论文部分内容阅读
本文可以学到
1 XP本地安全策略的知识
2 软件限制策略的基本操作
3 路径规则的实例应用
本文涉及的资源
本文作者已经把文中介绍的各项规则打包为自动安装文件了,大家可从以下地址下载:
http://work.newhua.com/cfan/200720/pol.rar
本文相关小提示
★本文的所有修改方法,均以不在域中的单机Windows XP为基础全部进行了试验。另外,Vista系统允许不同用户级别使用不同的组策略,可以有多个本地组策略对象,这一点与XP略有不同。
★在定义规则时我们可以使用绝对路径,也可以用通配符或者环境变量。这里就涉及一个规则的优先级问题了。按微软的规定:绝对路径>使用通配符的路径>文件名。
常见的文件夹环境变量有(假设XP默认安装装在C盘):
%ALLUSERSPROFILE%表示C:\Documents and Settings\All Users
%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data
%SYSTEMDRIVE%表示C:
%SYSTEMROOT%和%WINDIR%表示C:\WINDOWS
%TEMP%和%TMP%表示C:\Documents and Settings\当前用户名\Local Settings\Temp
%USERPROFILE%表示C:\Documents and Settings\当前用户名
%ProgramFiles%表示C:\Program Files
网络大补贴
十大组策略为Windows保驾护航
Windows操作系统中组策略的应用无处不在,如何让系统更安全,这篇文章与本文正好可以互为补充。
网址:http://soft.yesky.com/securityw/aqff/361/2327861.shtml
Vista新增组策略
Vista中的组策略编辑器包含了更多内容,想知道这些新增的内容对我们有什么用吗?一起来看看这篇文章吧。
网址:http://www.edu-cn.com/system/Vista/0402239502007.html
软件限制策略的基本操作
互联网越来越普及,病毒、木马等恶意软件也开始横行网络,安全问题日益受到人们的重视。大多数人都选择杀
毒软件等来保护系统安全,但杀毒软件对新病毒的反应有一定的滞后,使得恶意软件有了可乘之机。其实,大多数人都忽略了系统本身的功能,只要我们设置好了Windows XP中自带的安全策略,就能让系统实现部分HIPS(主机入侵防御系统)功能,对未知病毒和木马也能起到一定的防范作用,再配合其他安全软件,就可以让系统更安全了。
(1)
在“控制面板”中,依次双击“管理工具→本地安全策略”,即可打开本地安全设置窗口,这里我们重点介绍“软件限制策略”的使用。顾名思义,“软件限制策略”可以限制软件的运行,至于如何限制,那就要看你的策略怎么定了。
如果以前你没有设置过安全策略,那么右击“软件限制策略”,选择“创建新的策略”后,它下面会自动创建多个子项。别的地方都不用改,“其它规则”才是我们自由发挥的地方,点选它之后,可以看到微软已经帮我们预设了4条规则(见图1)。这4条规则是微软为了预防Windows运行所必需的程序误被禁用而设,如果你确定你的规则没有问题,可以删掉它们(建议保留)。
(2)
现在再右击“其他规则”,会发现它的右键菜单项完全不一样了(见图2)。选择“新路径规则”将打开规则设置窗口。我们主要在“路径”一栏中做文章,这里允许使用通配符,常见的通配符有“*”和“?”。这里也允许使用环境变量,如“%WINDIR%”表示“C:\WINDOWS”等。
下面我通过实例给大家介绍一下规则的建立。
实例2:杜绝仿冒的危险程序
