組策略對于維護(hù)系統(tǒng)的網(wǎng)絡(luò)安全性有著至關(guān)重要的作用，如果Conflicker蠕蟲病毒攻擊我們的系統(tǒng)改怎么辦？這時(shí)組策略就該隆重登場了。

Windows系統(tǒng)的安全狀況確實(shí)讓人堪憂，雖然Windows系統(tǒng)安全涉及方面很多，但是始終不變的事實(shí)就是：windows環(huán)境和IT以及操作系統(tǒng)世界的其他部分一樣需要加以保護(hù)。每個(gè)操作系統(tǒng)都可能受到病毒攻擊，不過通常情況下，病毒和蠕蟲病毒會選擇攻擊使用范圍廣泛的操作系統(tǒng)，在Conflicker事件中，這種現(xiàn)象也不例外。很多人對微軟公司存有這樣的偏見：他們認(rèn)為微軟公司就是不安全的;微軟公司不知道如何保護(hù)操作系統(tǒng);微軟公司的系統(tǒng)只有打補(bǔ)丁后才比較安全;如果公司不允許用戶成為本地管理員才能保證微軟系統(tǒng)的安全性，等等。對于Conflicker而言，在該蠕蟲病毒出現(xiàn)后的幾個(gè)小時(shí)內(nèi)供應(yīng)商就向用戶提供了補(bǔ)丁，但是被感染的計(jì)算機(jī)數(shù)量仍然在不斷增加，為什么會這樣呢?邏輯表明用戶的計(jì)算機(jī)并沒有得到正確的修復(fù)，本文將介紹一些方法幫助用戶保護(hù)計(jì)算機(jī)免受conflicker蠕蟲病毒的攻擊，基于該蠕蟲攻擊系統(tǒng)的方式。

關(guān)于ConFlicker的基本信息

自2008年11月首次現(xiàn)身以來，總共出現(xiàn)過兩種Conflicker變體。第一種conflicker并不像第二種那樣嚴(yán)重，想要了解更多相關(guān)信息可以瀏覽微軟公司在安全更新MS08-067中對conflicker的描述信息(鏈接為：http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)。第二代Conflicker病毒于2008年12月發(fā)現(xiàn)，具有更廣泛和致命的攻擊性。

最新的Conflicker病毒可以在各個(gè)點(diǎn)攻擊系統(tǒng)，試圖在可能的位置潛入系統(tǒng)，而不被發(fā)現(xiàn)，即使被發(fā)現(xiàn)，也很難將其移除。Conflicker病毒將會通過以下幾種方式攻擊計(jì)算機(jī)：

在Windows System文件夾中使用不同的名字創(chuàng)建隱藏DLL文件

在ProgramFiles\Internet Explorer或者ProgramFiles\Movie Maker文件夾下創(chuàng)建隱藏DLL文件

在Registry內(nèi)的HKCU\Software\Microsoft\Windows\CurrentVersion\Run目錄下創(chuàng)建條目

在Registry內(nèi)的HKLM\SYSTEM\CurrentControlSet\Services目錄下將其自身作為服務(wù)進(jìn)行加載

試圖使用現(xiàn)有的登錄用戶憑證復(fù)制自身到目標(biāo)計(jì)算機(jī)的ADMIN$共享下

利用普通強(qiáng)度密碼，試圖“破解”目標(biāo)計(jì)算機(jī)的本地SAM的用戶密碼

在目標(biāo)計(jì)算機(jī)上創(chuàng)建遠(yuǎn)程計(jì)劃任務(wù)(如果用戶名和密碼被破解)

將自身復(fù)制到所有映射和可移動的設(shè)備

在所有設(shè)備上創(chuàng)建一個(gè)autorun.inf文件，該文件將會利用自動播放功能(如果已經(jīng)啟用的話)，然后在自動運(yùn)行過程中啟動病毒感染

禁用查看隱藏文件功能

修改系統(tǒng)的TCP設(shè)置以允許大量并發(fā)連接

刪除windows Defender的注冊表項(xiàng)

重新設(shè)置System Restore Points

從不同網(wǎng)站下載文件

正如上面所說，ConFlicker是一種非?；钴S的蠕蟲病毒，它試圖感染操作系統(tǒng)的各個(gè)不同區(qū)域、文件夾、注冊表以及刺痛的其他關(guān)鍵區(qū)域。

獲取補(bǔ)丁

抵御conflicker病毒攻擊的最好解決方案就是獲取微軟公司的修復(fù)補(bǔ)丁，下載地址為：http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

你會發(fā)現(xiàn)Windows Vista和Windows 7系統(tǒng)在漏洞方面只是處于“重要”級別，因?yàn)檫@些操作系統(tǒng)的保護(hù)和安全功能比之前版本的系統(tǒng)更加有效。

組策略設(shè)置幫助保護(hù)系統(tǒng)免受ConFlicker的攻擊

首先，如果受到攻擊的計(jì)算機(jī)的用戶不屬于本地管理員組的成員，蠕蟲病毒將很難攻擊該計(jì)算機(jī)。因此，想要避免受到該攻擊，可以使用Group Policy Preferences(組策略首選項(xiàng))來將用戶帳戶從本地管理員組中移除。該組策略的位置為User Configuration\Preferences\Control Panel Settings\Local Users and Groups，你只要為“管理員”配置一個(gè)本地組策略，然后選擇單選“刪除當(dāng)前用戶”按鈕，正如圖1所示。

