多種安全性措施和實踐可以保護您在 AutoCAD LT 環境中免於受到惡意程式碼的威脅。
概述
惡意的可執行程式碼,也稱為惡意程式碼或病毒,已日益可見並影響 AutoCAD LT 的使用者。如果放任惡意程式碼散播,可能會導致智慧財產損失和生產力降低。
註: 從 AutoCAD LT 2024 開始,產品支援載入和執行 AutoLISP 程式。
最常見的弱點源自於允許可執行程式碼與資料共存,例如:在「開始位置」資料夾內自動載入的 AutoLISP 檔案。「開始位置」資料夾是由桌面捷徑圖示內容中儲存的「開始位置」屬性決定,或是由您按兩下以啟動產品之檔案所在的資料夾決定。
例如,以專案為基礎的可執行檔中會和使用 ZIP 檔的圖面組合在一起,可能會因此包含 acadlt.lsp、acadltdoc.lsp 編輯過的版本,以及包含惡意程式碼的 FAS 和 VLX 檔案。當系統將 ZIP 檔案的內容解壓縮至資料夾並按兩下 DWG 檔案啟動 AutoCAD 時,也會自動啟動 LSP 檔案。
此外,許多病毒還會嘗試透過編輯 acadlt.mnl,在當中加入一行以自行載入而加以散播。
除了 AutoLISP 外,還有一些可利用 AutoCAD LT 和 AutoCAD 的其他常見威脅。這些威脅包括:
- 破壞性腳本、PGP 和 CUIx 檔。使用這些類型的檔案之前,請一律仔細檢查這些來自外部來源的檔案,因為它們可以包括隱藏的惡意程式碼。
- 惡意程式碼會安插在遭破解的複本以及未經授權的附加元件中。破解軟體人士可以輕易地安插其他程式碼,包括惡意程式碼,其可竊取您的工作或讓您的電腦成為受到控制的殭屍電腦。
- 旨在使用可執行程式碼來溢位緩衝區的異常 DWG 檔案。這是一種更複雜的攻擊類型,旨在讓遭竄改的圖面資料作為程式碼在您的電腦上執行。AutoCAD 安全性團隊致力於防範 AutoCAD 和 AutoCAD LT 中的緩衝區溢位入侵。如果您在處理敏感性設計資料、請僅從可信任的來源來開啟圖檔。
- 二進位植入。此品類包括安插遭竄改的二進位檔案,例如 EXE、DLL 和 COM 檔,以取代合法的檔案。在您的電腦或網路上植入這些檔案時需要權限,這可以透過入侵缺乏防護的資料夾權限,或以本端系統管理員權限執行應用程式來授與權限。
安全性對策
AutoCAD 安全性對策能提供以下控制項,將執行惡意程式碼的可能性降至最低
- 為可執行檔指定一個或多個可信任的資料夾。TRUSTEDPATHS 系統變數可以為可信任的位置提供支援,讓可執行檔得以儲存在受到控制且可檢核的資料夾位置。建議將這些資料夾設為「唯讀」屬性。 這些位置可以由 CAD 管理員鎖住。
- 透過僅允許其從預設安裝資料夾載入:<安裝資料夾>\Support 和 <安裝資料夾>\Support\<語言> 來限制存取 acadlt<release>.lsp 和 acadlt<release>doc.lsp 檔案與其後續檔案。
- 限制產品目前階段作業中 AutoLISP 應用程式的載入,包括所有 LSP、FAS 和 VLX 檔案。載入行為是由 SECURELOAD 系統變數所控制。
- 藉由將 LEGACYCODESEARCH 系統變數保持設定為 0,避免意外尋找並載入「開始」資料夾和圖面資料夾中的可執行檔。
- 遭受攻擊之後,透過在啟動產品時完全停用可執行程式碼來保護清理程序。此功能是由 /safemode 啟動參數所控制,並且由唯讀的 SAFEMODE 系統變數反映。/safemode 參數可讓您安全啟動產品,進而讓您變更 SECURELOAD 和 TRUSTEDPATHS 系統變數。
- 使用 CAD 管理員控制公用程式鎖定以下系統變數:LEGACYCODESEARCH、SECURELOAD 以及 TRUSTEDPATHS。
- 使用 SECURITYOPTIONS 指令控制此處說明的多種系統變數,自動設定安全性等級。
重要: 使用 /safemode 參數也會導致大多數指令無法運作,因此應於您懷疑有惡意程式碼已安裝至您的系統時才暫時使用此方法。
一般預防措施
以下預防措施將減少您遭受惡意程式碼攻擊的可能性:
- 將您的所有軟體產品保持在最新狀態,包括病毒定義。
- 在 UAC 打開的情況下,將 AutoCAD LT 安裝於預設程式檔案位置時,並且不要以管理員權限執行 AutoCAD LT。
- 使用「Windows 使用者帳戶控制」(UAC) 並限制權限,以防止未經授權的變更。
- 注意安全性警告,尤其是那些未簽署的可執行檔。
- 請小心外部應用程式、遭破解的軟體、「免費」圖面,以及可能包含惡意程式碼的自訂檔。
- 安裝涉及 LSP、FAS 和 VLX 檔的協力廠商應用程式時,請確保所安裝的檔案已使用可信來源 (例如 VeriSign) 發出的憑證以數位方式簽署。
- 一律先檢查程式碼,才能執行不明的 AutoLISP 檔案。
- 不明的腳本檔案必須先檢查才能執行。
- 將可執行程式碼保留在與資料不同的唯讀資料夾中。
- 將可執行程式碼儲存在可信任且唯讀的位置。
- 將共用的 AutoCAD LT CUIx 檔放置在唯讀位置。
- 將 SECURELOAD 系統變數設定為 1 或 2 以避免在 AutoCAD LT 中執行未經授權的程式碼。您也可以使用「選項」對話方塊之「系統」頁籤上的「可執行檔案設定」按鈕,或在部署精靈中修改此設定。
- 將 TRUSTEDPATHS 系統變數設定為可信任的唯一唯讀資料夾。系統會自動信任 C:\Program Files\ 和 C:\Program Files (x86) 資料夾,包含其所有的子資料夾。這些路徑也可以在部署精靈中設定。
即使是使用 AutoCAD LT,在目前的網路威脅環境中,保持警惕永遠是個好方法,且這表示額外花費幾分鐘,即可降低您的安全性風險。