Bằng cách dừng dịch vụ "Server" trên một điểm cuối, khả năng truy cập vào bất kỳ chia sẻ nào được lưu trữ trên điểm cuối sẽ bị vô hiệu hóa (Hình 1).
.jpg)
Hình 1. Các thuộc tính Dịch vụ "Server"
Bằng cách sử dụng mẫu Chính sách Nhóm "MSS (Legacy)", các chia sẻ quản trị có thể được vô hiệu hóa trên máy chủ hoặc máy trạm bằng cách sử dụng các thiết lập Chính sách Nhóm (Hình 2).
.jpg)
Hình 2. Vô hiệu hóa các chia sẻ quản trị thông qua "MSS (Legacy)"
SMB (Server Message Block) là giao thức mạng cho phép truy cập từ xa vào tài nguyên và quản lý quyền truy cập, giúp các máy tính trên mạng truyền thông và chia sẻ dữ liệu hiệu quả. Ngoài việc cập nhật các bản vá cho những lỗ hổng đã biết ảnh hưởng đến các giao thức phổ biến, việc vô hiệu hóa SMB v1 có thể giảm thiểu việc lây nhiễm hàng loạt gây ra bởi các biến thể ransomware cụ thể.
SMBv1 có thể được vô hiệu hóa trên "Windows 7" và "Windows Server 2008 R2" (và các phiên bản mới hơn) bằng cách sử dụng PowerShell, sửa đổi registry hoặc bằng cách sử dụng mẫu chính sách nhóm.
Lệnh PowerShell để vô hiệu hóa SMB v1: “SetSmbServerConfiguration -EnableSMB1Protocol $false”. Các câu lệnh được thể hiện tại Hình 3,4.
.jpg)
Hình 3. Khóa và giá trị registry để vô hiệu hóa máy chủ (listener) SMB v1
Hình 4. Khóa và giá trị registry để vô hiệu hóa máy khách SMB v1
Sử dụng mẫu "Group Policy" của “Microsoft Security Guide”, SMB v1 có thể được vô hiệu hóa bằng cách sử dụng các cài đặt được ghi chú dưới Hình 5.
Hình 5. Vô hiệu hóa máy chủ SMB v1 thông qua mẫu Group Policy của “MS Security Guide”
Windows Remote Management (WinRM) là một dịch vụ của Microsoft cho phép quản trị viên quản lý và cấu hình máy tính Windows từ xa. Kẻ tấn công có thể tận dụng dịch vụ WinRM để phát tán phần mềm tống tiền trong toàn bộ môi trường. WinRM được bật theo mặc định trên tất cả các hệ điều hành Windows Server (kể từ Windows Server 2012 trở lên) nhưng bị tắt trên tất cả các hệ điều hành máy khách (Windows 7 và Windows 10) và các nền tảng máy chủ cũ hơn (Windows Server 2008 R2). PowerShell Remote (PS Remoting) là một tính năng thực thi lệnh từ xa của Windows được xây dựng dựa trên giao thức WinRM.
Lệnh PowerShell để vô hiệu hóa WinRM/ PowerShell Remoting trên máy trạm: “DisablePSRemoting-Force”.
Nếu WinRM đã từng được bật trên một hệ điều hành máy khách (không phải máy chủ) thì các cấu hình sau sẽ tồn tại trên thiết bị và không thể khắc phục chỉ bằng lệnh PowerShell trên.
- Cấu hình trình nghe WinRM
- Cấu hình ngoại lệ Tường lửa của Windows
Những cấu hình này cần phải được vô hiệu hóa thủ công bằng các lệnh khác.
Vô hiệu hóa PowerShell Remoting không ngăn người dùng cục bộ tạo các phiên PowerShell trên máy tính cục bộ - hoặc cho các phiên dành cho máy tính từ xa. Sau khi chạy lệnh, thông báo được ghi lại trong Hình 6 sẽ được hiển thị.
