امنيت نامه های الکترونيکی ( بخش اول )

[Ehsan M]

اينترنت چالش های جديدی را در عرصه ارتباطات ايجاد کرده است. کاربران اينترنت با استفاده از روش های متفاوت ،امکان ارتباط با يکديگر را بدست آورده اند .اينترنت زير ساخت مناسب برای ارتباطات نوين را فراهم و زمينه ای مساعد و مطلوب بمنظور بهره برداری از سرويس های ارتباطی توسط کاربران فراهم شده است . بدون شک ، پست الکترونيکی در اين زمينه دارای جايگاهی خاص است .
پست الکترونيکی، يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است . شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند . در اين مقاله قصد نداريم به بررسی مزايای سيستم پست الکترونيکی اشاره نمائيم. در صورتيکه بپذيريم که سيستم پست الکترونيکی عرصه جديدی را در ارتباطات افراد ساکن در کره زمين ايجاد کرده است، می بايست بگونه ای حرکت نمائيم که از آسيب های احتمالی تکنولوژی فوق نيز در امان باشيم .
طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند ، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت ، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم . عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث ، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب ، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا" مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی ) . در اين مقاله ، به بررسی روش های پيشگيری از تخريب اطلاعات در شبکه های کامپيوتری از طريق پست الکترونيکی پرداخته و با ارائه راهکارهای مناسب ، يک سيستم حفاظتی مطلوب پيشنهاد می گردد . در اين راستا ، عمدتا" بر روی برنامه سرويس گيرنده پست الکترونيکی ماکروسافت (Outlook) متمرکز خواهيم شد( بدليل نقش بارز و مشهود اين نوع از برنامه ها در جملات اينترنتی اخير) .
سيل ناگهانی حملات اينترنتی مبتنی بر کدهای مخرب، با ظهور کرم ILOVEYOU ، وارد عرصه جديدی شده است . سيتسم های مدرن پست الکترونيکی بمنظور مقابله با اين نوع از تهديدات ، تدابير لازم را در جهت ايجاد يک حفاظ امنيتی مناسب برای مقابله با عرضه و توزيع کدهای مخرب آغاز نموده اند .برنامه های سرويس گيرنده پست الکترونيکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نويسندگان کدهای مخرب می باشند . شايد يکی از دلايل آن ، گستردگی و مدل برنامه نويسی خاص بکارگرفته شده در آنان باشد . تاکنون کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ويروس ( و يا کرم ) در زمينه تخريب اطلاعات از طريق اينترنت ، شرکت ماکروسافت را وادار به اتخاذ تصميمات امنيتی خاص در اينگونه موارد نمود . اين ويروس ها عبارتند از :

• ويروس Melissa ، هدف خود را بر اساس يک فايل ضميمه Word مورد حمله ويرانگر قرار می دهد . بمحض باز نمودن فايل ضميمه ، کد مخرب بصورت اتوماتيک فعال می گردد .
  
• ويروس BubbleBoy ، همزمان با مشاهده ( پيش نمايش ) يک پيام ، اجراء می گردد . در اين رابطه ضرورتی به باز نمودن فايل ضميمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در ويروس فوق ، کدهای نوشته شده در بدنه نامه الکترونيکی قرار می گيرند . بدين ترتيب، بمحض نمايش پيام توسط برنامه مربوطه ، زمينه اجرای کدهای مخرب فراهم می گردد .
  
• کرم ILOVEYOU از لحاظ مفهومی شباهت زيادی با ويروس Mellisa داشته و بصورت يک فايل ضميمه همراه يک نامه الکترونيکی جابجا می گردد . در اين مورد خاص، فايل ضميمه خود را بشکل يک سند Word تبديل نکرده و در مقابل فايل ضميمه از نوع يک اسکريپت ويژوال بيسيک (vbs . ) بوده و بمحض فعال شدن، توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH) تفسير و اجراء می گردد .

