Bằng cách dừng dịch vụ "Server" trên một điểm cuối, khả năng truy cập vào bất kỳ chia sẻ nào được lưu trữ trên điểm cuối sẽ bị vô hiệu hóa (Hình 1).
.jpg)
Hình 1. Các thuộc tính Dịch vụ "Server"
Bằng cách sử dụng mẫu Chính sách Nhóm "MSS (Legacy)", các chia sẻ quản trị có thể được vô hiệu hóa trên máy chủ hoặc máy trạm bằng cách sử dụng các thiết lập Chính sách Nhóm (Hình 2).
.jpg)
Hình 2. Vô hiệu hóa các chia sẻ quản trị thông qua "MSS (Legacy)"
SMB (Server Message Block) là giao thức mạng cho phép truy cập từ xa vào tài nguyên và quản lý quyền truy cập, giúp các máy tính trên mạng truyền thông và chia sẻ dữ liệu hiệu quả. Ngoài việc cập nhật các bản vá cho những lỗ hổng đã biết ảnh hưởng đến các giao thức phổ biến, việc vô hiệu hóa SMB v1 có thể giảm thiểu việc lây nhiễm hàng loạt gây ra bởi các biến thể ransomware cụ thể.
SMBv1 có thể được vô hiệu hóa trên "Windows 7" và "Windows Server 2008 R2" (và các phiên bản mới hơn) bằng cách sử dụng PowerShell, sửa đổi registry hoặc bằng cách sử dụng mẫu chính sách nhóm.
Lệnh PowerShell để vô hiệu hóa SMB v1: “SetSmbServerConfiguration -EnableSMB1Protocol $false”. Các câu lệnh được thể hiện tại Hình 3,4.
.jpg)
Hình 3. Khóa và giá trị registry để vô hiệu hóa máy chủ (listener) SMB v1
Hình 4. Khóa và giá trị registry để vô hiệu hóa máy khách SMB v1
Sử dụng mẫu "Group Policy" của “Microsoft Security Guide”, SMB v1 có thể được vô hiệu hóa bằng cách sử dụng các cài đặt được ghi chú dưới Hình 5.
Hình 5. Vô hiệu hóa máy chủ SMB v1 thông qua mẫu Group Policy của “MS Security Guide”
Windows Remote Management (WinRM) là một dịch vụ của Microsoft cho phép quản trị viên quản lý và cấu hình máy tính Windows từ xa. Kẻ tấn công có thể tận dụng dịch vụ WinRM để phát tán phần mềm tống tiền trong toàn bộ môi trường. WinRM được bật theo mặc định trên tất cả các hệ điều hành Windows Server (kể từ Windows Server 2012 trở lên) nhưng bị tắt trên tất cả các hệ điều hành máy khách (Windows 7 và Windows 10) và các nền tảng máy chủ cũ hơn (Windows Server 2008 R2). PowerShell Remote (PS Remoting) là một tính năng thực thi lệnh từ xa của Windows được xây dựng dựa trên giao thức WinRM.
Lệnh PowerShell để vô hiệu hóa WinRM/ PowerShell Remoting trên máy trạm: “DisablePSRemoting-Force”.
Nếu WinRM đã từng được bật trên một hệ điều hành máy khách (không phải máy chủ) thì các cấu hình sau sẽ tồn tại trên thiết bị và không thể khắc phục chỉ bằng lệnh PowerShell trên.
- Cấu hình trình nghe WinRM
- Cấu hình ngoại lệ Tường lửa của Windows
Những cấu hình này cần phải được vô hiệu hóa thủ công bằng các lệnh khác.
Vô hiệu hóa PowerShell Remoting không ngăn người dùng cục bộ tạo các phiên PowerShell trên máy tính cục bộ - hoặc cho các phiên dành cho máy tính từ xa. Sau khi chạy lệnh, thông báo được ghi lại trong Hình 6 sẽ được hiển thị.
