Người dùng có thể cắm
thiết bị nhớ USB vào máy tính và chép những dữ liệu quan trọng của công
ty đem ra ngoài hoặc mang virút từ bên ngoài vào hệ thống.
Theo
số liệu của Silicon.com, 70% trường hợp dữ liệu của các công ty bị thất
thoát liên quan đến các thiết bị, trong đó tỷ lệ mất dữ liệu do các
thiết bị nhớ USB ngày càng tăng nhanh. Các tổ chức đành chịu bó tay cho
tới khi có sự xuất hiện của Windows XP SP2. Bản Service Pack này cho
phép chúng ta chuyển các thiết bị nhớ USB thành chỉ đọc bằng cách bổ
sung thêm một giá trị trong registry. Đó là giá trị WriteProtect trong
nhánh
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies.
Nếu giá trị này được đặt là 0, việc cấm ghi thiết bị nhớ USB bị vô hiệu
hóa; ngược lại nếu đặt giá trị này là 1 thì tất cả các thiết bị nhớ USB
được cắm vào máy đều trở thành thiết bị chỉ đọc.
Các bước thực hiện cụ thể:
- Vào Registry Editor.
- Chuyển tới HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies
- Tạo giá trị WriteProtect kiểu DWORD
- Đặt giá trị này là 1 để cấm ghi, 0 để cho phép ghi lên các thiết bị nhớ USB
Bạn
có thể dùng công cụ viết script và công cụ phân phối tự chọn để gửi
thiết lập mới tới tất cả các máy tính. Theo tôi, cách tốt nhất là sử
dụng SMS 2003 (nhưng các bạn cũng có thể sử dụng Login Script để làm
việc này).
Tuy nhiên vấn đề không chỉ đơn giản như vậy. Có một
số người cần có khả năng truy cập tới những thông tin quan trọng và họ
thường có được điều đó dù bằng cách này hay cách khác. Trong những
trường hợp như vậy, nỗi lo về vấn đề mất cắp dữ liệu không phải là vấn
đề lớn vì nhân viên hoàn toàn có thể lấy dữ liệu bằng cách ghi ra đĩa
mềm, đĩa CD hoặc gửi qua mạng. Rủi ro lớn hơn chính là ở chỗ những
thiết bị nhớ USB quá nhỏ, vì thế chúng rất dễ trở thành mục tiêu của kẻ
cắp hoặc bị người dùng để quên. Và những thông tin bí mật có thể bị mất
trước khi chúng ta kịp nhận ra. Vì việc cấm sử dụng các thiết bị nhớ
USB là không hợp lý và khả thi nên phương pháp đơn giản nhất để phòng
ngừa điều đó là mã hóa dữ liệu trong các thiết bị nhớ USB. Với các PC
chạy Windows 2000 hay XP, chúng ta có thể sử dụng Windows Encrypting
File System (EFS) để mã hóa dữ liệu ngay trong quá trình vận hành. Cách
này rất thích hợp cho những người sử dụng laptop khi đi công tác. Nhưng
theo Microsoft, EFS không thể mã hóa các tệp trên những thiết bị tháo
lắp được như CD, đĩa mềm hay các thiết bị nhớ USB. Nếu bạn sử dụng phần
mềm thứ ba trên PC hay mạng để mã hóa dữ liệu cho các thiết bị nhớ USB
thì việc đó lại làm mất tính năng tiện lợi của chúng là có thể sử dụng
ở bất cứ đâu (chưa kể tới khả năng người dùng quên công đoạn mã hóa).
Cách
tốt hơn là mua các thiết bị nhớ có sẵn tính năng mã hóa. Rất nhiều nhà
sản xuất đã tính đến điều này và chi phí bổ sung để có được những thiết
bị đó hoàn toàn có thể chấp nhận được nếu đem so với các biện pháp bảo
vệ khác. Có thể kể ra một vài ví dụ như Lexar JumpDrive Secure USB
Flash Drive (http://www.lexar.com/jumpdrive/jd_secure.html), Kingston
DataTraveler Elite (http://www.kingston.com/digitalmedia/dt_elite.asp).
Các thiết bị đó đều có tính năng mã hóa bằng thuật toán AES (Advanced
Encryption Standard). Ngoài việc hoạt động tốt trong nhiều điều kiện
khác nhau, chúng còn cung cấp một số tính năng bảo vệ bổ sung trong
trường hợp người dùng lỡ đánh mất. Mỗi nhà sản xuất có phương pháp mã
hóa và lựa chọn độ dài khóa khác nhau, vì vậy cần chọn thiết bị nhớ USB
với tính năng mã hóa phù hợp cho người dùng (nghĩa là có độ phức tạp
vừa phải, tương ứng với trình độ sử dụng của họ). Bạn đừng quên cập
nhật chính sách bảo mật của đơn vị khi đưa những thiết bị đó vào sử
dụng. Hơn thế, bạn cần duy trì một cơ sở dữ liệu (với chế độ bảo mật và
sao lưu tương xứng) chứa mật mã của những thiết bị đó. Nếu không, sẽ có
nhiều chuyện rầy rà xảy ra khi người dùng quên mã.