进程仿冒是木马病毒用得最多的一个手段,比如system32文件夹下有一个svchost.exe的系统文件,病毒便同样以此文件名命名,然后放到Windows或其他任意文件夹下。病毒运行时XP默认的任务管理器里只会显示进程名为svchost.exe,而XP本来就有很多个svchost.exe进程,这就很好地达到了欺骗用户的目的。普通杀毒软件还是得依托单一的病毒库,一旦换了个新病毒用同样的手法它也不认了,安全性很差。而用本地安全策略可以很简单地永久免疫这种方式的病毒,我们只要建立两条规则:
1.在路径框中输入“svchost.exe”,安全级别设置为“不允许的”;
2.在路径框中输入“%windir%\system32\svchost.exe”,或通过“浏览”按钮查找这一文件,安全级别设置为“不受限的”(见图3)。
(3)
由于优先级的关系,第二条使用绝对路径的规则优先级高于第一条基于文件名的路径,也就是说system32文件夹下的svchost.exe是允许运行的,而其他任意文件夹中的文件名为svchost.exe的程序都无法运行。
实例1:杜绝阴暗角落的袭击
很多病毒木马为逃过用户的追杀,会藏在很隐蔽的地方,比如回收站、System Volume Information(系统还原文件夹)等,并且加上隐藏属性使用户不易发觉。而事实上,这些文件夹正常情况下是没有任何可执行程序的,所以我们可以建立以下规则:
?:\Recycled\*.* 不允许的
?:\System Volume Information\*.* 不允许的
%windir%\system32\Drivers\*.* 不允许的
%windir%\system\*.* 不允许的
通过以上4条规则就能屏蔽掉这4个文件夹下任意可执行文件的运行,完美地解决了这一类型的病毒和木马的防御问题。放心,用*.*这种格式并不会屏蔽掉txt或者jpg之类的其他非可执行文件。
实例3:杜绝双面佳人的诱惑
用双扩展名迷惑用户的病毒也不在少数。比如:MM.jpg.exe,免费得QQ会员的方法.txt.exe等等,然后再将图标改成前一个扩展名的图标,不少人会误认为它们是图片和文本文件而掉以轻心,再加上有诱惑力的文件名,中招就在所难免了。而用安全策略防御这种病毒也不难:
*.jpg.exe 不允许的
*.txt.exe 不允许的
实例4:不禁用U盘也能防U盘病毒
对U盘病毒,同样可用系统安全策略来免疫,规则可如下所示(假设你电脑上的优盘盘符是G):
G:\*.exe 不允许的
G:\*.com 不允许的
(4)
这里利用的就是几乎所有的U盘病毒都存在在优盘的根目录下,而且是exe或com后缀的应用程序,用上面两条规则就能阻止他们的运行。还有一些USB病毒会隐藏在U盘根目录下的一些隐藏文件夹里,如建立一个叫System Volume Information的文件夹或者Recycled文件夹,而正常情况下U盘是没有系统还原文件夹和回收站的(移动硬盘有时候有),而这个时候,就要靠实例2的规则来阻止了。
实例5:七十二变孙悟空逃不出如来神掌
文件名伪装虽然是比较老的技术了,不过依然有一定的“市场”,如有些病毒将自己的文件名改成expl0rer.exe,你敢随随便便删除它吗?仔细看,可以注意到“0”和“o”的差别,另外“1”和“l”等也很容易混淆。甚至有些病毒会用pif后缀,即explorer.pif,pif和exe、com一样,也是可执行文件,但它的扩展名即使你在文件夹选项里选择了显示文件后缀它都不会显示出来,具有极强的隐蔽性。废话不多说了,讲规则:
expl0rer.exe 不允许的
exp1orer.exe 不允许的
explorer.exe 不允许的
expl0rer.exe 不允许的
explorer.com 不允许的
*.pif 不允许的
以上规则就可解决伪装explorer.exe的问题,pif文件普通计算机里一般都用不到,所以也禁用。其他诸如svchost.exe、rundll32.exe、spoolsv.exe等规则也相似,可自行编写。
出了问题怎么办?
