Bằng cách dừng dịch vụ "Server" trên một điểm cuối, khả năng truy cập vào bất kỳ chia sẻ nào được lưu trữ trên điểm cuối sẽ bị vô hiệu hóa (Hình 1).
Hình 1. Các thuộc tính Dịch vụ "Server"
Bằng cách sử dụng mẫu Chính sách Nhóm "MSS (Legacy)", các chia sẻ quản trị có thể được vô hiệu hóa trên máy chủ hoặc máy trạm bằng cách sử dụng các thiết lập Chính sách Nhóm (Hình 2).
Hình 2. Vô hiệu hóa các chia sẻ quản trị thông qua "MSS (Legacy)"
SMB (Server Message Block) là giao thức mạng cho phép truy cập từ xa vào tài nguyên và quản lý quyền truy cập, giúp các máy tính trên mạng truyền thông và chia sẻ dữ liệu hiệu quả. Ngoài việc cập nhật các bản vá cho những lỗ hổng đã biết ảnh hưởng đến các giao thức phổ biến, việc vô hiệu hóa SMB v1 có thể giảm thiểu việc lây nhiễm hàng loạt gây ra bởi các biến thể ransomware cụ thể.
SMBv1 có thể được vô hiệu hóa trên "Windows 7" và "Windows Server 2008 R2" (và các phiên bản mới hơn) bằng cách sử dụng PowerShell, sửa đổi registry hoặc bằng cách sử dụng mẫu chính sách nhóm.
Lệnh PowerShell để vô hiệu hóa SMB v1: “SetSmbServerConfiguration -EnableSMB1Protocol $false”. Các câu lệnh được thể hiện tại Hình 3,4.
Hình 3. Khóa và giá trị registry để vô hiệu hóa máy chủ (listener) SMB v1
Hình 4. Khóa và giá trị registry để vô hiệu hóa máy khách SMB v1
Sử dụng mẫu "Group Policy" của “Microsoft Security Guide”, SMB v1 có thể được vô hiệu hóa bằng cách sử dụng các cài đặt được ghi chú dưới Hình 5.
Hình 5. Vô hiệu hóa máy chủ SMB v1 thông qua mẫu Group Policy của “MS Security Guide”
Windows Remote Management (WinRM) là một dịch vụ của Microsoft cho phép quản trị viên quản lý và cấu hình máy tính Windows từ xa. Kẻ tấn công có thể tận dụng dịch vụ WinRM để phát tán phần mềm tống tiền trong toàn bộ môi trường. WinRM được bật theo mặc định trên tất cả các hệ điều hành Windows Server (kể từ Windows Server 2012 trở lên) nhưng bị tắt trên tất cả các hệ điều hành máy khách (Windows 7 và Windows 10) và các nền tảng máy chủ cũ hơn (Windows Server 2008 R2). PowerShell Remote (PS Remoting) là một tính năng thực thi lệnh từ xa của Windows được xây dựng dựa trên giao thức WinRM.
Lệnh PowerShell để vô hiệu hóa WinRM/ PowerShell Remoting trên máy trạm: “DisablePSRemoting-Force”.
Nếu WinRM đã từng được bật trên một hệ điều hành máy khách (không phải máy chủ) thì các cấu hình sau sẽ tồn tại trên thiết bị và không thể khắc phục chỉ bằng lệnh PowerShell trên.
- Cấu hình trình nghe WinRM
- Cấu hình ngoại lệ Tường lửa của Windows
Những cấu hình này cần phải được vô hiệu hóa thủ công bằng các lệnh khác.
Vô hiệu hóa PowerShell Remoting không ngăn người dùng cục bộ tạo các phiên PowerShell trên máy tính cục bộ - hoặc cho các phiên dành cho máy tính từ xa. Sau khi chạy lệnh, thông báo được ghi lại trong Hình 6 sẽ được hiển thị.
Hình 6. Thông báo cảnh báo sau khi vô hiệu hóa PSRemoting
Dưới đây là cách thực hiện các bước bổ sung để vô hiệu hóa WinRM thông qua PowerShell:
Lệnh PowerShell để dừng và vô hiệu hóa Dịch vụ WinRM: “Stop-Service WinRM -PassThruSetService WinRM -StartupType Disabled”
Các lệnh PowerShell để xóa một người nghe WSMAN nhằm vô hiệu hóa người nghe chấp nhận yêu cầu trên địa chỉ IP bất kỳ:
“dir wsman:\localhost\listener
Remove-Item -Path WSMan:\Localhost\ listener\<Listener name>”
Lệnh PowerShell để vô hiệu hóa ngoại lệ tường lửa cho WinRM: “Set-NetFirewallRule -DisplayName ‘Windows Remote Management (HTTP-In)’ -Enabled False”
Lệnh PowerShell để cấu hình khóa registry cho LocalAccountTokenFilterPolicy:
“Set-ItemProperty -Path
HKLM:\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\system -Name LocalAccountTokenFilterPolicy -Value 8”
Ngoài ra chúng ta có thể sử dụng chính sách nhóm để quản lý cấu hình truy cập từ xa cho tất cả các bộ lệnh được hỗ trợ để thực thi tập lệnh và lệnh.
Ransomware không chỉ đe dọa tính toàn vẹn dữ liệu mà còn gây ra những tổn thất nặng nề về tài chính và uy tín của tổ chức. Kẻ tấn công liên tục cải tiến các phương thức tấn công ransomware để tìm ra cách thức mới để tận dụng các lỗ hổng trong hệ thống. Bài viết không thể bao hàm tất cả các chiến lược và biện pháp kiểm soát mà một tổ chức có thể sử dụng để phòng ngừa ransomware, nhưng có thể hỗ trợ cho việc phòng ngừa, giảm thiểu một phần tác động của các tấn công mã độc nói chung và ransomware nói riêng.
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng); Nguyễn Văn Khoa (Đại học Kỹ thuật - Hậu cần Công an nhân dân)
10:00 | 04/10/2024
09:00 | 03/02/2025
13:00 | 30/07/2024
21:00 | 31/01/2025
09:00 | 03/07/2024
09:00 | 06/01/2025
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
16:00 | 18/12/2024
Công nghệ 5G có vai trò quan trọng trong sự phát triển với công nghệ Internet vạn vật và ứng dụng học máy. Tuy nhiên, cùng với những lợi ích đáng kể, các thách thức như tối ưu hóa hiệu quả năng lượng, giảm độ phức tạp xử lý và đảm bảo tính bảo mật vẫn cần được giải quyết để khai thác tối đa tiềm năng của 5G.
13:00 | 02/12/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
14:00 | 10/05/2024
Hiện nay, người dùng mạng máy tính đang thường xuyên phải đối mặt với những rủi ro từ các mối đe dọa mạng, như mã độc, phần mềm gián điệp, rootkit, tấn công lừa đảo,… Đối với Windows 11, dù hệ điều hành này có khả năng bảo mật nâng cao so với những phiên bản Windows trước đây, tuy nhiên không vì vậy mà người dùng được phép chủ quan. Trong bài báo này sẽ chia sẻ tới độc giả một số tùy chỉnh cấu hình nâng cao giúp Windows 11 trở nên bảo mật và an toàn hơn.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025