goshhie.... das allang bekent toch? niks nieuws dus... alleen dat het van een 'expert' afkomt....

Mogelijkheden voor uitzetten van Autorun op XP-SP3 en Vista

Op een fully-patched XP-SP3 PC en Vista heb je momenteel (volgens mij) de volgende keuzemogelijkheden om "Autorun" te disablen:

(1) Meest effectief (alle devices, ook CDFS, dus ook CD's en DVD's, let op dat veel gebruikers hieraan gewend zijn): door in het register de "IniFileMapping" van Autorun.inf op "@SYS:DoesNotExist" te zetten (zie http://en.wikipedia.org/wiki/Autorun#Initialisation_file_mapping of de blog van de bedenker, Nick Brown: http://nickbrown-france.blogspot.com/2007/10/memory-stick-worms.html). Nadeel (naast dat autorun niet werkt op CD/DVD): sommige setup.exe programma's op CD/DVD kunnen installatieinstructies in autorun.inf hebben opgeslagen, en kunnen na deze hack dat bestand niet meer uitlezen (meer info: http://www.security.nl/artikel/31104/1/Autorun_SYS:DoesNotExist_reghack_risico.html)

(2) Aanpassen van de NoDriveTypeAutoRun waarde in het register (kan ook via Group Policies). Dat kan via de "Fix It" waar het US-CERT artikel naar verwijst (zie http://www.us-cert.gov/current/index.html#removable_media_security_practices), je hoeft dan niet zelf het register te wijzigen. Voor meer info zie bijv. http://en.wikipedia.org/wiki/Autorun#NoDriveTypeAutoRun en http://support.microsoft.com/kb/967715. Let op: voorwaarde voor de werking hiervan is dat onder XP patch KB967715 moet zijn geinstalleerd, welke begin 2009 via automatische updates is verspreid (zie http://www.security.nl/artikel/27510/MS_(luistert_naar_Bitwiper_:)_bemoeilijkt_verspreiding_van_Conficker.html). Bovendien zijn er onbevestigde geruchten dat deze methode niet goed zou werken als een bepaalde USB memorystick eerder in de PC gestoken is geweest.

(3) Blokkeren van Autorun.inf op alle devices behalve CD/DVD (inclusief USB sticks met CDFS partitie). Op W7 is deze installing de default. Deze optie 3 kan door handmatig de patch vanaf http://support.microsoft.com/kb/971029 te downloaden en die te draaien. Die patch bevat een shell32.dll van medio 2009, maar overschrijft de versie van juli 2010 daarvan (die elk systeem met automatische updates ondertussen hoort te hebben) niet met de oudere versie (is dus safe). Wel vervangt KB971029 het bestand shsvcs.dll door een nieuwe, en voegt de registerwaarde IsAutorunForCDROMOnly (type DWORD) met waarde 1 toe onder de key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers.

Na het toepassen van 1 van de voorgestelde oplossingen kun je het beste de PC helemaal opnieuw opstarten om zeker te weten dat de functionaliteit actief is. Ik vermoed (met grote zekerheid maar getest heb ik dat niet) dat alle 3 de methodes ook werken onder Vista (als je voor optie 3 kiest let er dan dan wel op dat je de Vista variant van http://support.microsoft.com/kb/971029 downloadt).

Ik raad XP SP3 en Vista gebruikers optie 3 aan. Windows 7 gebruikers hoeven niets te doen (Windows 7 is uitgeleverd met optie 3 "aan boord").

Voor meer info zie de discussie in http://www.security.nl/artikel/34115/1/Microsoft%3A_Stop_de_paniekzaaierij.html.