虽然使用软件安全策略带来的兼容性问题可能性很小,不过还是有的,一旦碰到了怎么办?其实系统已经帮我们准备了日志功能,如果是因系统安全策略的原因导致某个程序无法运行,系统会弹出警告对话框。
这个对话框其实已经告诉我们解决方法了,赶紧到“事件查看器”中查看“应用程序日志”,双击打开出问题的日志提示,在描述中会告诉我们这一问题是因为哪条规则而引起的(见图4)。知道问题出在哪里自然就好办了,相应的规则删的删、改的改,这就随CFan们自由发挥了。
一套好的策略能把系统打造成铜墙铁壁,但规则设置过多也容易带来兼容性问题,所以在安全性和兼容性之间用户要自己权衡得失,按自己的使用习惯打造属于自己的规则。
小提示
★如果电脑上有不止一个USB接口,则至少要免疫2到3个U盘盘符,将上面的G改成H和I并加入到其他规则中即可。
1 XP本地安全策略的知识
2 软件限制策略的基本操作
3 路径规则的实例应用
本文涉及的资源
本文作者已经把文中介绍的各项规则打包为自动安装文件了,大家可从以下地址下载:
http://work.newhua.com/cfan/200720/pol.rar
本文相关小提示
★本文的所有修改方法,均以不在域中的单机Windows XP为基础全部进行了试验。另外,Vista系统允许不同用户级别使用不同的组策略,可以有多个本地组策略对象,这一点与XP略有不同。
★在定义规则时我们可以使用绝对路径,也可以用通配符或者环境变量。这里就涉及一个规则的优先级问题了。按微软的规定:绝对路径>使用通配符的路径>文件名。
常见的文件夹环境变量有(假设XP默认安装装在C盘):
%ALLUSERSPROFILE%表示C:\Documents and Settings\All Users
%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data
%SYSTEMDRIVE%表示C:
%SYSTEMROOT%和%WINDIR%表示C:\WINDOWS
%TEMP%和%TMP%表示C:\Documents and Settings\当前用户名\Local Settings\Temp
%USERPROFILE%表示C:\Documents and Settings\当前用户名
%ProgramFiles%表示C:\Program Files
网络大补贴
十大组策略为Windows保驾护航
Windows操作系统中组策略的应用无处不在,如何让系统更安全,这篇文章与本文正好可以互为补充。
网址:http://soft.yesky.com/securityw/aqff/361/2327861.shtml
Vista新增组策略
Vista中的组策略编辑器包含了更多内容,想知道这些新增的内容对我们有什么用吗?一起来看看这篇文章吧。
网址:http://www.edu-cn.com/system/Vista/0402239502007.html
软件限制策略的基本操作
互联网越来越普及,病毒、木马等恶意软件也开始横行网络,安全问题日益受到人们的重视。大多数人都选择杀
毒软件等来保护系统安全,但杀毒软件对新病毒的反应有一定的滞后,使得恶意软件有了可乘之机。其实,大多数人都忽略了系统本身的功能,只要我们设置好了Windows XP中自带的安全策略,就能让系统实现部分HIPS(主机入侵防御系统)功能,对未知病毒和木马也能起到一定的防范作用,再配合其他安全软件,就可以让系统更安全了。
(1)
在“控制面板”中,依次双击“管理工具→本地安全策略”,即可打开本地安全设置窗口,这里我们重点介绍“软件限制策略”的使用。顾名思义,“软件限制策略”可以限制软件的运行,至于如何限制,那就要看你的策略怎么定了。
如果以前你没有设置过安全策略,那么右击“软件限制策略”,选择“创建新的策略”后,它下面会自动创建多个子项。别的地方都不用改,“其它规则”才是我们自由发挥的地方,点选它之后,可以看到微软已经帮我们预设了4条规则(见图1)。这4条规则是微软为了预防Windows运行所必需的程序误被禁用而设,如果你确定你的规则没有问题,可以删掉它们(建议保留)。
(2)
现在再右击“其他规则”,会发现它的右键菜单项完全不一样了(见图2)。选择“新路径规则”将打开规则设置窗口。我们主要在“路径”一栏中做文章,这里允许使用通配符,常见的通配符有“*”和“?”。这里也允许使用环境变量,如“%WINDIR%”表示“C:\WINDOWS”等。
下面我通过实例给大家介绍一下规则的建立。
实例2:杜绝仿冒的危险程序
