**本篇文章在分享如何在組織內部快速派送指令檔**
**有別於上篇,本篇反守為攻,以期在最短時間內有效控制並降低單位內隨身碟病毒的感染**
我們單位內目前最大的病毒來源仍舊是USB 隨身碟,
原本一直處於挨打的局面,
直到今年上半年用了在PC建立目錄的方法後獲得控制,
但仍有新的病毒因隨身碟的使用而感染到單位內的電腦,
其實最好就是全面禁止使用隨身碟,
就不會有病毒透過隨身碟感染到電腦,
不過這是不可能的!
雖然知道在隨身碟上建立 autorun.inf 的目錄似乎可以預防此一問題,
( 關於隨身碟上 autorun.inf 的自動執行問題,根據微軟官方說法預設是沒有作用的,網路上找了很多資料,包括我自己測試的結果,都試不出隨身碟上 autorun.inf 的自動執行的功能,但對於隨身碟上的病毒為何在使用者一插入的狀況下就會感染給電腦的情形也找不到答案,為了安全起見,我還是做了一些我自己也不搞不清楚 的預防病毒措施!)
但是全單位快 500 人,
要求這些人去做這些事情實在是一件大工程,
其實可以透過 Domain 的 Group Policy 設定電腦的開機啟動指令碼 ( Startup Scripts ) 去做這件事情,這樣就省事多了!!
工作原理:
設定一排程工作,讓電腦定時去建立隨身碟上的 autorun.inf ,
透過密集的排程 ,
以確保使用者的隨身碟可以在最短時間內被寫入 autorun.inf 的目錄!!
使用平台限制:
windows 98 , winnt , windows 2000 不適用,
windows server 2003 及 Vista 沒測試,不知道有沒有問題,
Windows XP 已測試無誤!
方法:
1 建立一批次檔檔名為 USB.bat 的自動執行檔,其檔案內容在下面.
2 將此 USB.bat 加入網域電腦的開機啟動執行指令碼的執行項目,
沒有加入網域的電腦則需個別執行此一檔案!
USB.bat 檔案內容:
| 代碼: |
if exist c:\windows\ImmunizeUSB.bat goto yammy1 echo attrib /s /d I:\RECYCLED -h -r -s > c:\windows\ImmunizeUSB.bat echo rd /q /s I:\RECYCLED >> c:\windows\ImmunizeUSB.bat echo echo immunize virus use only ! ^> I:\RECYCLED >> c:\windows\ImmunizeUSB.bat echo attrib I:\RECYCLED +h +r +s >> c:\windows\ImmunizeUSB.bat echo attrib /s /d I:\RECYCLER -h -r -s >> c:\windows\ImmunizeUSB.bat echo rd /q /s I:\RECYCLER >> c:\windows\ImmunizeUSB.bat echo echo immunize virus use only ! ^> I:\RECYCLER >> c:\windows\ImmunizeUSB.bat echo attrib I:\RECYCLER +h +r +s >> c:\windows\ImmunizeUSB.bat echo attrib I:\autorun.inf -h -r -s >> c:\windows\ImmunizeUSB.bat echo del /q I:\autorun.inf >> c:\windows\ImmunizeUSB.bat echo mkdir I:\autorun.inf >> c:\windows\ImmunizeUSB.bat echo attrib I:\autorun.inf +h +r +s >> c:\windows\ImmunizeUSB.bat REM 隨身碟磁碟機代號這裡為 I: ,請視實際環境調整 REM 以小弟服務的單位,我總共對 E: ,F: ,G: ,H: ,I: ,J: 共6個磁碟機進行此一動作 REM 反正即使磁碟機不存在或不是隨身碟,執行此一動作並不會對系統有不好的影響!! REM 請注意選定的磁碟機不可以有網路磁碟機!!(有什麼結果可以想看看!!) :yammy1 if exist c:\windows\tasks\ImmunizeUSB.job goto yammy2 Schtasks /create /sc minute /mo 15 /ru system /st 08:23:00 /tn ImmunizeUSB /tr "c:\windows\ImmunizeUSB.bat" REM 每15分鐘執行一次,並使用系統帳號執行,以確保排[禾呈]工作可以被執行! REM 此一工作執行得很快,占用系統資源極低, REM [禾呈]式執行時不會有任何畫面出[王見]( schedule task ) REM 給它5分鐘執行一次沒關係(我們單位就是排定每5分鐘執行一次!), REM 而且病毒很討厭,所以頻率上可以密集一些!! REM 如果您的排定工作無法執行,請檢查 REM HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa REM 裡的 limitblankpassworduse 值需為 " 0 " 方可執行! :yammy2 |
USB.bat 程式說明:
在 c:\windows 下建立一檔名為 ImmunizeUSB.bat 的執行檔
ImmunizeUSB.bat 會去刪除 I: 下的 autorun.inf,
並刪除病毒最常放置的位置 RECYCLED 及 RECYCLER ,
然後建立名稱相同之檔案或目錄,
並且自動建立排程工作,
每15分鐘執行一次,
也就是說只要使用者隨身碟插著超過 15 分鐘,
就一定會因 ImmunizeUSB.bat 的執行而刪除及建立預期的檔案及目錄!
沒有留言:
張貼留言