組策略軟件限制策略-以阻止病毒入侵

1、.：.；一、軟件限制戰(zhàn)略的作用 首先說一下HIPS的3D AD程序維護 維護運用程序不被惡意修正、刪除、注入 FD文件維護 維護關(guān)鍵的文件不被惡意修正、刪除，制止惡意程序創(chuàng)建和讀取文件 RD注冊表維護 維護注冊表關(guān)鍵位置不被惡意修正、讀取、刪除 XP系統(tǒng)軟件限制戰(zhàn)略可以做到上面的AD與FD，至于RD，可以經(jīng)過注冊表權(quán)限設(shè)置來實現(xiàn) 因此可以說，XP本身就具備3D功能，只是不被大家所熟習(xí)。 二、軟件限制戰(zhàn)略的優(yōu)優(yōu)勢 1、優(yōu)勢 優(yōu)勢是很明顯的，它是系統(tǒng)的一部分，不存在兼容性問題，不占用內(nèi)存，屬于系統(tǒng)最底層維護，維護才干遠不是HIPS可以比較的 2、優(yōu)勢 優(yōu)勢也很明顯，與HIPS相比，它不夠靈敏和智能

2、，不存在學(xué)習(xí)方式，它只會默許阻止或放行，不會訊問用戶，假設(shè)規(guī)那么設(shè)置不當(dāng)，能夠?qū)е履承┏绦虿荒苓\轉(zhuǎn) 三、軟件限制戰(zhàn)略 規(guī)那么編寫實例 我直接以一些最常見的例子來闡明 1、首先要學(xué)會系統(tǒng)通配符、環(huán)境變量的含義，以及軟件限制戰(zhàn)略規(guī)那么的優(yōu)先級 關(guān)于這一點，大家可以看“2樓2、如何阻止惡意程序運轉(zhuǎn) 首先要留意，惡意程序普通會藏身在什么地方 ？:分區(qū)根目錄 C:WINDOWS 后面講解一概以系統(tǒng)在C盤為例 C:WINDOWSsystem32 C:Documents and SettingsAdministrator C:Documents and SettingsAdministratorApplic

3、ation Data C:Documents and SettingsAll Users C:Documents and SettingsAll UsersApplication Data C:Documents and SettingsAdministrator開場菜單程序啟動 C:Documents and SettingsAll Users開場菜單程序啟動 C:Program Files C:Program FilesCommon Files 留意： C:Documents and SettingsAdministrator C:Documents and SettingsAdminis

4、tratorApplication Data C:Documents and SettingsAll Users C:Documents and SettingsAll UsersApplication Data C:Documents and SettingsAdministrator開場菜單程序啟動 C:Documents and SettingsAll Users開場菜單程序啟動 C:Program Files C:Program FilesCommon Files 這8個途徑下是沒有可執(zhí)行文件的，只需在它們的子目錄下才有能夠存在可執(zhí)行文件，那么基于這一點，規(guī)那么就容易寫了 %ALLAP

5、PDATA%*.* 不允許的 %ALLUSERSPROFILE%*.* 不允許的 %ALLUSERPROFILE%開場菜單程序啟動*.* 不允許的 %APPDATA%*.* 不允許的 %USERSPROFILE%*.* %USERPROFILE%開場菜單程序啟動*.* 不允許的 %ProgramFiles%*.* 不允許的 %CommonProgramFiles%*.* 不允許的 那么對于 C:WINDOWS C:WINDOWSsystem32 這兩個途徑的規(guī)那么怎樣寫呢？ C:WINDOWS下只需explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序是需求運轉(zhuǎn)的，而其他都

6、不需求運轉(zhuǎn) 那么其規(guī)那么可以這樣寫： %SYSTEMROOT%*.* 不允許的 首先制止C:WINDOWS下運轉(zhuǎn)可執(zhí)行文件 C:WINDOWSexplorer.exe 不受限的C:WINDOWSnotepad.exe 不受限的C:WINDOWSamcap.exe 不受限的 C:WINDOWSRTHDCPL.EXE 不受限的 然后利用絕對途徑優(yōu)先級大于通配符途徑的原那么，設(shè)置上述幾個排除規(guī)那么，那么，在C:WINDOWS下，除了explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序可以運轉(zhuǎn)外，其他一切的可執(zhí)行文件均不可運轉(zhuǎn) 對于C:WINDOWSsystem32就不能像上面那

