳播到正常操作系統(tǒng)中。所以說要想防范U盤病毒就首先要針對(duì)自動(dòng)播放以及AUTORUN文件進(jìn)行處理，將這兩個(gè)傳播途徑封死。

　　二，關(guān)閉自動(dòng)播放封殺病毒傳播：

　　一般來說當(dāng)我們把光盤或者U盤插到員工計(jì)算機(jī)后系統(tǒng)會(huì)馬上出現(xiàn)一個(gè)自動(dòng)播放的對(duì)話框，讓我們選擇打開方式，這種自動(dòng)播放功能很容易造成病毒的入侵，所以說首先我們要關(guān)閉系統(tǒng)的自動(dòng)播放功能來封殺病毒傳播途徑。(如圖1)

　　第一步：通過系統(tǒng)左下角的“開始”->“運(yùn)行”->“輸入gpedit.msc”，單擊“確定”按鈕，打開“組策略”窗口。(如圖2)

　　第二步：在左窗格的“本地計(jì)算機(jī)策略”下，展開“計(jì)算機(jī)配置->管理模板->系統(tǒng)”，然后在右窗格的“設(shè)置”標(biāo)題下，雙擊“關(guān)閉自動(dòng)播放”。(如圖3)

　　第三步：單擊“設(shè)置”選項(xiàng)卡，選中“已啟用”復(fù)選鈕，然后在“關(guān)閉自動(dòng)播放”框中單擊“所有驅(qū)動(dòng)器”，單擊“確定”按鈕， 后關(guān)閉“組策略”窗口。當(dāng)然模式是CD-ROM驅(qū)動(dòng)器，如果僅僅保持默認(rèn)的話我們將無法杜絕U盤的自動(dòng)播放。(如圖4)

　　至此我們就完成了關(guān)閉自動(dòng)播放封殺病毒傳播的工作，以后在系統(tǒng)上插上U盤后系統(tǒng)也不會(huì)出現(xiàn)自動(dòng)播放的對(duì)話框了，系統(tǒng)變得更加安全。

　　三，從AUTORUN下手解決U盤病毒傳播難題：

　　除了自動(dòng)播放外另外一個(gè)容易感染U盤病毒的途徑就是U盤中存在的AUTORUN文件了，很多病毒都會(huì)在U盤根目錄建立一個(gè)autorun.inf的文件，在該文件中寫入打開U盤時(shí)自動(dòng)加載和運(yùn)行的程序具體路徑，從而實(shí)現(xiàn)傳播與感染的目的。那么如何解決AUTORUN.inf文件對(duì)系統(tǒng)的侵害呢?具體步驟如下。

　　首先我們?cè)诟夸浵陆⒁粋�(gè)文件夾，名字就叫autorun.inf。由于Windows規(guī)定在同一目錄中，同名的文件和文件夾不能共存，這樣病毒就無法自動(dòng)創(chuàng)建autorun.ini文件了，即使你雙擊盤符也不會(huì)運(yùn)行病毒。(如圖5)

　　小提示：

　　建立autorun.inf目錄的方法只適合在U盤沒有感染病毒時(shí)所做的防范工作，如果U盤已經(jīng)感染病毒，那么autorun.inf文件將已經(jīng)存在，那么我們就無法建立同名的目錄了，我們能夠做的就是先殺毒刪除autorun.inf文件再執(zhí)行上述操作。

　　四，禁用硬件檢測服務(wù)讓U盤喪失智能：

　　在Windows XP系統(tǒng)中我們擁有即插即用的功能，所有硬件連接都能夠自動(dòng)檢測自動(dòng)安裝驅(qū)動(dòng)，如果我們希望禁止員工計(jì)算機(jī)使用U盤的話， 直接的辦法就是禁用硬件檢測服務(wù)，這樣即使有人嘗試將U盤插到計(jì)算機(jī)對(duì)應(yīng)接口也不會(huì)發(fā)現(xiàn)任何硬件設(shè)備，U盤一樣無法使用。

　　具體指令和操作步驟為――通過“開始”->“運(yùn)行”->“輸入CMD”后回車進(jìn)入命令提示窗口，然后在該窗口中執(zhí)行“sc config ShellHWDetection start= disabled”來禁用硬件檢測服務(wù)，出現(xiàn)changeserviceconfig success提示表明命令有效。(如圖6)

　　同理日后恢復(fù)時(shí)直接使用“sc config shellhwdetection start= auto”命令即可，系統(tǒng)將恢復(fù)硬件的自動(dòng)檢測功能。(如圖7)

