Hướng dẫn rà soát đảm bảo an toàn thông tin trên hệ thống thông tin của đơn vị
Kèm theo công văn số 30 /TTCNTT-QTHT ngày 30/01/2019 về việc cảnh báo bùng phát lây nhiễm mã độc mã hóa dữ liệu
1. Cập nhật các bản vá bảo mật cho hệ điều hành
- Kiểm tra phiên bản Windows đang sử dụng
Vào Run, gõ câu lệnh “winver” để xem phiên bản Windows và Service Park đi kèm.
- Kiểm tra đã cập nhật bản vá tương ứng với ký hiệu của Microsoft chưa?
Ví dụ: Với bản vá cho lỗ hổng có ký hiệu MS17-010. Truy cập vào link sau để xem mã bản vá tương ứng với phiên bản Hệ điều hành:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Kiểm tra đã cập nhật bản vá này chưa:
Chạy “cmd” gõ câu lệnh sau để kiểm tra:
wmic qfe get hotfixid | find "KBxxxx"
Thay đoạn KBxxx bằng mã như hình trên. Ví dụ như:
wmic qfe get hotfixid | find "KB4012598"
Kết quả: Nếu đã cài thì báo như sau:
- Tiến hành cập nhật các bản vá tiếp theo:
|
EmeraldThread (MS 10-06)
|
https://technet.microsoft.com/en-us/library/security/ms10-106.aspx
|
Bản vá dành cho ứng dụng: Microsoft Exchange Server 2007 Service Pack 2 for x64-based Systems
|
|
EtemalChampion (CVE-2017-0146 và CVE-2017-0147)
|
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|
02 bản CVE này đã được cập nhật trong bản MS17-010
|
|
MS14-068
|
https://technet.microsoft.com/en-us/library/security/ms14-068.aspx
|
|
|
MS17-010
|
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|
|
|
MS09-050
|
https://technet.microsoft.com/en-us/library/security/ms09-050.aspx
|
|
|
MS08-067
|
https://technet.microsoft.com/en-us/library/security/ms08-067.aspx
|
|
- Danh sách các hệ điều hành của máy trạm bị ảnh hưởng
Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10.
- Danh sách các hệ điều hành của máy chủ bị ảnh hưởng
Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
- Hoặc có thể truy cập trực tiếp các link sau để tải về các bản vá tương ứng với phiên bản Windows đang sử dụng:
- XP: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- Vista
+ 32: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
+ 64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
- Win 7
+ 32: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
+ 64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
- Win 8
+ 32: https://download.microsoft.com/download/1/D/3/1D38C957-CE2B-45A8-B2B5-A548AFC80E1D/Windows8-RT-KB4012598-x86-custom.msu
+ 64: https://download.microsoft.com/download/D/7/1/D7162EEF-0F67-4AB1-90B9-CF47BCAC568E/Windows8-RT-KB4012598-x64-custom.msu
- Win 8.1
+ 32: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
+ 64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
- Win 10
+ 32: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
+ 64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
- Windows 10 Version 1511
+ 32: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
+ 64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
- Windows 10 Version 1607
+ 32: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
+ 64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
2. Khóa các cổng liên quan và tắt chức năng SMBv1
Đối với những hệ điều hành không được Microsoft hỗ trợ hoặc không cập nhật được bản vá, có thể tham khảo thêm các cách sau để disable giao thức SMBv1
- Cách 1: Gõ lệnh sau trên CMD với quyền administrator: (chỉ áp dụng với Windows 10, 8.1, Server 2016, 2012R)
dism /online /norestart /disable-feature /featurename:SMB1Protocol
- Cách 2:
+ Đối với máy trạm (Client): Vào Control Panel => All Control Panel Items => Programs and Features => Turn windows features on or off bỏ tick dòng SMB 1.0/CIFS File Sharing Support => Khởi động lại máy tính
+ Đối với máy chủ (Server): Vào Server Manager => the Manage menu => Remove Roles and Features.
Trong the Features window => bỏ tick Clear the SMB1.0/CIFS File Sharing Support => OK => Khởi động lại máy tính
Trên các máy chủ, sử dụng Firewall đóng các port 445/137/138/139/3389 cho cả 02 giao thức TCP và UDP
3.. Cài đặt và cập nhật phần mềm diệt Virus và Malware
Trên máy trạm chưa cài đặt phần mềm diệt Virus: Tiến hành cài đặt các phần mềm diệt Virus, tạm thời sử dụng các phần mềm miễn phí đã cập nhật phát hiện các mẫu của mã độc.
BKAV: http://www.bkav.com.vn
https://www.bitdefender.com/solutions/anti-ransomware-tool.html
4. Sử dụng tên toàn khoản và mật khẩu mạnh
Thay vì đặt tên tài khoản là tên bản thân, bạn bè, gia đình …Hoặc những tài khoản mặc định như Admin thì hãy đổi tên tài khoản khác. Khi sử dụng mật khẩu, cần đặt mật khẩu mạnh đáp ứng các tiêu chí sau:
- Chứa 8 ký tự trở lên;
- Chứa các ký tự từ 2 trong 3 trường ký tự như sau:
+ Bẳng chữ cái ( ví dụ: a->z, A->Z)
+ Số ( 0->9 )
+ Các ký tự đặc biệt ( :! @ # $% ^ & * () _ + | ~ - = \ `{} []:"; '<>?,. / )
- Mật khẩu không nên bao gồm:
+ Tên username
+ Các cụm từ xuất hiện trong từ điển
+ Đánh vần ngược
5. Giới hạn số lần đặng nhập sai
Các cuộc tấn công RDP cần phải dùng hàng ngàn, triệu lần đặng nhập liên tục. Vì vậy có thể tăng thời để thực hiện tấn công lên rât nhiều lần thì nên khóa người dùng sau một số lần đăng nhập sai nhất định trong 1 khoảng thời gian nhất định Cách thiết lập giới hạn:
Bước 1: Mở Administrative Tools - Control panel -> System and Security -> Administrative Tools
Bước 2: Mở Local Securty Policy
- Mở tab Account Policies rồi bên trong mở tab Account Lockout Policy
- Kích hoạt giới hạn ở phần Account Lockout Threshold
- Chỉnh thời gian khóa tại tab Account Lockout Duration
6. Thay đổi cổng RDP
- Khi quét, Hacker thường tìm kiếm các kết nối sử dụng cổng RDP mặc định (TCP 3389). Chúng ta có thể ẩn các kết nối RDP của mình bằng cách thay đổi công sang cổng khác. Tuy nhiên cần lưu ý tránh xung đột cổng kết nối với phần mềm khác (như cổng 80 – HTTP , cổng 443 – HTTPS … )
- Cách thực hiện:
+ Vào Start, chọn Run (hoặc bấm phím Windows + R)
+ Tìm đến đường dẫn: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
7. Triển khai giải pháp bảo đảm an toàn khi truy cập từ xa
- Nếu cần truy cập quản trị server từ xa dùng Remote Desktop, ưu tiên sử dụng kênh kết nối VPN.
- Kênh kết nối VPN có thể triển khai trên các hệ thống Windows Server hoặc các thiết bị Firewall chuyên dụng.