組策略軟件限制策略-以阻止病毒入侵

1、.：.；一、軟件限制戰(zhàn)略的作用 首先說(shuō)一下HIPS的3D AD程序維護(hù) 維護(hù)運(yùn)用程序不被惡意修正、刪除、注入 FD文件維護(hù) 維護(hù)關(guān)鍵的文件不被惡意修正、刪除，制止惡意程序創(chuàng)建和讀取文件 RD注冊(cè)表維護(hù) 維護(hù)注冊(cè)表關(guān)鍵位置不被惡意修正、讀取、刪除 XP系統(tǒng)軟件限制戰(zhàn)略可以做到上面的AD與FD，至于RD，可以經(jīng)過(guò)注冊(cè)表權(quán)限設(shè)置來(lái)實(shí)現(xiàn) 因此可以說(shuō)，XP本身就具備3D功能，只是不被大家所熟習(xí)。 二、軟件限制戰(zhàn)略的優(yōu)優(yōu)勢(shì) 1、優(yōu)勢(shì) 優(yōu)勢(shì)是很明顯的，它是系統(tǒng)的一部分，不存在兼容性問(wèn)題，不占用內(nèi)存，屬于系統(tǒng)最底層維護(hù)，維護(hù)才干遠(yuǎn)不是HIPS可以比較的 2、優(yōu)勢(shì) 優(yōu)勢(shì)也很明顯，與HIPS相比，它不夠靈敏和智能

2、，不存在學(xué)習(xí)方式，它只會(huì)默許阻止或放行，不會(huì)訊問(wèn)用戶，假設(shè)規(guī)那么設(shè)置不當(dāng)，能夠?qū)е履承┏绦虿荒苓\(yùn)轉(zhuǎn) 三、軟件限制戰(zhàn)略 規(guī)那么編寫實(shí)例 我直接以一些最常見(jiàn)的例子來(lái)闡明 1、首先要學(xué)會(huì)系統(tǒng)通配符、環(huán)境變量的含義，以及軟件限制戰(zhàn)略規(guī)那么的優(yōu)先級(jí) 關(guān)于這一點(diǎn)，大家可以看“2樓2、如何阻止惡意程序運(yùn)轉(zhuǎn) 首先要留意，惡意程序普通會(huì)藏身在什么地方 ？:分區(qū)根目錄 C:WINDOWS 后面講解一概以系統(tǒng)在C盤為例 C:WINDOWSsystem32 C:Documents and SettingsAdministrator C:Documents and SettingsAdministratorApplic

3、ation Data C:Documents and SettingsAll Users C:Documents and SettingsAll UsersApplication Data C:Documents and SettingsAdministrator開(kāi)場(chǎng)菜單程序啟動(dòng) C:Documents and SettingsAll Users開(kāi)場(chǎng)菜單程序啟動(dòng) C:Program Files C:Program FilesCommon Files 留意： C:Documents and SettingsAdministrator C:Documents and SettingsAdminis

4、tratorApplication Data C:Documents and SettingsAll Users C:Documents and SettingsAll UsersApplication Data C:Documents and SettingsAdministrator開(kāi)場(chǎng)菜單程序啟動(dòng) C:Documents and SettingsAll Users開(kāi)場(chǎng)菜單程序啟動(dòng) C:Program Files C:Program FilesCommon Files 這8個(gè)途徑下是沒(méi)有可執(zhí)行文件的，只需在它們的子目錄下才有能夠存在可執(zhí)行文件，那么基于這一點(diǎn)，規(guī)那么就容易寫了 %ALLAP

5、PDATA%*.* 不允許的 %ALLUSERSPROFILE%*.* 不允許的 %ALLUSERPROFILE%開(kāi)場(chǎng)菜單程序啟動(dòng)*.* 不允許的 %APPDATA%*.* 不允許的 %USERSPROFILE%*.* %USERPROFILE%開(kāi)場(chǎng)菜單程序啟動(dòng)*.* 不允許的 %ProgramFiles%*.* 不允許的 %CommonProgramFiles%*.* 不允許的 那么對(duì)于 C:WINDOWS C:WINDOWSsystem32 這兩個(gè)途徑的規(guī)那么怎樣寫呢？ C:WINDOWS下只需explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序是需求運(yùn)轉(zhuǎn)的，而其他都

6、不需求運(yùn)轉(zhuǎn) 那么其規(guī)那么可以這樣寫： %SYSTEMROOT%*.* 不允許的 首先制止C:WINDOWS下運(yùn)轉(zhuǎn)可執(zhí)行文件 C:WINDOWSexplorer.exe 不受限的C:WINDOWSnotepad.exe 不受限的C:WINDOWSamcap.exe 不受限的 C:WINDOWSRTHDCPL.EXE 不受限的 然后利用絕對(duì)途徑優(yōu)先級(jí)大于通配符途徑的原那么，設(shè)置上述幾個(gè)排除規(guī)那么，那么，在C:WINDOWS下，除了explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序可以運(yùn)轉(zhuǎn)外，其他一切的可執(zhí)行文件均不可運(yùn)轉(zhuǎn) 對(duì)于C:WINDOWSsystem32就不能像上面那

