關於組策略軟件限制策略規則
一、軟件限制策略的作用
首先說一下HIPS的3D
AD——程序保護 保護應用程序不被惡意修改、刪除、注入
FD——文件保護 保護關鍵的文件不被惡意修改、刪除,禁止惡意程序創建和讀取文件
RD——註冊表保護 保護註冊表關鍵位置不被惡意修改、讀取、刪除
XP系統軟件限制策略可以做到上面的AD與FD,至於RD,可以通過註冊表權限設置來實現
因此可以說,XP本身就具備3D功能,只是不被大家所熟悉。
首先說一下HIPS的3D
AD——程序保護 保護應用程序不被惡意修改、刪除、注入
FD——文件保護 保護關鍵的文件不被惡意修改、刪除,禁止惡意程序創建和讀取文件
RD——註冊表保護 保護註冊表關鍵位置不被惡意修改、讀取、刪除
XP系統軟件限制策略可以做到上面的AD與FD,至於RD,可以通過註冊表權限設置來實現
因此可以說,XP本身就具備3D功能,只是不被大家所熟悉。
二、軟件限制策略的優劣勢
1、優勢
優勢是很明顯的,它是系統的一部分,不存在兼容性問題,不佔用內存,屬於系統最底層保護,保護能力遠不是HIPS可以比擬的
2、劣勢
劣勢也很明顯,與HIPS相比,它不夠靈活和智能,不存在學習模式,它只會默認阻止或放行,不會詢問用戶,若規則設置不當,可能導致某些程序不能運行
1、優勢
優勢是很明顯的,它是系統的一部分,不存在兼容性問題,不佔用內存,屬於系統最底層保護,保護能力遠不是HIPS可以比擬的
2、劣勢
劣勢也很明顯,與HIPS相比,它不夠靈活和智能,不存在學習模式,它只會默認阻止或放行,不會詢問用戶,若規則設置不當,可能導致某些程序不能運行
三、軟件限制策略 規則編寫實例
我直接以一些最常見的例子來說明
1、首先要學會系統通配符、環境變量的含義,以及軟件限制策略規則的優先級
我直接以一些最常見的例子來說明
1、首先要學會系統通配符、環境變量的含義,以及軟件限制策略規則的優先級
要設置組策略,先來了解一下系統環境變量和通配符
環境變量
%USERPROFILE% 表示 C:\Documents and Settings\當前用戶名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\當前用戶名\Application Data
%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示C:\
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\當前用戶名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files
通配符
? 表示任意單個字符
* 表示任意多個字符
**或*? 表示零個或多個含有反斜槓的字符,即包含子文件夾
環境變量
%USERPROFILE% 表示 C:\Documents and Settings\當前用戶名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\當前用戶名\Application Data
%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示C:\
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\當前用戶名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files
通配符
? 表示任意單個字符
* 表示任意多個字符
**或*? 表示零個或多個含有反斜槓的字符,即包含子文件夾
2、如何阻止惡意程序運行
首先要注意,惡意程序一般會藏身在什麼地方
?:\ 分區根目錄
C:\WINDOWS (後面講解一律以系統在C盤爲例)
C:\WINDOWS\system32
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「開始」菜單\程序\啓動
C:\Documents and Settings\All Users\「開始」菜單\程序\啓動
C:\Program Files
C:\Program Files\Common Files
首先要注意,惡意程序一般會藏身在什麼地方
?:\ 分區根目錄
C:\WINDOWS (後面講解一律以系統在C盤爲例)
C:\WINDOWS\system32
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「開始」菜單\程序\啓動
C:\Documents and Settings\All Users\「開始」菜單\程序\啓動
C:\Program Files
C:\Program Files\Common Files
注意:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「開始」菜單\程序\啓動
C:\Documents and Settings\All Users\「開始」菜單\程序\啓動
C:\Program Files
C:\Program Files\Common Files
這8個路徑下是沒有可執行文件的,只有在它們的子目錄下才有可能存在可執行文件,那麼基於這一點,規則就容易寫了
%ALLAPPDATA%\*.* 不允許的
%ALLUSERSPROFILE%\*.* 不允許的
%ALLUSERPROFILE%\「開始」菜單\程序\啓動\*.* 不允許的
%APPDATA%\*.* 不允許的
%USERSPROFILE%\*.*
%USERPROFILE%\「開始」菜單\程序\啓動\*.* 不允許的
%ProgramFiles%\*.* 不允許的
%CommonProgramFiles%\*.* 不允許的
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「開始」菜單\程序\啓動
C:\Documents and Settings\All Users\「開始」菜單\程序\啓動
C:\Program Files
C:\Program Files\Common Files
這8個路徑下是沒有可執行文件的,只有在它們的子目錄下才有可能存在可執行文件,那麼基於這一點,規則就容易寫了
%ALLAPPDATA%\*.* 不允許的
%ALLUSERSPROFILE%\*.* 不允許的
%ALLUSERPROFILE%\「開始」菜單\程序\啓動\*.* 不允許的
%APPDATA%\*.* 不允許的
%USERSPROFILE%\*.*
%USERPROFILE%\「開始」菜單\程序\啓動\*.* 不允許的
%ProgramFiles%\*.* 不允許的
%CommonProgramFiles%\*.* 不允許的
那麼對於
C:\WINDOWS C:\WINDOWS\system32 這兩個路徑的規則怎麼寫呢?