پيشگيری ها
در اين بخش به ارائه پيشنهادات لازم در خصوص پيشگيری از حملات اطلاعاتی مبتنی بر سرويس گيرندگان پست الکترونيکی خواهيم پرداخت.رعايت موارديکه در ادامه بيان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از اين نوع نبوده بلکه زمينه تحقق اين نوع حوادث را کاهش خواهد داد .
پيشگيری اول : Patch های برنامه پست الکترونيکی ماکروسافت
بدنبال ظهور کرم ILOVEYOU و ساير وقايع امنيتی در رابطه با امنيت کامپيوترها در شبکه اينترنت، شرکت ماکروسافت يک Patch امنيتی برای برنامه های outlook 98 و outlook 2000 عرضه نموده است . Patch فوق، با ايجاد محدوديت در رابطه با برخی از انواع فايل های ضميمه ، زمينه اجرای کدهای مخرب را حذف می نمايد . با توجه به احتمال وجود کدهای مخرب در فايل های ضميمه و ميزان مخرب بودن آنان، تقسيمات خاصی توسط ماکروسافت انجام گرفته است .فايل های ضميمه ای که دارای بيشترين احتمال تهديد برای سيستم های کامپيوتری می باشند ، سطح يک و فايل هائی با احتمال تخريب اطلاعاتی کمتر سطح دو ، ناميده شده اند. نحوه برخورد برنامه های سرويس گيرنده پست الکترونيکی با هر يک از سطوح فوق متفاوت است . اين نوع برنامه ها ، امکان اجرای کدهای موجود در فايل های ضميمه از نوع سطح يک را بلاک می نمايند. جدول زير انواع فايل ها ی موجود در سطح يک را نشان می دهد .

انشعاب	شرح
ade	Microsoft Access project extension
adp	Microsoft Access project
bas	Visual Basic class module
bat	Batch file
chm	Compiled HTML Help file
cmd	Windows NT Command script
com	MS-DOS program
cpl	Control Panel extension
crt	Security certificate
exe	Program
hlp	Help file
hta	HTML
inf	Setup Information
ins	Internet Naming Service
isp	Internet Communication settings
js	JScript Script file
jse	JScript Encoded Script file
lnk	Shortcut
mdb	Microsoft Access program
mde	Microsoft Access MDE database
msc	Microsoft Common Console document
msi	Windows Installer package
msp	Windows Installer patch
mst	Visual Test source files
pcd	Photo CD image
pif	Shortcut to MS-DOS program
reg	Registration entries
scr	Screen saver
sct	Windows Script Component
shs	Shell Scrap Object
url	Internet shortcut
vb	VBScript file
vbe	VBScript encoded script file

Patch فوق، در رابطه با ضمائمی که با نام سطح دو( مثلا" فايل هائی از نوع zip ) ، شناخته می شوند از رويکردی ديگر استفاده می نمايد . اين نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپيوتر خود ذخيره نمايد . بدين ترتيب در روند اجراء يک توقف ناخواسته بوجود آمده و زمينه فعال شدن ناگهانی آنان بدليل سهل انگاری ، حذف می گردد. در رابطه با اين نوع از فايل ها ، پيامی مشابه زير ارائه می گردد .

فايل هائی بصورت پيش فرض درسطح دو ، وجود نداشته و مديرسيستم می تواند فايل هائی با نوع خاص را اضافه نمايد (در رابطه با فايل های سطح يک نيز امکان حذف و يا افزودن فايل هائی وجود دارد ) . در زمان تغيير نوع فايل های سطح يک و دو، می بايست به دو نکته مهم توجه گردد : عمليات فوق، صرفا" برای کاربرانی که به سرويس دهنده پست الکترونيکی Exchange متصل هستند امکان پذير بوده و کاربرانی که از فايل ها ی pst . برای ذخيره سازی پيام های الکترونيکی خود استفاده می نمايند را شامل نمی شود. قابليت تغيير تعاريف ارائه شده سطح يک و دو، می تواند بعنوان يک رويکرد مضاعف در رابطه با سياست های امنيتی محلی، مورد استفاده قرار گيرد . مثلا" می توان با استفاده از ويژگی فوق، فايل های با انشعاب doc . ( فايل های word) را به ليست فايل های سطح يک اضافه کرد. برای انجام تغييرات مورد نظر در نوع فايل ضميمه تعريف شده در سطح يک ، می بايست مراحل زير را دنبال نمود :

• برنامه Regedit.exe را اجراء نمائيد .
  
