หยุดฟังก์ชั่น autorun and autoplay ป้องกันไวรัสเบื้องต้น

เรื่องนี้เป็นตอนที่สองของการ implement หยุดไวรัสที่ต้นเหตุของไฟล์ Autorun.inf กันเถอะ ในตอนที่หนึ่งได้ยกบริษัทแห่งหนึ่งมาเป็นตัวอย่าง ซึ่งได้แนะนำให้ user ตรวจเช็คหาไฟล์ autorun.inf ด้วยตนเองแล้ว ซึ่งหากลบไม่ได้หรือลบแล้วไม่หาย ก็เป็นไปได้ที่ไวรัสได้เข้าควบคุมคอมพิวเตอร์นั้นแล้ว ฉะนั้นการแก้ปัญหาต่อไปคือทำคอมพิวเตอร์นั้นให้สะอาดจากไวรัสเสียก่อน หลังจากนั้นให้เซ็ตเครื่องเพื่อหยุดการทำงานของ autorun โดยใช้เทคนิคการแก้ไขค่าต่าง ๆ เข้ามาผสมผสานกัน ซึ่งวิธีการที่เราใช้สามารถป้องกันไวรัสจาก flash drive ได้ถึงแปดสิบเปอร์เซ็นต์บวกกับการรู้วิธีเช็คและตรวจหาของผู้ใช้ด้วยแล้วเกือบจะป้องกันได้ถึงร้อยเปอร์เซ็นต์เลยทีเดียว

ซึ่งการหยุดฟังก์ชั่น autorun มีการแก้ไขค่าต่าง ๆ ของ registry ด้วยการเรียกค่าสั่ง regedit และแก้ไขค่าต่าง ๆ ดังนี้

1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Link ต้นแบบ

2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom
ดับเบิลคลิก Autorun ใส่ค่าเป็น 0
link ต้นแบบ

3. ไปที่ Start -> Run -> พิมพ์คำสั่ง gpedit.msc
-> Computer Configuration
-- > Administrative Templates
- ---> System
ดับเบิลคลิกที่ Turn off Autoplay เลือกเป็น All drives
Link ต้นแบบ

4. HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2,
--- ให้คลิกขวาที่ MountPoints2 และเลือก permission
---- จากนั้นให้คลิก Advance และเอาเช็คออกที่ 'inherit from parent the permission entires that apply to child objects.Include these with entires explicity defined here'
------ เลือก 'remove'.'Yes' and 'ok'
link ต้นแบบ
ศึกษาเพิ่มเติมได้อีกที่ Wikipedia

เพื่อให้วินโดวส์มีความปลอดภัยมากขึ้น ควรปิด service ต่าง ๆ ที่ไม่จำเป็น และตรวจเช็ค startup ให้ startup เฉพาะโปรแกรมที่จำเป็นเท่านั้น

ศึกษาเพิ่มเติมจากเว็บเหล่านี้

Windows XP: List of Services to Disable to Increase Speed
Windows Vista Service Configurations Introduction
ปิด Service ที่น่ารำคาญทิ้งเสีย
ปัดกวาด Startup ใน Msconfig
Remove disabled items from MSConfig!
http://en.wikipedia.org/wiki/MSConfig

ในส่วนของ peopleware ต้องสอนให้มีความรู้เกี่ยวกับการใช้ flash drive และพฤติกรรมเสี่ยงต่าง ๆ และถือคติไทยว่า "กันไว้ดีกว่าแก้" เช่น

1. ก่อนใช้ flash drive ต้องทำการตรวจสอบหาไฟล์ autorun.inf ก่อน ซึ่งใช้เวลาไม่นานมาก หากพบให้ทำการแก้ไขให้เรียบร้อยตามคำแนะนำในตอนที่หนึ่ง
2. การใช้ flash drive และ removeable drive ต่าง ๆ ไม่ควรดับเบิลคลิกที่ตัวไดร์ฟนั้นๆโดยตรง วิธีการใช้ให้คลิกขวาที่ตัวไดร์ฟนั้นเพื่อเปิด popup menu และคลิกเลือก explorer เพื่อเปิดโฟลเดอร์ขึ้นมา ส่วนไฟล์ข้อมูลต่าง ๆ นั้นให้ดับเบิลคลิกเปิดใช้งานได้โดยปกติ
3. ปฏิบัติตามกฏระเบียบการใช้คอมพิวเตอร์ของบริษัทอย่างเคร่งครัด

กลับมาที่บริษัทตัวอย่างของเราได้ป้องกันทั้ง software / hardware และ peopleware แล้ว ก็ยังมีพฤติกรรมเสี่ยงจากสภาพแวดล้อมของเน็ตเวิร์กที่จะทำให้ไวรัสแพร่ระบาดได้อีกคือการแชร์ไฟล์ โดยเฉพาะใช้ windowsxp ทำหน้าที่เป็น server ติดตั้งโปรแกรม express จุดนี้แก้ไขให้ด้วยการติดตั้ง linux server และแชร์ express ผ่านเครื่อง linux server การใช้งานต่าง ๆ ก็เป็นไปด้วยดี จนถึงวันนียังไม่พบไวรัสเกิดขึ้นอีก และที่สำคัญที่สุดคือ บริษัทไม่ต้องลงทุนซื้อโปรแกรม antivirus เหมือนเดิมอีกต่อไป

อีกเรื่องหนึ่งของบริษัทนี้เมื่อคอมพิวเตอร์เสียต้องส่งซ่อมที่ร้านประจำ ซึ่งการคอนฟิกการป้องกันต่าง ๆ ตามที่กล่าวมาทางร้านไม่ได้จัดการให้ ยังคงติดตั้งโปรแกรมแบบโคลนนิ่งจากฮาร์ดดิสก์สำเร็จรูป และยังคงเป็นบ่อเกิดของไวรัสเหมือนเดิม ซึ่งทางผู้บริหารได้รับจัดการเรื่องนี้โดยจะเทรนบุคลากรที่พอจะมีความสามารถในบริษัทให้เป็นผู้ดูแลการติดตั้งโปรแกรม ซึ่งก็เป็นไปได้สวย ซ้ำยังลดค่าใช้จ่ายจากการส่งคอมพิวเตอร์ไปซ่อมภายนอกได้ด้วย