Valutazione 4.87/ 5 (100.00%) 5838 voti

Guide: passo per passo

Condividi:        

Generale
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
6. Workstations e le associazioni dei files pericolose

La maggioranza di virus e worm dipende dalle associazioni dei files per l'esecuzione degli allegati ostili. Apporre la propria fiducia in un eventuale training che induca gli utenti a non aprire allegati sospetti non è abbastanza, occorre una strategia più sicura quale la decisione di cancellare le associazioni dei files per i tipi più pericolosi, come .bat, .cmd e .vbs. Dopo aver eliminato queste associazioni sarebbe opportuno verificare che non ci siano problemi legati all'esecuzioni di script legittimi dai quali si dipende. Ad esempio, se si desidera cancellare l'associazione dei files .vbs ma nel menù Start c'è un collegamento a uno script chiamato update.vbs, sarà necessario modificare questo collegamento in modo che non si colleghi direttamente a update.vbs, ma esegua invece wscript update.vbs.

Eliminare manualmente le associazioni da ogni workstation è un lavoro improbo e laborioso. E' comunque possibile creare un file .reg che faccia in automatico tutto questo lavoro. Per togliere l'associazione .vbs aprire Notepad e creare un file con le linee seguenti:

REGEDIT4
[-HKEY_CLASSES_ROOT\VBSFile]


REGEDIT4 è un header richiesto, che specifica il tipo di file. E' sufficiente copiare e modificare la seconda linea per ogni associazione di file che si desidera cancellare, sostituendo a VBS l'estensione appropriata, come ad esempio CMDFile. Infine assegniamo al file il nome DeleteFileAssociations.reg e salviamolo. Dopo aver aperto un prompt dei comandi digitiamo:
regedt32 /s deletefileassociations.reg

In questo modo Regedt32 cancellerà le sottochiavi specificate del registro di sistema sotto la chiave HKEY_CLASSES_ROOT. E' possibile usare Group Policy e gli script di avvio per implementare il file .reg in ogni workstation del dominio.

E' importante rammentare che l'installazione di un Service Pack o di un aggiornamento potrebbe riassociare quel che in precedenza si era eliminato; a questo scopo si può valutare l'opportunità di riassociare a un programma innocuo come Notepad le estensioni dei file pericolosi.


Generale: Dylan666 [40 visite dal 20 Dicembre 04 @ 00:01 am]