进程仿冒是木马病毒用得最多的一个手段,比如system32文件夹下有一个svchost.exe的系统文件,病毒便同样以此文件名命名,然后放到Windows或其他任意文件夹下。病毒运行时XP默认的任务管理器里只会显示进程名为svchost.exe,而XP本来就有很多个svchost.exe进程,这就很好地达到了欺骗用户的目的。普通杀毒软件还是得依托单一的病毒库,一旦换了个新病毒用同样的手法它也不认了,安全性很差。而用本地安全策略可以很简单地永久免疫这种方式的病毒,我们只要建立两条规则:
1.在路径框中输入“svchost.exe”,安全级别设置为“不允许的”;
2.在路径框中输入“%windir%\system32\svchost.exe”,或通过“浏览”按钮查找这一文件,安全级别设置为“不受限的”(见图3)。
(3)
由于优先级的关系,第二条使用绝对路径的规则优先级高于第一条基于文件名的路径,也就是说system32文件夹下的svchost.exe是允许运行的,而其他任意文件夹中的文件名为svchost.exe的程序都无法运行。
实例1:杜绝阴暗角落的袭击
很多病毒木马为逃过用户的追杀,会藏在很隐蔽的地方,比如回收站、System Volume Information(系统还原文件夹)等,并且加上隐藏属性使用户不易发觉。而事实上,这些文件夹正常情况下是没有任何可执行程序的,所以我们可以建立以下规则:
?:\Recycled\*.* 不允许的
?:\System Volume Information\*.* 不允许的
%windir%\system32\Drivers\*.* 不允许的
%windir%\system\*.* 不允许的
通过以上4条规则就能屏蔽掉这4个文件夹下任意可执行文件的运行,完美地解决了这一类型的病毒和木马的防御问题。放心,用*.*这种格式并不会屏蔽掉txt或者jpg之类的其他非可执行文件。
实例3:杜绝双面佳人的诱惑
用双扩展名迷惑用户的病毒也不在少数。比如:MM.jpg.exe,免费得QQ会员的方法.txt.exe等等,然后再将图标改成前一个扩展名的图标,不少人会误认为它们是图片和文本文件而掉以轻心,再加上有诱惑力的文件名,中招就在所难免了。而用安全策略防御这种病毒也不难:
*.jpg.exe 不允许的
*.txt.exe 不允许的
实例4:不禁用U盘也能防U盘病毒
对U盘病毒,同样可用系统安全策略来免疫,规则可如下所示(假设你电脑上的优盘盘符是G):
G:\*.exe 不允许的
G:\*.com 不允许的
(4)
这里利用的就是几乎所有的U盘病毒都存在在优盘的根目录下,而且是exe或com后缀的应用程序,用上面两条规则就能阻止他们的运行。还有一些USB病毒会隐藏在U盘根目录下的一些隐藏文件夹里,如建立一个叫System Volume Information的文件夹或者Recycled文件夹,而正常情况下U盘是没有系统还原文件夹和回收站的(移动硬盘有时候有),而这个时候,就要靠实例2的规则来阻止了。
实例5:七十二变孙悟空逃不出如来神掌
文件名伪装虽然是比较老的技术了,不过依然有一定的“市场”,如有些病毒将自己的文件名改成expl0rer.exe,你敢随随便便删除它吗?仔细看,可以注意到“0”和“o”的差别,另外“1”和“l”等也很容易混淆。甚至有些病毒会用pif后缀,即explorer.pif,pif和exe、com一样,也是可执行文件,但它的扩展名即使你在文件夹选项里选择了显示文件后缀它都不会显示出来,具有极强的隐蔽性。废话不多说了,讲规则:
expl0rer.exe 不允许的
exp1orer.exe 不允许的
explorer.exe 不允许的
expl0rer.exe 不允许的
explorer.com 不允许的
*.pif 不允许的
以上规则就可解决伪装explorer.exe的问题,pif文件普通计算机里一般都用不到,所以也禁用。其他诸如svchost.exe、rundll32.exe、spoolsv.exe等规则也相似,可自行编写。
出了问题怎么办?
虽然使用软件安全策略带来的兼容性问题可能性很小,不过还是有的,一旦碰到了怎么办?其实系统已经帮我们准备了日志功能,如果是因系统安全策略的原因导致某个程序无法运行,系统会弹出警告对话框。
这个对话框其实已经告诉我们解决方法了,赶紧到“事件查看器”中查看“应用程序日志”,双击打开出问题的日志提示,在描述中会告诉我们这一问题是因为哪条规则而引起的(见图4)。知道问题出在哪里自然就好办了,相应的规则删的删、改的改,这就随CFan们自由发挥了。
一套好的策略能把系统打造成铜墙铁壁,但规则设置过多也容易带来兼容性问题,所以在安全性和兼容性之间用户要自己权衡得失,按自己的使用习惯打造属于自己的规则。
小提示
★如果电脑上有不止一个USB接口,则至少要免疫2到3个U盘盘符,将上面的G改成H和I并加入到其他规则中即可。