C:\WINDOWS下只有explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序是需要運行的,而其他都不需要運行
則其規則可以這樣寫:
%SYSTEMROOT%\*.* 不允許的 (首先禁止C:\WINDOWS下運行可執行文件)
C:\WINDOWS\explorer.exe 不受限的
C:\WINDOWS\notepad.exe 不受限的
C:\WINDOWS\amcap.exe 不受限的
C:\WINDOWS\RTHDCPL.EXE 不受限的
(然後利用絕對路徑優先級大於通配符路徑的原則,設置上述幾個排除規則,則,在C:\WINDOWS下,除了explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序可以運行外,其他所有的可執行文件均不可運行)
C:\WINDOWS C:\WINDOWS\system32 這兩個路徑的規則怎麼寫呢?
C:\WINDOWS下只有explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序是需要運行的,而其他都不需要運行
則其規則可以這樣寫:
%SYSTEMROOT%\*.* 不允許的 (首先禁止C:\WINDOWS下運行可執行文件)
C:\WINDOWS\explorer.exe 不受限的
C:\WINDOWS\notepad.exe 不受限的
C:\WINDOWS\amcap.exe 不受限的
C:\WINDOWS\RTHDCPL.EXE 不受限的
(然後利用絕對路徑優先級大於通配符路徑的原則,設置上述幾個排除規則,則,在C:\WINDOWS下,除了explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序可以運行外,其他所有的可執行文件均不可運行)
對於C:\WINDOWS\system32就不能像上面那樣寫規則了,在SYSTEM32下面很多系統必須的可執行文件,如果一個一個排除,那太累了。所以,對system32,我們只要對它的子文件作一些限制,並對系統關鍵進程進行保護
子文件夾的限制
%SYSTEMROOT%\system32\config\*.* 不允許的
%SYSTEMROOT%\system32\drivers\*.* 不允許的
%SYSTEMROOT%\system32\spool\*.* 不允許的
當然你可以限制更多的子文件夾
子文件夾的限制
%SYSTEMROOT%\system32\config\*.* 不允許的
%SYSTEMROOT%\system32\drivers\*.* 不允許的
%SYSTEMROOT%\system32\spool\*.* 不允許的
當然你可以限制更多的子文件夾
3、如何保護system32下的系統關鍵進程
有些進程是系統啓動時必須加載的,你不能阻止它的運行,但這些進程又常常被惡意軟件仿冒,怎麼辦?其實很簡單,這些仿冒的進程,其路徑不可能出現在system32下,因爲它們不可能替換這些核心文件,它們往往出現在其他的路徑中。那麼我們可以這樣應對:
C:\WINDOWS\system32\csrss.exe 不受限的
C:\WINDOWS\system32\ctfmon.exe 不受限的
C:\WINDOWS\system32\lsass.exe 不受限的
C:\WINDOWS\system32\rundll32.exe 不受限的
C:\WINDOWS\system32\services.exe 不受限的
C:\WINDOWS\system32\smss.exe 不受限的
C:\WINDOWS\system32\spoolsv.exe 不受限的
C:\WINDOWS\system32\svchost.exe 不受限的
C:\WINDOWS\system32\winlogon.exe 不受限的
有些進程是系統啓動時必須加載的,你不能阻止它的運行,但這些進程又常常被惡意軟件仿冒,怎麼辦?其實很簡單,這些仿冒的進程,其路徑不可能出現在system32下,因爲它們不可能替換這些核心文件,它們往往出現在其他的路徑中。那麼我們可以這樣應對:
C:\WINDOWS\system32\csrss.exe 不受限的
C:\WINDOWS\system32\ctfmon.exe 不受限的
C:\WINDOWS\system32\lsass.exe 不受限的
C:\WINDOWS\system32\rundll32.exe 不受限的
C:\WINDOWS\system32\services.exe 不受限的
C:\WINDOWS\system32\smss.exe 不受限的
C:\WINDOWS\system32\spoolsv.exe 不受限的