圖1：從本地管理員組移除當(dāng)前用戶帳戶  

 
由于該蠕蟲病毒還將進(jìn)行枚舉然后攻擊目標(biāo)計(jì)算機(jī)上的用戶名本地列表，你還應(yīng)該確保在每個(gè)桌面的本地SAM中沒有其他用戶賬戶。 這也可以使用圖1中相同的策略進(jìn)行修復(fù)，但是還需要刪除管理員組的所有成員用戶，正如圖2所示。
 

圖2：從本地管理員組移除所有成員用戶

 注意：

在圖2中，Domain Admins組和本地管理員帳戶會被迫進(jìn)入本地管理員帳戶組，這也是個(gè)最佳安全做法

當(dāng)用戶嘗試執(zhí)行管理任務(wù)時(shí)，這些操作將會在前臺執(zhí)行。ConFlicker 蠕蟲總是嘗試不斷的寫入或修改大量的受保護(hù)的文件、文件夾以及關(guān)鍵注冊表內(nèi)容。這些UAC設(shè)置可以在Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options找到。雖然上述設(shè)置在windows XP或者Server 2003中并不適用，不過對于vista和server2008而言，是非常好的配置。組策略控制著用戶帳戶控制(UAC)的所有區(qū)域，并可以集中管理UAC對管理員和標(biāo)準(zhǔn)用戶的控制，應(yīng)該啟用UAC功能，然后向(管理員)提升權(quán)限，并自動拒絕(標(biāo)準(zhǔn)用戶)提高權(quán)限要求。這樣能夠阻止病毒、蠕蟲和其他惡意軟件執(zhí)行任何行動以修改操作系統(tǒng)文件和注冊表。

圖3：Windows Vista 和Server2008中的UAC設(shè)置訪問控制

注意：

欲了解更多關(guān)于UAC的配置問題，請參閱“Top 5 Security Reasons to Use Vista”。

組策略設(shè)置中最后需要確定的配置就是用戶帳戶密碼問題，由于Conflicker病毒試圖猜測密碼，因此要確保密碼政策(Password Policies)設(shè)置的密碼是很長并且復(fù)雜的，密碼政策設(shè)置通常在Active Directory域的默認(rèn)域策略中完成，不過也可以在獨(dú)立電腦的本地GPO中進(jìn)行配置，密碼正常設(shè)置的位置是Computer Configuration\Windows Settings\Security Settings\Local Policies\Account Policies目錄下，正如圖4所示：

圖4：密碼政策能夠限制用戶帳戶密碼的強(qiáng)度

    
不過即便如此，在AutoPlay自動播放功能的控制下，組策略設(shè)置也還是可以被改變的。由于ConFlicker能夠向可移動設(shè)備(由AutoPlay控制)進(jìn)行寫入，該蠕蟲只要將autorun.inf文件放入可移動設(shè)備就可以感染計(jì)算機(jī)。但是，如果用戶將自動播放功能禁用，這種感染就不會發(fā)生。要想通過組策略禁用自動播放功能，可以進(jìn)入Computer Configuration\Administrative Templates\Windows Components，正如圖5所示。

圖5：可以通過組策略禁用AutoPlay自動播放功能
 

 結(jié)語

由于整個(gè)行業(yè)都未采取積極行動，導(dǎo)致ConFlicker病毒感染范圍不斷擴(kuò)大。該病毒出現(xiàn)以后，行業(yè)就馬上提供了有效的修復(fù)補(bǔ)丁和防止該蠕蟲病毒感染的方法，但仍然無濟(jì)于事。如果管理員、企業(yè)和用戶能夠采取行動防止蠕蟲病毒的進(jìn)一步滲透，該病毒就不再會對大家造成威脅，而在此之前，病毒感染范圍還將繼續(xù)蔓延。這也就是為什么用戶需要理解采取行動制止該病毒繼續(xù)傳播的原因，其中最好的做法就是將組策略配置為拒絕對系統(tǒng)的訪問，并幫助提高系統(tǒng)密碼的安全強(qiáng)度。拒絕Conflicker對系統(tǒng)的訪問很簡單，只要系統(tǒng)配置設(shè)置為不允許后臺作為管理員訪問即可。而密碼也很容易得到保護(hù)，只要將其設(shè)置為很長且復(fù)雜的密碼即可。部署了這些措施，你的系統(tǒng)就能免受Conflicker病毒的毒害。

在ConFlicker病毒攻擊我們的系統(tǒng)時(shí)，及時(shí)配置組策略，提高系統(tǒng)的安全性，保障我們系統(tǒng)的安全，使我們的系統(tǒng)免受ConFlicker病毒的攻擊。更多有關(guān)組策略的知識還有待于讀者去學(xué)習(xí)和掌握。

【編輯推薦】

1. 巧用Windows7的組策略
2. 如何用組策略進(jìn)行軟件部署？
3. windows vista組策略中探索的新事物
4. 巧用組策略輕松將常用軟件安裝到IE上
5. Windows2008組策略如何保證系統(tǒng)安全？