• کليد HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Secu rity key را انتخاب نمائيد . ( در صورتيکه کليد فوق وجود ندارد می بايست آن را ايجاد کرد ) .
  
• از طريق منوی Edit دستور New و در ادامه String Value انتخاب گردد .
  
• نام جديد را Level1AttachmentAdd منظور نمائيد.
  
• گزينه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائيد .
  
• يک رشته شامل انشعاب فايل های مورد نظر را که قصد اضافه کردن آنها را داريم ، وارد نمائيد ( هر يک از انشعاب فايل ها توسط ";" از يکديگر تفکيک می گردند )

Example: Name: Level1AttachmentAdd Type: REG_SZ Data: doc;xls

در زمان بازنمودن فايل های ضميمه ای که از نوع سطح يک و يا دو نمی باشند( فايل های آفيس نظير Word ,Powerpoint بجزء فايل های مربوط به Access ) ، پيامی مطابق شکل زير ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فايل ضميمه و يا ذخيره آن بر روی کامپيوتر را دارند . پيشنهاد می گردد که در چنين مواردی فايل ذخيره و پس از اطمينان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در اين رابطه می توان از ابزارهای موجود استفاده کرد .

Patch فوق، همچنين امکان دستيابی به دفترچه آدرس Outlook را از طريق مدل شی گراء Outlook و CDO)Collaborative Data Objects) ، توسط کدهای برنامه نويسی کنترل می نمايد .بدين ترتيب، پيشگيری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثير نسخه هائی از خود برای ليست افراد موجود در دفترچه آدرس می نمايند ، انجام خواهد يافت . Patch فوق، صرفا" برای نسخه های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و يا Outlook Express نسخه مشابهی ارائه نشده است ) .
پيشگيری دوم : استفاده از نواحی امنيتی Internet Explorerسرويس گيرندگان Outlook 98/2000 و Outlook Express 4.0/5.0 امکان استفاده از مزايای نواحی (Zones) امنيتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا و يا اسکريپت ها ) موجود در بدنه پيام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدوديت در اجرای کدها را بر اساس چهار ناحيه فراهم می نمايد . قبل از پرداختن به نحوه استفاده از تنظيمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر يک ازنواحی در مرورگر IE ، اشاره گردد :

• Local Intranet zone . ناحيه فوق، شامل آدرس هائی است که قبل از فايروال سازمان و يا سرويس دهنده Proxy قرار می گيرند . سطح امنيتی پيش فرض برای ناحيه فوق ، " medium -low" است .
  
• Trusted Sites zone . ناحيه فوق، شامل سايت هائی است که مورد اعتماد می باشند . ( سايت هائی که شامل فايل هائی بمنظور تخريب اطلاعاتی نمی باشند ) . سطح امنيتی پيش فرض برای ناحيه فوق، " low" است .
  
• Restricted Sites zone . ناحيه فوق، شامل ليست سايت هائی است که مورد اعتماد و تائيد نمی باشند . ( سايت هائی که ممکن است دارای محتوياتی باشند که در صورت دريافت و اجرای آنها ، تخريب اطلاعات را بدنبال داشته باشد ) .سطح امنيتی پيش فرض برای ناحيه فوق ،" high" است .
  
• Internet zone . ناحيه فوق ، بصورت پيش فرض شامل هرچيزی که بر روی کامپيوتر و يا اينترانت موجود نمی باشد ، خواهد بود . سطح امنيتی پيش فرض برای ناحيه فوق، " medium " است .

برای هر يک از نواحی فوق، می توان يک سطح امنيتی بالاتر را نيز تعريف نمود. ماکروسافت در اين راستا سياست هائی با نام : low , medium-low , medium و high را تعريف کرده است . کاربران می توانند هر يک از پيش فرض های فوق را انتخاب و متناسب با نياز خود آنان را تغيير نمايند .
برنامه outlook می تواند از نواحی فوق استفاده نمايد . در اين حالت کاربر قادر به انتخاب دو ناحيه ( Internet zone و Restricted Zone ) خواهد بود .

