软件限制策略 附件为做好的限制策略,是exe格式的,解压后直接运行即可,记得把安全盾选择为信任模式
声明:本来打算自己写的,但是后来发现雨林木风的尐小三~γ一篇帖子不错,很多的地方都是我想说的,所以拿来修改了一下在此发表,特此声明当病毒已经进来了,该怎么办?病毒进来肯定是为了运行,如果安全盾没有阻挡病毒的进入,那么软件限制策略就是阻挡他的运行,这样进来没有进来是一样的.
开始---运行----secpol.msc,打开软件限制策略控制台,然后在软件限制策略节点上单击鼠标右键,选择“创建软件限制策略”,这样我们就可以创建一个默认的软件限制策略,同时该节点下将出现名为“安全级别”和“其他规则”的两个节点。
安全级别:不允许,出了策略中指定的其他的程序都不能运行,这个一般不用的,一般都是不限制.
其它规则:右键---有四个新建项目,我们今天只说两个,新建路径规则,新建散列规则
选取新建路径规则,弹出对话框,写入你不允许运行的程序名称或盘符,其中*表示多个字符,?表示一个字符.
强制:可以选择软件限制策略限制的用户
指派类型:可以选择软件限制策略想限制的后缀类型
1、首先要学会系统通配符、环境变量的含义,以及软件限制策略规则的优先级
环境变量
%USERPROFILE% 表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示C:\
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files
通配符
? 表示任意单个字符
* 表示任意多个字符
**或*? 表示零个或多个含有反斜杠的字符,即包含子文件夹
2、如何阻止恶意程序运行
首先要注意,恶意程序一般会藏身在什么地方
?:\ 分区根目录
C:\WINDOWS (后面讲解一律以系统在C盘为例)
C:\WINDOWS\system32
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
注意:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
这8个路径下是没有可执行文件的,只有在它们的子目录下才有可能存在可执行文件,那么基于这一点,规则就容易写了
%ALLAPPDATA%\*.* 不允许的
%ALLUSERSPROFILE%\*.* 不允许的
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%APPDATA%\*.* 不允许的
%USERSPROFILE%\*.*
%USERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%ProgramFiles%\*.* 不允许的
%CommonProgramFiles%\*.* 不允许的
那么对于
C:\WINDOWS C:\WINDOWS\system32 这两个路径的规则怎么写呢?
C:\WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的,而其他都不需要运行
则其规则可以这样写:
%SYSTEMROOT%\*.* 不允许的 (首先禁止C:\WINDOWS下运行可执行文件)
C:\WINDOWS\explorer.exe 不受限的
C:\WINDOWS\notepad.exe 不受限的
C:\WINDOWS\amcap.exe 不受限的
C:\WINDOWS\RTHDCPL.EXE 不受限的
(然后利用绝对路径优先级大于通配符路径的原则,设置上述几个排除规则,则,在C:\WINDOWS下,除了
explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外,其他所有的可执行文件均不可运行)
对于C:\WINDOWS\system32就不能像上面那样写规则了,在SYSTEM32下面很多系统必须的可执行文件,如果一个
一个排除,那太累了。所以,对system32,我们只要对它的子文件作一些限制,并对系统关键进程进行保护
子文件夹的限制
%SYSTEMROOT%\system32\config\*.* 不允许的
%SYSTEMROOT%\system32\drivers\*.* 不允许的
%SYSTEMROOT%\system32\spool\*.* 不允许的
当然你可以限制更多的子文件夹
3、如何保护system32下的系统关键进程
有些进程是系统启动时必须加载的,你不能阻止它的运行,但这些进程又常常被恶意软件仿冒,怎么办?其实
很简单,这些仿冒的进程,其路径不可能出现在system32下,因为它们不可能替换这些核心文件,它们往往出
现在其他的路径中。那么我们可以这样应对:
C:\WINDOWS\system32\csrss.exe 不受限的
C:\WINDOWS\system32\ctfmon.exe 不受限的
