關於安全性及病毒防護

概述

惡意的可執行程式碼，也稱為惡意程式碼或病毒，已日益可見並且可能影響 AutoCAD 的使用者。如果放任惡意程式碼散播，可能會導致智慧財產損失和生產力降低。

最常見的弱點源自於允許執行程式碼與資料共存，例如：「開始」資料夾內自動載入的 AutoLISP 檔案。「開始」資料夾是由桌面捷徑圖示中設定的「開始」屬性所決定，或是由您按兩下以啟動產品之檔案所在的資料夾所決定。

還有更多會洩漏或竊取智慧財產的複雜攻擊，包括惡意的 ARX 應用程式、Object Enabler 和 DLL (動態連結資源庫)。其他像是內嵌於 DWG 檔中的 VBA (Microsoft® Visual Basic® for Applications) 巨集，也可能帶來威脅。

例如，以專案為基礎的可執行檔中會和使用 ZIP 檔的圖面組合在一起，可能會因此包含 acad.lsp、acaddoc.lsp 編輯過的版本，以及包含惡意程式碼的 FAS 和 VLX 檔案。當系統將 ZIP 檔案的內容萃取至資料夾並按兩下 DWG 檔案啟動 AutoCAD 時，也會自動啟動 LSP 檔案。

此外，許多病毒還會嘗試透過編輯 acad.mnu，從中加入一行，以自行載入加以散播。

易受攻擊的檔案

惡意程式碼中可能會包含在以下類型的檔案中：

• ARX、DBX、CRX、HDI 檔
• LSP、FAS、VLX、MNL 和 SCR 檔
• .NET 組合
• VBA 巨集 (DVB 檔)
• acad.rx
• JavaScript
• DLL 檔

安全性對策

AutoCAD 安全性對策能提供以下控制項，將執行惡意程式碼的可能性降至最低

• 為可執行檔指定一個或多個可信任的資料夾。TRUSTEDPATHS 系統變數可以為可信任的位置提供支援，讓可執行檔得以儲存在受到控制且可檢核的資料夾位置。建議將這些資料夾設為「唯讀」屬性。這些位置可以由 CAD 管理員鎖住。
• 透過僅允許其從預設安裝資料夾載入：<安裝資料夾>\Support 和 <安裝資料夾>\Support\<語言> 來限制存取 acad2013.lsp 和 acad2013doc.lsp 檔案與其後續檔案。
• 限制目前 AutoCAD 階段作業中 AutoLISP 和 VBA 應用程式的載入，包括所有 LSP、FAS 和 VLX 檔案和 acad.dvb。載入行為是由 SECURELOAD 系統變數所控制。
• 藉由將 LEGACYCODESEARCH 系統變數保留為 0，防止意外尋找並載入「開始」資料夾和圖面資料夾中的可執行檔。
• 遭受攻擊之後，在啟動 AutoCAD 時完全停用執行程式碼來保護清理程序。此功能是由 /safemode 啟動參數所控制，並且會由唯讀的 SAFEMODE 系統變數反映。/safemode 參數可讓您安全啟動 AutoCAD，進而讓您變更 SECURELOAD 和 TRUSTEDPATHS 系統變數。
• 使用 CAD 管理員控制公用程式鎖定以下系統變數：LEGACYCODESEARCH、SECURELOAD 以及 TRUSTEDPATHS。
• 透過 SECURITYOPTIONS 指令控制此處說明的多種系統變數以自動設定安全性等級。

建議

下列最佳實踐可降低您遭受惡意可執行程式碼攻擊的可能性：

• 在 UAC 打開的情況下，將 AutoCAD 安裝於預設程式檔案位置。請勿以管理員權限執行 AutoCAD。
• 將您的病毒定義保持為最新的狀態。所有領導品牌的防毒解決方案都可辨識並修復 AutoCAD 病毒感染。
• 安裝涉及 ARX、DBX、CRX、HDI 和 DLL 檔的協力廠商應用程式時，請確保所安裝的檔案已通過由可信來源 (例如 VeriSign) 認證的數位簽署。
• 一律先檢查代碼才可執行未知的 AutoLISP 檔案或 VBA 巨集。
• 未知的腳本檔案必須進行檢查才能執行。
• 將可執行程式碼保留在與資料不相同的資料夾中。
• 將可執行程式碼儲存在可信任且唯讀的位置。
• 在可信任的唯讀位置尋找共用的 AutoCAD CUIx 檔。
• 將 SECURELOAD 系統變數設定為 1 或 2 以避免在 AutoCAD 中執行未經授權的程式碼。您也可以使用「選項」對話方塊 「系統」頁籤 「可執行檔設定」按鈕或在部署精靈中修改此設定。
• 將 TRUSTEDPATHS 系統變數設定為可信任的唯一且唯讀資料夾。系統會自動信任 C:\Program Files\ 和 C:\Program Files (x86) 資料夾，包含其所有的子資料夾。這些路徑也可以在部署精靈中設定。