تنظيمات تعريف شده برای ناحيه انتخاب شده در رابطه با تمام پيام های outlook اعمال خواهد شد . پيشنهاد می گردد ناحيه restricted انتخاب گردد . بدين منظور گزينه Tools/Options و در ادامه گزينه Security را انتخاب نموده و از ليست مربوطه ناحيه Restricted sites را انتخاب نمائيد. در ادامه و بمنظور انجام تنظيمات مورد نظر ، دکمه Zone Settings را فعال و گزينه Custom Level را انتخاب نمائيد . تغييرات اعمال شده در زمان استفاده از برنامه مرورگر برای دستيابی به وب سايت ها نيز مورد توجه قرار خواهند گرفت . پيشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نيز از امکانات مشابه با اندکی تغييرات استفاده می گردد. در اين رابطه تتظيمات زير پيشنهاد می گردد :

گزينه	وضعيت
Download signed ActiveX controls	DISABLE
Download unsigned ActiveX controls	DISABLE
Initialize and script ActiveX controls not marked as safe	DISABLE
Run ActiveX controls and plug-ins	DISABLE
Script ActiveX controls marked safe for scripting	DISABLE
Allow per-session cookies (not stored)	DISABLE
File download	DISABLE
Font download	DISABLE
Java permissions	DISABLE JAVA
Access data sources across domains	DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists	DISABLE
Drag and drop or copy and paste files	DISABLE
Installation of desktop items	DISABLE
Launching programs within an IFRAME	DISABLE
Navigate sub-frames across different domains	DISABLE
Software channel permissions	HIGH SAFETY
Submit nonencrypted form data	DISABLE
Userdata persistence	DISABLE
Active scripting	DISABLE
Allow paste operations via script	DISABLE
Scripting of Java Applets	DISABLE
Logon	Anonymous logon

با غير فعال نمودن گزينه های فوق، امکانات پيشرفته ای از کاربر سلب می گردد. امکانات فوق برای تعداد زيادی از کاربران پست الکترونيکی ، دارای کاربردی خاص نخواهند بود . اکثر نامه های الکترونيکی ، پيام های ساده متنی بهمراه ضمائم مربوطه می باشند. گزينه های فوق، عموما" به غير فعال نمودن اسکريپت ها و کنترل های موجود در بدنه يک پيام الکترونيکی اشاره داشته و برای کاربران معمولی سيستم پست الکترونيکی دارای کاربردی خاص نمی باشند. تنظيمات فوق، بصورت مشترک توسط مرورگر IE نيز استفاده خواهند شد (صفحات وبی که از برخی از ويژگی های فوق استفاده می نمايند) . در اين رابطه لازم است مجددا" به اين موضوع اشاره گردد که ناحيه Restricted صرفا" شامل سايت هائی است که مورد اعتماد نبوده و مشکلی ( عدم فعال بودن برخی از پتانسيل های مرورگر ) را در رابطه با مشاهده صفحات وب از سايت های تائيد شده ،نخواهيم داشت.مهمترين دستاورد تنظيمات فوق،پيشگيری از حملاتی است که سياست تخريبی خود را بر اساس درج محتويات فعال در بدنه نامه های الکترونيکی، تبين نموده اند . ( نظير ويروس BubbleBoy ) .

[Ehsan M]

امنيت نامه های الکترونيکی ( بخش دوم)

پيشگيری سوم : تغيير فايل مرتبط و يا غير فعال نمودن WSH
patch امنيتی ارائه شده در پيشگيری اول، باعث حفاظت سيستم در مقابل ويروس هائی نظير ILOVEYOU ، در outlook 98 و outlook 2000می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سيستم در مقابل نامه های الکترونيکی که دارای عملکردی نظير ILOVEYOU می باشند ، می توان از روشی ديگر در outlook express استفاده کرد. بدين منظورمی توان تغييراتی را در سطح برنامه هائی که مسئول فعال نمودن فايل مورد نظر( File Associations ) می باشند ، اعمال نمود. کرم ILOVEYOU ، از طريق يک فايل اسکريپت ويژوال بيسيک ( vbs .) ، که توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH ) تفسير می گردد ، فعال خواهد شد. در حقيقت WSH محيط ( شرايط) لازم برای ILOVEYOU را فراهم می نمايد. اعمال محدوديت در رابطه با WSH و يا تغيير در فايل پيش فرض مربوطه ای که مسئول برخورد( نمايش ، ايجاد شرايط اجراء) با فايل مورد نظر می باشد ، می تواند يک سطح مناسب امنيتی را در رابطه با ضمائم نامه های الکترونيکی که حاوی کدهای مخرب می باشند ، فراهم می نمايد. در اين رابطه از راهکارهای متفاوتی می توان استفاده کرد .
روش اول : يکی از روش های پيشگيری موثر در مقابل اين نوع از حملات ، تغيير واکنش پيش فرض در زمانی است که کاربر باعث فعال شدن اينچنين فايل های می گردد ( double click بر روی فايلی با انشعاب vbs . ) .در ويندوز NT ، اين عمليات از طريق Windows Explorer و بصورت زير انجام می شود.