C:\WINDOWS\system32\lsass.exe 不受限的
C:\WINDOWS\system32\rundll32.exe 不受限的
C:\WINDOWS\system32\services.exe 不受限的
C:\WINDOWS\system32\smss.exe 不受限的
C:\WINDOWS\system32\spoolsv.exe 不受限的
C:\WINDOWS\system32\svchost.exe 不受限的
C:\WINDOWS\system32\winlogon.exe 不受限的
先完全允许正常路径下这些进程,再屏蔽掉其他路径下仿冒进程
csrss.* 不允许的 (.* 表示任意后缀名,这样就涵盖了 bat com 等等可执行的后缀)
ctfm?n.* 不允许的
lass.* 不允许的
lssas.* 不允许的
rund*.* 不允许的
services.* 不允许的
smss.* 不允许的
sp???sv.* 不允许的
s??h?st.* 不允许的
s?vch?st.* 不允许的
win??g?n.* 不允许的
4、如何保护上网的安全
在浏览不安全的网页时,病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运行,造成系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵
%SYSTEMROOT%\tasks\*.* 不允许的 (这个是计划任务,病毒藏身地之一)
%SYSTEMROOT%\Temp\*.* 不允许的
%USERPROFILE%\Cookies\*.* 不允许的
%USERPROFILE%\Local Settings\*.* 不允许的 (这个是IE缓存、历史记录、临时文件所在位置)
另外可以免疫一些常见的流氓软件
3721.* 不允许的
CNNIC.* 不允许的
*Bar.* 不允许的
等等,不赘述,大家可以自己添加
注意,*.* 这个格式只会阻止可执行文件,而不会阻止 .txt .jpg 等等文件
另外演示两条禁止从回收站和备份文件夹执行文件的规则
?:\Recycler\*.* 不允许的
?:\System Volume Information\*.* 不允许的
5、如何防止U盘病毒的入侵
对于u盘,我始终认为u盘只是为了携带方便,不适合直接运行程序,所以我建议大家建立如下规则
==================
新建路径规则
x:\
级别:不允许
===============
x是你的u盘盘符,这个就是禁止任何东西在U盘里面运行,所以不用担心任何的u盘病毒,当然,想运行复制到电脑里面就可以了.千万不要写下c:\的限制策略,后果是什么自己想像吧~~但是可以写c:\*.exe等.c:\表示禁止任何c盘下面的东西运行,包括c盘文件夹下面的东西.c:\*.exe表示c盘根目录下面的exe文件不能运行,但是c:\xxx(任意的文件夹名)\里面的东西可以运行的.
6、预防双后缀名的典型恶意软件
许多恶意软件,他有双后缀,比如 mm.jpg.exe
这个我建议直接建立*.*.*这样就禁止任何的双后缀名的程序运行,当然包括cs1.5.exe,这改怎么办呢?新建散列规则,找到信任的*.*.*格式的程序,选择级别为不受限的,这样就可以了,毕竟正常的*.*.*格式的程序不多,自己稍微动动手设置一下就可以了
7、其他规则
注意 %USERPROFILE%\Local Settings\**\*.* 这条规则设置后,禁止了从临时文件夹执行文件,那么一些自解压的单文件就无法运行了,因为这类文件是首先解压到临时文件夹,然后从临时文件夹运行的。如果你的电脑中有自解压的单文件,那么,删除这条规则,增加3条:
%USERPROFILE%\Local Settings\Application Data\*.* 不允许的
%USERPROFILE%\Local Settings\History\*.* 不允许的
%USERPROFILE%\Local Settings\Temporary Internet Files\*.* 不允许的
8,设置完成后,将C:\Windows\system32\GroupPolicy\Machine\Registry.pol文件拷贝出来
这个文件就是你所设置的规则。重做系统后,将备份的这个文件覆盖到源路径中,就可以恢复规则
也可以将这个文件做成一个自解压EXE格式的文件,自解压脚本为
=====================================================
Path=%windir%\system32\GroupPolicy\Machine\
SavePath
Setup=gpupdate /force
Silent=1
Overwrite=1
====================================================
[ 此贴被^_^在2007-12-11 15:59重新编辑 ]