7、樣寫規(guī)那么了，在SYSTEM32下面很多系統(tǒng)必需的可執(zhí)行文件，假設(shè)一個(gè)一個(gè)排除，那太累了。所以，對(duì)system32，我們只需對(duì)它的子文件作一些限制，并對(duì)系統(tǒng)關(guān)鍵進(jìn)程進(jìn)展維護(hù) 子文件夾的限制 %SYSTEMROOT%system32config*.* 不允許的 %SYSTEMROOT%system32drivers*.* 不允許的 %SYSTEMROOT%system32spool*.* 不允許的 當(dāng)然他可以限制更多的子文件夾 3、如何維護(hù)system32下的系統(tǒng)關(guān)鍵進(jìn)程 有些進(jìn)程是系統(tǒng)啟動(dòng)時(shí)必需加載的，他不能阻止它的運(yùn)轉(zhuǎn)，但這些進(jìn)程又經(jīng)常被惡意軟件仿冒，怎樣辦？其實(shí)很簡(jiǎn)單，這些仿冒的進(jìn)程，其途

8、徑不能夠出如今system32下，由于它們不能夠交換這些中心文件，它們往往出如今其他的途徑中。那么我們可以這樣應(yīng)對(duì)： C:WINDOWSsystem32csrss.exe 不受限的 C:WINDOWSsystem32ctfmon.exe 不受限的 C:WINDOWSsystem32lsass.exe 不受限的 C:WINDOWSsystem32rundll32.exe 不受限的 C:WINDOWSsystem32services.exe不受限的 C:WINDOWSsystem32smss.exe 不受限的 C:WINDOWSsystem32spoolsv.exe 不受限的 C:WINDOWSs

9、ystem32svchost.exe 不受限的 C:WINDOWSsystem32winlogon.exe 不受限的 先完全允許正常途徑下這些進(jìn)程，再屏蔽掉其他途徑下仿冒進(jìn)程 csrss.* 不允許的.*表示恣意后綴名，這樣就涵蓋了batcom等等可執(zhí)行的后綴 ctfm?n.*不允許的 lass.* 不允許的 lssas.* 不允許的 rund*.* 不允許的 services.* 不允許的 smss.* 不允許的 sp?sv.* 不允許的 s?h?st.* 不允許的 s?vch?st.* 不允許的 win?g?n.* 不允許的 4、如何維護(hù)上網(wǎng)的平安 在閱讀不平安的網(wǎng)頁(yè)時(shí)，病毒會(huì)首先下載到I

10、E緩存以及系統(tǒng)暫時(shí)文件夾中，并自動(dòng)運(yùn)轉(zhuǎn)，呵斥系統(tǒng)染毒，在了解了這個(gè)感染途徑之后，我們可以利用軟件限制戰(zhàn)略進(jìn)展封堵 %SYSTEMROOT%tasks*.* 不允許的 這個(gè)是方案義務(wù)，病毒藏身地之一 %SYSTEMROOT%Temp*.* 不允許的 %USERPROFILE%Cookies*.* 不允許的 %USERPROFILE%Local Settings*.* 不允許的這個(gè)是IE緩存、歷史記錄、暫時(shí)文件所在位置 另外可以免疫一些常見(jiàn)的流氓軟件 3721.* 不允許的 CNNIC.* 不允許的 *Bar.* 不允許的 等等，不贅述，大家可以本人添加 留意，*.* 這個(gè)格式只會(huì)阻止可執(zhí)行文件，

11、而不會(huì)阻止 .txt.jpg 等等文件 另外演示兩條制止從回收站和備份文件夾執(zhí)行文件的規(guī)那么 ?:Recycler*.* 不允許的 ?:System Volume Information*.* 不允許的 5、如何防止U盤病毒的入侵 這個(gè)簡(jiǎn)單，兩條規(guī)那么就可以徹底搞定 ?:autorun.inf 不允許的 ?:*.* 不允許的 6、預(yù)防雙后綴名的典型惡意軟件 許多惡意軟件，他有雙后綴，比如 mm.jpg.exe 由于很多人默許不顯示后綴名，所以他看到的文件名是mm.jpg 對(duì)于這類惡意，我本來(lái)想以一條規(guī)那么徹底免疫 *.*.*不允許的 可是這樣做了之后，卻發(fā)現(xiàn)我的ACDSee 3.1 無(wú)法運(yùn)轉(zhuǎn)

12、于是改成 *.?.bat 不允許的 *.?d 不允許的 *.? 不允許的 *.?.exe不允許的 *.?.pif 不允許的 這樣5條規(guī)那么，ACDSEE沒(méi)有問(wèn)題了。我如今還沒(méi)搞清楚，我的ACDSEE并沒(méi)有雙后綴，為何不能運(yùn)轉(zhuǎn) 7、其他規(guī)那么 留意%USERPROFILE%Local Settings*.*這條規(guī)那么設(shè)置后，制止了從暫時(shí)文件夾執(zhí)行文件，那么一些自解壓的單文件就無(wú)法運(yùn)轉(zhuǎn)了，由于這類文件是首先解壓到暫時(shí)文件夾，然后從暫時(shí)文件夾運(yùn)轉(zhuǎn)的。假設(shè)他的電腦中有自解壓的單文件，那么，刪除這條規(guī)那么，添加3條： %USERPROFILE%Local SettingsApplication Data*.* 不允許的 %USERPROFILE%Local SettingsHistory*.* 不允許的 %USERPROFILE%Local SettingsTemporary Internet Files*.* 不允許的 威金的預(yù)防，很簡(jiǎn)單三條 logo?.* 不允許的 logo?.* 不允許的_desktop