View | Folder Options ==> Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default

پس از اعمال تغييرات فوق ، در صورتيکه کاربری فايلی ضميمه با انشعاب vbs . را فعال نمايد ، فايل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فايل فوق ، بدون نگرانی توسط اديتور پيش فرض ( معمولا" notepad ) ، فعال و نمايش داده خواهد شد. فرآيند فوق را می توان به فايل های ديگر نيز تعميم داد. فايل هائی که دارای يکی از انشعابات زير باشند ، توسط WSH فعال خواهند شد . بنابراين می توان تغييرات لازم را مطابق آنچه اشاره گرديد ، در رابطه با آنها نيز اعمال نمود.

WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE

روش ارائه شده در رابطه با outlook Express بخوبی کار خواهد کرد . در اين راستا ، لازم است به اين مسئله مهم اشاره گردد که تضمينی وجود ندارد که سرويس گيرندگان پست الکترونيکی از تنظيمات پيش فرض، زمانيکه کاربر يک فايل ضميمه را فعال می نمايد، استفاده نمايند . مثلا" زمانيکه يک فايل ضميمه vbs. ، توسط Netscape messenger فعال می گردد ، کاربر دارای گزينه های open و يا Save خواهد بود. در صورتيکه کاربر گزينه open را انتخاب نمايد ، کد مورد نظر صرفنظر از تنظيمات پيش فرض فعال خواهد شد.( ناديده گرفتن تنظيمات پيش فرض )
روش دوم : راهکار ديگری که می توان بکمک آن باعث پيشگيری از بروز چنين مسائلی گرديد ، غير فعال نمودن WSH است . برای انجام عمليات فوق ( غير فعال نمودن WSH ) می بايست برنامه های ويندوز را که باعث حمايت و پشتيبانی از اجراء اسکريپت ها می گردند ( برنامه های wscript.exe و csscript ) را تغيير نام داد .در سيستم هائی شامل ويندوزNT ، اين فايل ها در مسير %System%\System32 ، قرار دارند( معمولا" C:\Winnt\System32 ) . بمنظور تغيير نام فايل های فوق ، بهتر است از طريق خط دستور ( command prompt) اين کار انجام شود. در برخی از نسخه های سيستم عامل، بموازات تغيير نام فايل مرتبط با يک نوع حاص از فايل ها ، بصورت اتوماتيک برنامه مرتبط با آنان به نام جديد تغيير داده خواهد شد. بدين ترتيب تغيير اعمال شده هيچگونه تاثير مثبتی را از لحاظ امنيتی بدنبال نخواهد داشت .
روش سوم : گزينه سوم در خصوص غير فعال نمودن WSH ، تغيير مجوز فايل ( File Permission ) در رابطه با فايل های Wscript.exe و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجيح داده می شود. در چنين مواردی امکان استفاده از پتانسيل های WSH برای مديران سيستم وجود داشته در حاليکه امکان استفاده از پتانسيل فوق از کاربران معمولی سلب می گردد .
لازم است به اين نکته مهم اشاره گردد که با اينکه پيشگيری فوق ، در رابطه با کرم هائی نظير ILOVEYOU و موارد مشابه موثرخواهد بود ، ولی نمی تواند تمام ريسک های مربوط در اين خصوص و در رابطه با ساير فايل ها ئی که ممکن است شامل کدهای اسکريپت باشند را حذف نمايد. در اين رابطه می توان به فايل های با انشعاب exe . ، اشاره نمود. اين نوع فايل ها دارای نقشی حياتی در رابطه با انجام عمليات بر روی يک کامپيوتر بوده و نمی توان آنها را غير فعال نمود . بدين ترتيب متجاوزان اطلاعاتی می توانند از اين نوع فايل ها ، بعنوان مکانيزمی جهت توزيع کدهای مخرب ، استفاده نمايند .