Hình 6. Thông báo cảnh báo sau khi vô hiệu hóa PSRemoting
Dưới đây là cách thực hiện các bước bổ sung để vô hiệu hóa WinRM thông qua PowerShell:
Lệnh PowerShell để dừng và vô hiệu hóa Dịch vụ WinRM: “Stop-Service WinRM -PassThruSetService WinRM -StartupType Disabled”
Các lệnh PowerShell để xóa một người nghe WSMAN nhằm vô hiệu hóa người nghe chấp nhận yêu cầu trên địa chỉ IP bất kỳ:
“dir wsman:\localhost\listener
Remove-Item -Path WSMan:\Localhost\ listener\<Listener name>”
Lệnh PowerShell để vô hiệu hóa ngoại lệ tường lửa cho WinRM: “Set-NetFirewallRule -DisplayName ‘Windows Remote Management (HTTP-In)’ -Enabled False”
Lệnh PowerShell để cấu hình khóa registry cho LocalAccountTokenFilterPolicy:
“Set-ItemProperty -Path
HKLM:\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\system -Name LocalAccountTokenFilterPolicy -Value 8”
Ngoài ra chúng ta có thể sử dụng chính sách nhóm để quản lý cấu hình truy cập từ xa cho tất cả các bộ lệnh được hỗ trợ để thực thi tập lệnh và lệnh.
Ransomware không chỉ đe dọa tính toàn vẹn dữ liệu mà còn gây ra những tổn thất nặng nề về tài chính và uy tín của tổ chức. Kẻ tấn công liên tục cải tiến các phương thức tấn công ransomware để tìm ra cách thức mới để tận dụng các lỗ hổng trong hệ thống. Bài viết không thể bao hàm tất cả các chiến lược và biện pháp kiểm soát mà một tổ chức có thể sử dụng để phòng ngừa ransomware, nhưng có thể hỗ trợ cho việc phòng ngừa, giảm thiểu một phần tác động của các tấn công mã độc nói chung và ransomware nói riêng.
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng); Nguyễn Văn Khoa (Đại học Kỹ thuật - Hậu cần Công an nhân dân)
09:00 | 25/02/2025
10:00 | 04/10/2024
09:00 | 03/02/2025
13:00 | 30/07/2024
10:00 | 03/03/2025
09:00 | 03/07/2024
21:00 | 31/01/2025
14:00 | 28/02/2025
Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) là một hình thức tấn công mạng phổ biến, gây tác động lớn tới hệ thống. Để ngăn chặn loại hình tấn công này, cần xác định nguồn gốc thực sự của cuộc tấn công mà trong đó truy xuất IP là một trong những kỹ thuật quan trọng. Bài viết sẽ giới thiệu tới độc giả một số kỹ thuật IP Traceback cùng các ưu nhược điểm của từng kỹ thuật. Thông qua đó giúp cho các quản trị viên đưa ra giải pháp phù hợp với hạ tầng của cơ quan, tổ chức, phòng thủ tốt hơn trước những cuộc tấn công DDoS.
17:00 | 14/01/2025
Máy in hiện đại, với các tính năng vượt trội, không chỉ đơn thuần là công cụ hỗ trợ làm việc mà còn tiềm ẩn nhiều rủi ro an ninh mạng. Khả năng lưu trữ dữ liệu nhạy cảm trong bộ nhớ trong của chúng khiến máy in trở thành mục tiêu tấn công của tin tặc. Bài viết này trình bày về các nguy cơ liên quan đến rò rỉ dữ liệu từ bộ nhớ máy in. Đồng thời, đề xuất các chiến lược hiệu quả nhằm giảm thiểu rủi ro khi sử dụng máy in trong các tổ chức, cơ quan Đảng và Nhà nước, góp phần bảo vệ dữ liệu quan trọng trong các hệ thống trọng yếu, góp phần đảm bảo an ninh quốc gia.
14:00 | 06/12/2024
Một tập hợp gồm 15 ứng dụng phần mềm độc hại SpyLoan Android mới với hơn 8 triệu lượt cài đặt đã được phát hiện trên Google Play, chủ yếu nhắm vào người dùng từ Nam Mỹ, Đông Nam Á và châu Phi.
07:00 | 07/11/2024
Song song cùng sự phát triển của công nghệ, Deepfake cũng có lịch sử phát triển với nhiều loại hình khác nhau. Phần hai của bài báo sẽ tập trung phân loại các loại hình Deepfake và trình bày về các tập dữ liệu có giá trị trong việc phát hiện công nghệ tinh vi này.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