7、樣寫規(guī)那么了，在SYSTEM32下面很多系統(tǒng)必需的可執(zhí)行文件，假設(shè)一個一個排除，那太累了。所以，對system32，我們只需對它的子文件作一些限制，并對系統(tǒng)關(guān)鍵進程進展維護 子文件夾的限制 %SYSTEMROOT%system32config*.* 不允許的 %SYSTEMROOT%system32drivers*.* 不允許的 %SYSTEMROOT%system32spool*.* 不允許的 當(dāng)然他可以限制更多的子文件夾 3、如何維護system32下的系統(tǒng)關(guān)鍵進程 有些進程是系統(tǒng)啟動時必需加載的，他不能阻止它的運轉(zhuǎn)，但這些進程又經(jīng)常被惡意軟件仿冒，怎樣辦？其實很簡單，這些仿冒的進程，其途

8、徑不能夠出如今system32下，由于它們不能夠交換這些中心文件，它們往往出如今其他的途徑中。那么我們可以這樣應(yīng)對： C:WINDOWSsystem32csrss.exe 不受限的 C:WINDOWSsystem32ctfmon.exe 不受限的 C:WINDOWSsystem32lsass.exe 不受限的 C:WINDOWSsystem32rundll32.exe 不受限的 C:WINDOWSsystem32services.exe不受限的 C:WINDOWSsystem32smss.exe 不受限的 C:WINDOWSsystem32spoolsv.exe 不受限的 C:WINDOWSs

9、ystem32svchost.exe 不受限的 C:WINDOWSsystem32winlogon.exe 不受限的 先完全允許正常途徑下這些進程，再屏蔽掉其他途徑下仿冒進程 csrss.* 不允許的.*表示恣意后綴名，這樣就涵蓋了batcom等等可執(zhí)行的后綴 ctfm?n.*不允許的 lass.* 不允許的 lssas.* 不允許的 rund*.* 不允許的 services.* 不允許的 smss.* 不允許的 sp?sv.* 不允許的 s?h?st.* 不允許的 s?vch?st.* 不允許的 win?g?n.* 不允許的 4、如何維護上網(wǎng)的平安 在閱讀不平安的網(wǎng)頁時，病毒會首先下載到I

10、E緩存以及系統(tǒng)暫時文件夾中，并自動運轉(zhuǎn)，呵斥系統(tǒng)染毒，在了解了這個感染途徑之后，我們可以利用軟件限制戰(zhàn)略進展封堵 %SYSTEMROOT%tasks*.* 不允許的 這個是方案義務(wù)，病毒藏身地之一 %SYSTEMROOT%Temp*.* 不允許的 %USERPROFILE%Cookies*.* 不允許的 %USERPROFILE%Local Settings*.* 不允許的這個是IE緩存、歷史記錄、暫時文件所在位置 另外可以免疫一些常見的流氓軟件 3721.* 不允許的 CNNIC.* 不允許的 *Bar.* 不允許的 等等，不贅述，大家可以本人添加 留意，*.* 這個格式只會阻止可執(zhí)行文件，

11、而不會阻止 .txt.jpg 等等文件 另外演示兩條制止從回收站和備份文件夾執(zhí)行文件的規(guī)那么 ?:Recycler*.* 不允許的 ?:System Volume Information*.* 不允許的 5、如何防止U盤病毒的入侵 這個簡單，兩條規(guī)那么就可以徹底搞定 ?:autorun.inf 不允許的 ?:*.* 不允許的 6、預(yù)防雙后綴名的典型惡意軟件 許多惡意軟件，他有雙后綴，比如 mm.jpg.exe 由于很多人默許不顯示后綴名，所以他看到的文件名是mm.jpg 對于這類惡意，我本來想以一條規(guī)那么徹底免疫 *.*.*不允許的 可是這樣做了之后，卻發(fā)現(xiàn)我的ACDSee 3.1 無法運轉(zhuǎn)

12、于是改成 *.?.bat 不允許的 *.?d 不允許的 *.? 不允許的 *.?.exe不允許的 *.?.pif 不允許的 這樣5條規(guī)那么，ACDSEE沒有問題了。我如今還沒搞清楚，我的ACDSEE并沒有雙后綴，為何不能運轉(zhuǎn) 7、其他規(guī)那么 留意%USERPROFILE%Local Settings*.*這條規(guī)那么設(shè)置后，制止了從暫時文件夾執(zhí)行文件，那么一些自解壓的單文件就無法運轉(zhuǎn)了，由于這類文件是首先解壓到暫時文件夾，然后從暫時文件夾運轉(zhuǎn)的。假設(shè)他的電腦中有自解壓的單文件，那么，刪除這條規(guī)那么，添加3條： %USERPROFILE%Local SettingsApplication Data*.* 不允許的 %USERPROFILE%Local SettingsHistory*.* 不允許的 %USERPROFILE%Local SettingsTemporary Internet Files*.* 不允許的 威金的預(yù)防，很簡單三條 logo?.* 不允許的 logo?.* 不允許的_desktop