پيشگيری چهارم : حفاظت ماکروهای آفيس و آموزش کاربران
ماکروسافت در رابطه با حفاظت در مقابل فايل های ضميمه حاوی کدهای مخرب از طريق ساير برنامه های جانبی، نيز تدابيری انديشيده است . مثلا" با اينکه patch امنيتی ارائه شده در پيشگيری اول ، بصورت پيش فرض در رابطه با ماکروهای word موثر واقع نمی شود ، ولی در بطن اين نوع نرم افزارها امکانات خاصی قرار گرفته شده است که می توان بکمک آنان ، يک سطح امنيتی اوليه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا" آفيس 97 ، گزينه اختياری حفاظت ماکرو را ارائه که می توان بکمک آن يک لايه حفاظتی را در رابطه با عملکرد ماکروها ، ايجاد نمود. در چنين مواردی به کاربران پيامی ارائه و کاربران می توانند قبل از فعال شدن ماکرو در رابطه با آن تصميم گيری نمايند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در اين خصوص به کاربران آموزش های ضروری و مستمر در رابطه با خطرات احتمالی عدم رعايت اصول اوليه امنيتی خصوصا" در رابطه با دريافت نامه های الکترونيکی از منابع غيرمطمئن داده شود . گزينه فوق را می توان از طريق Tools|options|General| Enable macro virus protection ، فعال نمود. آفيس 2000 و XP وضعيت فوق را بهبود و می توان تنظيمات لازم در خصوص اجرای ماکروهای دريافتی از يک منبع موثق و همراه با امضاء ديجيتالی را انجام داد . در word , Powerpoint .Excel می توان ، گزينه فوق را از طريق Tools|macro|Security ، استفاده و تنظيمات لازم را انجام داد. با انتخاب گزينه High ، حداکثر ميزان حفاظت ، در نظر گرفته خواهد شد.
پيشگيری پنجم : نمايش و انشعاب فايل
يکی از روش متداول بمنظور ايجاد مصونيت در مقابل فايل های حاوی کدهای مخرب ، تبديل فايل فوق به فايلی بی خاصيت ( عدم امکان اجراء) است . بدين منظور می توان از يک انشعاب فايل اضافه استفاده نمود .(مثلا" فايل : ILOVYOU.TXT.VBS) . در صورتيکه ويندوز برای نمايش اين نوع فايل ها ( با در نظر گرفتن انشعاب فايل ها ) ، پيکربندی نشده باشد ، فايل فوق بصورت يک فايل متن تفسير خواهد شد. ( ILOVEYOU.TXT ) . بمنظور پياده سازی روش فوق می بايست دو فاز عملياتی را دنبال نمود : در اولين مرحله می بايست به ويندوز اعلام گردد که انشعاب فايل ها را از طريق Windows Explorer ، نمايش دهد . ( انتخاب Options|View و غير فعال نمودن Hide file extensions for known file types ) . متاسفانه برای برخی فايل های خاص که می توانند شامل عناصر اجرائی و يا اشاره گری به آنان باشند ، تنظيم فوق ، تاثيری را بدنبال نداشته و در اين رابطه لازم است کليد های ريجستری زير ، بمنظور پيکربندی ويندوز برای نمايش انشعاب اين نوع از فايل ها ، حذف گردد ( مرحله دوم).