　　此方法是徹底杜絕U盤的接入，不管是安全的U盤還是帶病毒U盤都無法順利使用。

　　五，修改注冊(cè)表讓U盤病毒閉嘴：

　　在實(shí)際工作中很多網(wǎng)絡(luò)管理員會(huì)發(fā)現(xiàn)即使關(guān)閉了自動(dòng)播放功能，U盤病毒依然會(huì)在雙擊盤符時(shí)入侵你的系統(tǒng)，就個(gè)人經(jīng)驗(yàn)來說可以通過修改注冊(cè)表來讓U盤病毒徹底閉嘴。

　　第一步：通過“開始”->“運(yùn)行”->“輸入REGEDIT”后回車進(jìn)入到注冊(cè)表編輯器。

　　第二步：打開注冊(cè)表，找到下列注冊(cè)項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2。

　　第三步：在鍵MountPoints2上點(diǎn)右鍵，選擇權(quán)限，針對(duì)該鍵值的訪問權(quán)限進(jìn)行限制。(如圖8)

　　第四步：接下來我們將Administrators組和SYSTEM組的完全控制都設(shè)為阻止，這樣這些具備系統(tǒng)操作的高權(quán)限帳戶將不會(huì)對(duì)此鍵值進(jìn)行操作，從而隔斷了病毒的入侵。(如圖9)

　　本操作的工作原理是――Windows讀取Autorun.inf后，會(huì)修改MountPoints2下的子鍵以添加新的右鍵菜單項(xiàng)。將這個(gè)鍵的權(quán)限設(shè)為阻止，指向病毒的菜單項(xiàng)無法出現(xiàn)，病毒自然也就不能被激活了。

　　六，采納實(shí)用工具阻擊U盤病毒：

　　當(dāng)然對(duì)于大多數(shù)沒有太多安全經(jīng)驗(yàn)的用戶來說還是使用工具來阻擊U盤病毒 為方便和直接，經(jīng)過筆者多年測試和使用發(fā)現(xiàn)有一個(gè)名叫autorun.inf免疫器的工具比較不錯(cuò)，下面我們就來了解下他的使用。

　　第一步：軟件下載后直接運(yùn)行主程序autorunvaccine.exe。

　　第二步：在彈出的軟件應(yīng)用對(duì)話框我們通過下拉菜單中選擇要免疫的U盤盤符即可。(如圖10)

　　第三步： 后點(diǎn)右邊的inject按鈕實(shí)現(xiàn)U盤自動(dòng)免疫，出現(xiàn)“the vaccine for drive f: is injected”說明U盤免疫成功，經(jīng)過處理U盤將不會(huì)再感染自動(dòng)播放類型的U盤病毒了。(如圖11)

　　第四步：經(jīng)過免疫后在U盤中就能夠看到軟件自動(dòng)生成的AUTORUN.INF文件。(如圖12)

　　第五步：打開autorun.inf文件會(huì)出現(xiàn)“拒絕訪問”的提示，這樣也從根本上杜絕了病毒對(duì)autorun.inf文件的修改。(如圖13)

　　小提示：

　　實(shí)際上網(wǎng)絡(luò)中還有很多小工具都具備U盤病毒防范功能，除了上面介紹的軟件外監(jiān)控USB設(shè)備的Zbshareware.USB.Disk.Security也是相當(dāng)不錯(cuò)的，目前 新版本是v5.1.0.0，感興趣的讀者可以自行下載使用。

　　此工具的工作原理是用于創(chuàng)建一個(gè)無法訪問(亦無法刪除、改名)的AutoRun.inf文件，以防止U盤在有病毒的機(jī)器上使用時(shí)感染(當(dāng)然U盤可能仍會(huì)感染.exe病毒，但插入系統(tǒng)時(shí)不會(huì)自動(dòng)運(yùn)行)。當(dāng)然如果目標(biāo)盤已存在AutoRun.inf為名的文件夾，則免疫后AutoRun.inf 文件夾內(nèi)的所有文件會(huì)成為丟失的簇。用chkdsk /f可以將丟失的簇恢復(fù)到FOUND.xxx文件夾下，文件均可恢復(fù)，但文件名和文件夾結(jié)構(gòu)不可恢復(fù)。

　　七，總結(jié)：

　　U盤病毒的種類是多種多樣的，傳播方式也各自不同，不過通過本文介紹的諸多方法可以杜絕大部分U盤病毒的入侵，其中方法一，四，五是從本機(jī)系統(tǒng)入手解決U盤病毒的加載問題，而方法二，三，六則是在U盤沒有感染病毒時(shí)所做的免疫操作，希望本文可以幫助更多的網(wǎng)絡(luò)管理員解決企業(yè)內(nèi)網(wǎng)實(shí)際安全問題。