THIẾT LẬP DỊCH VỤ SERVER

Bằng cách dừng dịch vụ "Server" trên một điểm cuối, khả năng truy cập vào bất kỳ chia sẻ nào được lưu trữ trên điểm cuối sẽ bị vô hiệu hóa (Hình 1).

Hình 1. Các thuộc tính Dịch vụ "Server"

PHƯƠNG PHÁP CHÍNH SÁCH NHÓM

Bằng cách sử dụng mẫu Chính sách Nhóm "MSS (Legacy)", các chia sẻ quản trị có thể được vô hiệu hóa trên máy chủ hoặc máy trạm bằng cách sử dụng các thiết lập Chính sách Nhóm (Hình 2).

Hình 2. Vô hiệu hóa các chia sẻ quản trị thông qua "MSS (Legacy)"

VÔ HIỆU HÓA SMB V1

SMB (Server Message Block) là giao thức mạng cho phép truy cập từ xa vào tài nguyên và quản lý quyền truy cập, giúp các máy tính trên mạng truyền thông và chia sẻ dữ liệu hiệu quả. Ngoài việc cập nhật các bản vá cho những lỗ hổng đã biết ảnh hưởng đến các giao thức phổ biến, việc vô hiệu hóa SMB v1 có thể giảm thiểu việc lây nhiễm hàng loạt gây ra bởi các biến thể ransomware cụ thể.

SMBv1 có thể được vô hiệu hóa trên "Windows 7" và "Windows Server 2008 R2" (và các phiên bản mới hơn) bằng cách sử dụng PowerShell, sửa đổi registry hoặc bằng cách sử dụng mẫu chính sách nhóm.

Lệnh PowerShell để vô hiệu hóa SMB v1: “SetSmbServerConfiguration -EnableSMB1Protocol $false”. Các câu lệnh được thể hiện tại Hình 3,4.

Hình 3. Khóa và giá trị registry để vô hiệu hóa máy chủ (listener) SMB v1

Hình 4. Khóa và giá trị registry để vô hiệu hóa máy khách SMB v1

Sử dụng mẫu "Group Policy" của “Microsoft Security Guide”, SMB v1 có thể được vô hiệu hóa bằng cách sử dụng các cài đặt được ghi chú dưới Hình 5.

Hình 5. Vô hiệu hóa máy chủ SMB v1 thông qua mẫu Group Policy của “MS Security Guide”

THỰC HIỆN GIA CỐ DỊCH VỤ WINDOWS REMOTE MANAGEMENT

Windows Remote Management (WinRM) là một dịch vụ của Microsoft cho phép quản trị viên quản lý và cấu hình máy tính Windows từ xa. Kẻ tấn công có thể tận dụng dịch vụ WinRM để phát tán phần mềm tống tiền trong toàn bộ môi trường. WinRM được bật theo mặc định trên tất cả các hệ điều hành Windows Server (kể từ Windows Server 2012 trở lên) nhưng bị tắt trên tất cả các hệ điều hành máy khách (Windows 7 và Windows 10) và các nền tảng máy chủ cũ hơn (Windows Server 2008 R2). PowerShell Remote (PS Remoting) là một tính năng thực thi lệnh từ xa của Windows được xây dựng dựa trên giao thức WinRM.

Lệnh PowerShell để vô hiệu hóa WinRM/ PowerShell Remoting trên máy trạm: “DisablePSRemoting-Force”.

Nếu WinRM đã từng được bật trên một hệ điều hành máy khách (không phải máy chủ) thì các cấu hình sau sẽ tồn tại trên thiết bị và không thể khắc phục chỉ bằng lệnh PowerShell trên.

- Cấu hình trình nghe WinRM

- Cấu hình ngoại lệ Tường lửa của Windows

Những cấu hình này cần phải được vô hiệu hóa thủ công bằng các lệnh khác.

Vô hiệu hóa PowerShell Remoting không ngăn người dùng cục bộ tạo các phiên PowerShell trên máy tính cục bộ - hoặc cho các phiên dành cho máy tính từ xa. Sau khi chạy lệnh, thông báo được ghi lại trong Hình 6 sẽ được hiển thị.

Hình 6. Thông báo cảnh báo sau khi vô hiệu hóa PSRemoting

Dưới đây là cách thực hiện các bước bổ sung để vô hiệu hóa WinRM thông qua PowerShell:

Lệnh PowerShell để dừng và vô hiệu hóa Dịch vụ WinRM: “Stop-Service WinRM -PassThruSetService WinRM -StartupType Disabled”

Các lệnh PowerShell để xóa một người nghe WSMAN nhằm vô hiệu hóa người nghe chấp nhận yêu cầu trên địa chỉ IP bất kỳ:

“dir wsman:\localhost\listener

Remove-Item -Path WSMan:\Localhost\ listener\<Listener name>”

Lệnh PowerShell để vô hiệu hóa ngoại lệ tường lửa cho WinRM: “Set-NetFirewallRule -DisplayName ‘Windows Remote Management (HTTP-In)’ -Enabled False”

Lệnh PowerShell để cấu hình khóa registry cho LocalAccountTokenFilterPolicy:

“Set-ItemProperty -Path

HKLM:\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\system -Name LocalAccountTokenFilterPolicy -Value 8”

Ngoài ra chúng ta có thể sử dụng chính sách nhóm để quản lý cấu hình truy cập từ xa cho tất cả các bộ lệnh được hỗ trợ để thực thi tập lệnh và lệnh.

KẾT LUẬN

Ransomware không chỉ đe dọa tính toàn vẹn dữ liệu mà còn gây ra những tổn thất nặng nề về tài chính và uy tín của tổ chức. Kẻ tấn công liên tục cải tiến các phương thức tấn công ransomware để tìm ra cách thức mới để tận dụng các lỗ hổng trong hệ thống. Bài viết không thể bao hàm tất cả các chiến lược và biện pháp kiểm soát mà một tổ chức có thể sử dụng để phòng ngừa ransomware, nhưng có thể hỗ trợ cho việc phòng ngừa, giảm thiểu một phần tác động của các tấn công mã độc nói chung và ransomware nói riêng.