انشعاب فايل	کليد ريجستری	توضيحات
.lnk	HKEY_CLASSES_ROOT\lnkfile\NeverShowExt	Shortcut
.pif	HKEY_CLASSES_ROOT\piffile\NeverShowExt	Program information file (shortcut to a DOS program)
.scf	HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt	Windows Explorer Command file
.shb	HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt	Shortcut into a document
.shs	HKEY_CLASSES_ROOT\ShellScrap	Shell Scrap Object
.xnk	HKEY_CLASSES_ROOT\xnkfile\NeverShowExt	Shortcut to an Exchange folder
.url	HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt	Internet shortcut
.maw	HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1 \NeverShowExt	Shortcuts to elements of an MS Access database. Most components of an Access database can containan executable component.
.mag	HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverS howExt
.maf	HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShow Ext
.mam	HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverSho wExt
.mad	HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverSh owExt
.maq	HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverSho wExt
.mar	HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverSh owExt
.mas	HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure. 1\NeverShowExt
.mat	HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverSho wExt
.mav	HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShow Ext

پيشگيری ششم : از Patch های بهنگام شده، استفاده گردد
اغلب حملات مبتنی بر اينترنت از نقاط آسيب پذير يکسانی بمنظور نيل به اهداف خود استفاده می نمايند . ويروس Bubbleboy ، نمونه ای مناسب در اين زمينه بوده که تهيه کننده آن از نفاط آسيب پذير شناخته شده در مرورگر اينترنت ( IE ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل اين نوع از نقاط آسيب پذير در محصولات خود خصوصا" برنامه مرورگر اينترنت ، patch های امنيتی خاصی را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداری از نقاط آسيب پذير در محصولات نرم افزاری استفاده شده ، خصوصا" نرم افزارهائی که بعنوان ابزار ارتباطی در اينترنت محسوب می گردند ، پيشنهاد می گردد که patch های ارائه شده را بر روی سيستم خود نصب تا حداقل از بروز حوادث مشابه قبلی بر روی سيستم خود جلوگيری نمائيم .
پيشگيری هفتم : محصولات آنتی ويروس
اغلب محصولات تشخيص ويروس های کامپيوتری، عمليات تشخيص خود را بر اساس ويروس های شناخته شده ، انجام خواهند داد . بنابراين اينگونه محصولات همواره در مقابل حملات جديد و نامشخص ، غيرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پيشگيری از تکرار مجدد ، حملات مشابه تهاجمات سابق می باشند. برخی از محصولات آنتی ويروس ، امکان بلاک نمودن ضمائم نامه های الکترونيکی را در سطح سرويس دهنده پست الکترونيکی فراهم می نمايند. پتانسيل فوق می تواند عاملی مهم بمنظور بلاک نمودن ضمائم نامه های الکترونيکی حاوی کدهای مخرب قبل از اشاعه آنان باشد .
پيشگيری هشتم : رعايت و پايبندی به اصل " کمترين امتياز "
" کمترين امتياز " ، يک رويکرد پايه در رابطه با اعمال امنيت در کامپيوتر است . بر اين اساس توصيه می شود که به کاربران صرفا" امتيازاتی واگذار گردد که قادر به انجام عمليات خود باشند . کدهای مخرب بمنظور تحقق اهداف خود به يک محيط ، نياز خواهند داشت . محيط فوق ، می تواند از طريق اجرای يک برنامه توسط يک کاربر خاص بصورت ناآگاهانه ايجاد گردد. در اين رابطه پيشنهاد می گردد ، پس از آناليز نوع فعاليت هائی که هر کاربر می بايست انجام دهد ، مجوزها ی لازم برای وی تعريف و از بذل و بخشش مجوز در اين رابطه می بايست جدا" اجتناب ورزيد.
پيشگيری نهم : امنيت سيستم عامل
حفاظت در مقابل کدهای مخرب می تواند به ميزان قابل محسوسی از طريق کليدهای اساسی سيستم ، کنترل و بهبود يابد. در اين راستا از سه رويکرد خاص استفاده می گردد : حفاظت عناصر کليدی در ريجستری سيستم ، ايمن سازی اشياء پايه و محدوديت در دستيابی به دايرکتوری سيستم ويندوز NT . در ادامه به بررسی هر يک از رويکردهای فوق ، خواهيم پرداخت .
پيشگيری نهم - رويکرد اول : ايمن سازی ريجستری سيستم
کرم ILOVEYOU از مجوزهای ضعيف نسبت داده شده به کليدهای ريجستری RUN و RUNSERVICES ، استفاده و اهداف خود را تامين نموده است . مجوزهای دستيابی پيش فرض در رابطه با کليدهای فوق ، امکان تغيير محتويات و يا حتی ايجاد محتويات جديد را در اختيار کاربران قرار می دهد.مثلا" می توان با اعمال تغييراتی خاص در رابطه با کليدهای فوق ، زمينه اجرای اسکريپت های خاصی را پس از ورود کاربران به شبکه و اتصال به سرويس دهنده بصورت تکراری فراهم نمود . ( پس از ورود کاربران به شبکه ، اسکريپت ها بصورت اتوماتيک اجراء خواهند شد ) . بدين منظور پيشنهاد می گردد که مجوزهای مربوط به کليدهای فوق بصورت جدول زير تنظيم گردد : ( پيشنهادات ارائه شده شامل کليدهای اساسی و مشخصی است که توسط ILOVEYOU استفاده و علاوه بر آن کليدهای اضافه ديگر را نيز شامل می شود) :