Hình 6. Thông báo cảnh báo sau khi vô hiệu hóa PSRemoting
Dưới đây là cách thực hiện các bước bổ sung để vô hiệu hóa WinRM thông qua PowerShell:
Lệnh PowerShell để dừng và vô hiệu hóa Dịch vụ WinRM: “Stop-Service WinRM -PassThruSetService WinRM -StartupType Disabled”
Các lệnh PowerShell để xóa một người nghe WSMAN nhằm vô hiệu hóa người nghe chấp nhận yêu cầu trên địa chỉ IP bất kỳ:
“dir wsman:\localhost\listener
Remove-Item -Path WSMan:\Localhost\ listener\<Listener name>”
Lệnh PowerShell để vô hiệu hóa ngoại lệ tường lửa cho WinRM: “Set-NetFirewallRule -DisplayName ‘Windows Remote Management (HTTP-In)’ -Enabled False”
Lệnh PowerShell để cấu hình khóa registry cho LocalAccountTokenFilterPolicy:
“Set-ItemProperty -Path
HKLM:\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\system -Name LocalAccountTokenFilterPolicy -Value 8”
Ngoài ra chúng ta có thể sử dụng chính sách nhóm để quản lý cấu hình truy cập từ xa cho tất cả các bộ lệnh được hỗ trợ để thực thi tập lệnh và lệnh.
Ransomware không chỉ đe dọa tính toàn vẹn dữ liệu mà còn gây ra những tổn thất nặng nề về tài chính và uy tín của tổ chức. Kẻ tấn công liên tục cải tiến các phương thức tấn công ransomware để tìm ra cách thức mới để tận dụng các lỗ hổng trong hệ thống. Bài viết không thể bao hàm tất cả các chiến lược và biện pháp kiểm soát mà một tổ chức có thể sử dụng để phòng ngừa ransomware, nhưng có thể hỗ trợ cho việc phòng ngừa, giảm thiểu một phần tác động của các tấn công mã độc nói chung và ransomware nói riêng.
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng); Nguyễn Văn Khoa (Đại học Kỹ thuật - Hậu cần Công an nhân dân)
10:00 | 04/10/2024
09:00 | 03/02/2025
13:00 | 30/07/2024
21:00 | 31/01/2025
09:00 | 03/07/2024
22:00 | 25/01/2025
Một trong những rủi ro an toàn thông tin (ATTT) nghiêm trọng trong quá trình chuyển đổi số đó là lộ, lọt bí mật trong nội bộ tổ chức, đơn vị thông qua hạ tầng chuyển đổi số. Việc rò rỉ dữ liệu có thể xảy ra ở nhiều mức độ khác nhau như từ hệ thống mạng, thiết bị đầu cuối, in ấn đến lưu trữ tập trung… Mỗi một mức độ đều có những rủi ro riêng cần được quản lý và phòng ngừa chặt chẽ. Đã có nhiều nghiên cứu, sản phẩm quan tâm tới vấn đề phòng chống rò rỉ dữ liệu nhạy cảm nhưng mới tập trung ở một vài mức độ. Trong bài viết này, nhóm tác giả đề xuất một giải pháp mã nguồn mở phòng chống rò rỉ dữ liệu nhạy cảm ở nhiều mức độ khác nhau nhằm bảo vệ hiệu quả ATTT mạng nội bộ tổ chức, đơn vị triển khai chuyển đổi số.
08:00 | 26/09/2024
Mới đây, Discord đã giới thiệu giao thức DAVE (Discord Audio and Video End-to-End Encryption), một giao thức mã hóa đầu cuối tùy chỉnh (E2EE) được thiết kế để bảo mật các cuộc gọi âm thanh và video trên nền tảng này trước các nguy cơ nghe lén và ngăn chặn trái phép từ tác nhân bên ngoài.
16:00 | 13/09/2024
Cùng với sự phát triển của công nghệ, tội phạm mạng đang gia tăng thủ đoạn sử dụng video, hình ảnh ghép mặt người quen cùng với giọng nói đã được ghi âm sẵn (deepfake) với mục đích tạo niềm tin, khiến nạn nhân tin tưởng và chuyển tiền cho thủ phạm nhằm lừa đảo chiếm đoạt tài sản. Bài báo sau đây sẽ thông tin đến độc giả về cách nhận biết và đưa ra những biện pháp phòng tránh và giảm thiểu trước các cuộc tấn công lừa đảo sử dụng công nghệ Deepfake.
09:00 | 18/07/2024
Mới đây, Bộ Công an đã thông tin về tình trạng tin nhắn tin nhắn thương hiệu (SMS Brandname) giả mạo phần lớn xuất phát từ việc các đối tượng sử dụng trạm phát sóng BTS giả mạo để gửi hàng loạt tin nhắn lừa đảo tới người dùng với mục đích nhằm chiếm đoạt tài sản.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025