Điều đáng
buồn là câu chuyện của chúng ta không chỉ dừng lại ở đó. Vấn đề virus
lây lan qua các thiết bị nhớ USB tưởng “xưa như trái đất” nhưng xét kỹ
lại không phải như vậy. Nhiều người (trong đó có cả tôi) đã từng cho
rằng virus lây qua USB có thể ngăn chặn dễ dàng bằng cách bật tính năng
dò quét real-time của trình diệt virus. Nhưng thực tế đã chứng minh
ngược lại, số lượng virus lây qua thiết bị nhớ USB tăng khá nhanh và
các nhà cung cấp giải pháp đã không thể cập nhật kịp thời. Hơn thế nữa,
một bài viết trên Dark Reading đã cảnh báo một nguy cơ mới: phát tán mã
độc bằng các thiết bị nhớ USB. Theo bài viết đó, một công ty bảo mật
được thuê đánh giá độ bảo mật của hệ thống mạng cho một tổ chức tín
dụng đã có thể lấy mật khẩu của các nhân viên một cách rất dễ dàng nhờ
các thiết bị nhớ USB. Cách làm của họ như sau: phát triển một phần mềm
Trojan có tính năng key-logger, cài vào các thiết bị nhớ USB để chúng
tự động chạy mỗi khi được cắm vào máy tính và đem rải những thiết bị
nhớ đó xung quanh những khu vực các nhân viên của tổ chức tín dụng hay
qua lại. Kết quả là trong số 20 thiết bị nhớ USB bị “đánh rơi” thì có
tới 15 được cắm vào máy tính của tổ chức tín dụng và gửi lại tên người
dùng và mật khẩu cho nhóm đánh giá bảo mật qua thư điện tử. Không ai
phải bàn cãi về việc thử nghiệm đó sẽ thành công (và còn có thể thành
công rực rỡ hơn) nếu tiến hành ở Việt Nam. Vì vậy, việc trước tiên
chúng ta cần làm là tiến hành các biện pháp phòng chống. Cũng như ở
trên, ngoài việc rà soát chính sách bảo mật và phổ biến cho mọi nhân
viên, chúng ta cần có biện pháp kỹ thuật cụ thể: vô hiệu tính năng
Autorun trên các ổ đĩa tháo lắp được và ngăn chặn việc tự động gửi thư
điện tử không được người dùng cho phép.
Để vô hiệu hoá Autorun,
hãy tạo một giá trị DWORD với tên “NoDriveTypeAutorun” tại khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
của registry rồi đặt giá trị theo bảng dưới đây.
Theo đó, nếu
muốn vô hiệu hóa tính năng autorun của tất cả các ổ đĩa trừ đĩa CD ROM,
bạn tính 1+4+8+16+64+128 = 221 (bỏ giá trị 32 cho CD ROM), đổi ra hệ cơ
số 16 được DD (sử dụng Calculator của Windows) rồi nhập giá trị DD cho
“NoDriveTypeAutorun”. Để vô hiệu hóa tính năng autorun của tất cả mọi
loại đĩa, bạn nhập FF.
| |
Hệ 16 |
|
|
Hệ 10 |
|
|
Ý nghĩa |
|
| |
0x1 |
|
|
1 |
|
|
Vô hiệu Autorun của các loại đĩa chưa biết kiểu |
|
| |
0x4 |
|
|
4 |
|
|
Vô hiệu Autorun của các ổ đĩa tháo lắp được |
|
| |
0x8 |
|
|
8 |
|
|
Vô hiệu Autorun của các ổ đĩa cố định |
|
| |
0x10 |
|
|
16 |
|
|
Vô hiệu Autorun của các ổ đĩa mạng |
|
| |
0x20 |
|
|
32 |
|
|
Vô hiệu Autorun của các ổ đĩa CD-ROM |
|
| |
0x40 |
|
|
64 |
|
|
Vô hiệu Autorun của các loại đĩa RAM |
|
| |
0x80 |
|
|
128 |
|
|
Vô hiệu Autorun của các loại đĩa chưa biết kiểu |
|
| |
0xFF |
|
|
255 |
|
|
Vô hiệu Autorun của tất cả các loại đĩa |
|
Theo PCWorld
"Kho thông tin đầy đủ nhất về dịch vụ WEB HOSTING - SERVER HOSTING" www.hosting.net.vn