مجوزهای پيشنهادی	User / Groups	کليد ريجستری
Full Control Read, Write, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	MACHINE\SOFTWARE\Microsoft\Windows کليدها و زير کليدها پارامترهای استفاده شده توسط زير سيستم های win32
Full Control Read, Execute Full Control	Administrators Authenticated Users SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run کليدها و زير کليدها شامل اسامی امورد نظر که در هر مرتبه راه اندازی سيستم ، اجراء خواهند شد.
Full Control Read, Execute Full Control	Administrators Authenticated Users SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce کليدها و زير کليدها شامل نام برنامه ای که در اولين مرتبه ورود به شبکه کاربر ، اجراء می گردد.
Full Control Read, Execute Full Control	Administrators Authenticated Users SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx کليدها و زير کليدها شامل اطلاعات پيکربندی برای برخی از عناصر سيستم و مرورگر. عملکرد آنان مشابه کليد RunOnce است.
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Shell Extensions کليدها و زير کليدها شامل تمام تنظيمات Shell Extebsion که از آنان بمنظور توسعه اينترفيس ويندوز NT استفاده می گردد.

بمنظور اعمال محدوديت در دستيابی به ريجستری ويندوز از راه دور ، پيشنهاد می گردد يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

Hive: HKEY_LOCAL_MACHINE Key: \System\CurrentControlSet\Control\SecurePipeServer s\winreg Name: RestrictGuestAccess Type: REG_DWORD Value: 1

پيشگيری نهم - رويکرد دوم : ايمن سازی اشياء پايه
ايمن سازی اشياء پايه باعث ممانعت کدهای مخرب در ابطه با اخذ مجوزها و امتيازات مديريتی توسط يک ( DLL(Dynamic lonk Library می گردد . بدون پياده سازی سياست امنيتی فوق ، کدها ی مخرب قادر به استقرار در حافظه و لود نمودن فايلی با نام مشابه بعنوان يک DLL سيستم و هدايت برنامه به آن خواهند بود. در اين راستا لازم است ، با استفاده از برنامه ويرايشگر ريجستری ، يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

Hive: HKEY_LOCAL_MACHINE Key: \System\CurrentControlSet\Control\Session Manager Name: AdditionalBaseNamedObjectsProtectionMode Type: REG_DWORD Value: 1

پيشگيری نهم - رويکرد سوم : ايمن سازی دايرکتوری های سيستم
کاربران دارای مجوز لازم در خصوص نوشتن در دايرکتوری های سيستم ( winnt/system32 و winnt/system ) می باشند . کرم ILOVEYOU از وضعيت فوق ، استفاده و اهداف خود را دنبال نموده است . پيشنهاد می گردد ، کاربران تائيد شده صرفا" دارای مجوز Read دررابطه با دايرکتوری های و فايل ها ی مربوطه بوده و امکان ايجاد و يا نوشتن در دايرکتوری های سيستم، از آنها سلب گردد. در اين رابطه ، تنظيمات زير پيشنهاد می گردد :

مجوزهای پيشنهادی	User / Groups	فايل / فولدر
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	%WINNT% فايل ها ، فولدرها شامل تعداد زيادی از فايل های اجرائی سيستم عامل
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	%WINNT/SYSTEM% فايل ها ، فولدرها شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	%WINNT/SYSTEM32% فايل ها ، فولدرها شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی ( برنامه های سی و دو بيتی )