C:\WINDOWS\system32\svchost.exe 不受限的
C:\WINDOWS\system32\winlogon.exe 不受限的
先完全允許正常路徑下這些進程,再屏蔽掉其他路徑下仿冒進程
csrss.* 不允許的 (.* 表示任意後綴名,這樣就涵蓋了 bat com 等等可執行的後綴)
ctfm?n.* 不允許的
lass.* 不允許的
lssas.* 不允許的
rund*.* 不允許的
services.* 不允許的
smss.* 不允許的
sp???sv.* 不允許的
s??h?st.* 不允許的
s?vch?st.* 不允許的
win??g?n.* 不允許的
csrss.* 不允許的 (.* 表示任意後綴名,這樣就涵蓋了 bat com 等等可執行的後綴)
ctfm?n.* 不允許的
lass.* 不允許的
lssas.* 不允許的
rund*.* 不允許的
services.* 不允許的
smss.* 不允許的
sp???sv.* 不允許的
s??h?st.* 不允許的
s?vch?st.* 不允許的
win??g?n.* 不允許的
4、如何保護上網的安全
在瀏覽不安全的網頁時,病毒會首先下載到IE緩存以及系統臨時文件夾中,並自動運行,造成系統染毒,在瞭解了這個感染途徑之後,我們可以利用軟件限制策略進行封堵
%SYSTEMROOT%\tasks\*.* 不允許的 (這個是計劃任務,病毒藏身地之一)
%SYSTEMROOT%\Temp\*.* 不允許的
%USERPROFILE%\Cookies\*.* 不允許的
%USERPROFILE%\Local Settings\*.* 不允許的 (這個是IE緩存、歷史記錄、臨時文件所在位置)
另外可以免疫一些常見的流氓軟件
3721.* 不允許的
CNNIC.* 不允許的
*Bar.* 不允許的
等等,不贅述,大家可以自己添加
注意,*.* 這個格式只會阻止可執行文件,而不會阻止 .txt .jpg 等等文件
另外演示兩條禁止從回收站和備份文件夾執行文件的規則
?:\Recycler\*.* 不允許的
?:\System Volume Information\*.* 不允許的
在瀏覽不安全的網頁時,病毒會首先下載到IE緩存以及系統臨時文件夾中,並自動運行,造成系統染毒,在瞭解了這個感染途徑之後,我們可以利用軟件限制策略進行封堵
%SYSTEMROOT%\tasks\*.* 不允許的 (這個是計劃任務,病毒藏身地之一)
%SYSTEMROOT%\Temp\*.* 不允許的
%USERPROFILE%\Cookies\*.* 不允許的
%USERPROFILE%\Local Settings\*.* 不允許的 (這個是IE緩存、歷史記錄、臨時文件所在位置)
另外可以免疫一些常見的流氓軟件
3721.* 不允許的
CNNIC.* 不允許的
*Bar.* 不允許的
等等,不贅述,大家可以自己添加
注意,*.* 這個格式只會阻止可執行文件,而不會阻止 .txt .jpg 等等文件
另外演示兩條禁止從回收站和備份文件夾執行文件的規則
?:\Recycler\*.* 不允許的
?:\System Volume Information\*.* 不允許的
5、如何防止U盤病毒的***
這個簡單,兩條規則就可以徹底搞定
?:\autorun.inf 不允許的
?:\*.* 不允許的
這個簡單,兩條規則就可以徹底搞定
?:\autorun.inf 不允許的
?:\*.* 不允許的
6、預防雙後綴名的典型惡意軟件
許多惡意軟件,他有雙後綴,比如 mm.jpg.exe
由於很多人默認不顯示後綴名,所以你看到的文件名是 mm.jpg
對於這類惡意,我本來想以一條規則徹底免疫
*.*.* 不允許的
可是這樣做了之後,卻發現我的ACDSee 3.1 無法運行
於是改成
*.???.bat 不允許的
*.???.cmd 不允許的
*.???.com 不允許的
*.???.exe 不允許的
*.???.pif 不允許的
這樣5條規則,ACDSEE沒有問題了。
許多惡意軟件,他有雙後綴,比如 mm.jpg.exe
由於很多人默認不顯示後綴名,所以你看到的文件名是 mm.jpg
對於這類惡意,我本來想以一條規則徹底免疫
*.*.* 不允許的
可是這樣做了之後,卻發現我的ACDSee 3.1 無法運行
於是改成
*.???.bat 不允許的
*.???.cmd 不允許的
*.???.com 不允許的
*.???.exe 不允許的
*.???.pif 不允許的
這樣5條規則,ACDSEE沒有問題了。
7、其他規則
注意 %USERPROFILE%\Local Settings\**\*.* 這條規則設置後,禁止了從臨時文件夾執行文件,那麼一些自解壓的單文件就無法運行了,因爲這類文件是首先解壓到臨時文件夾,然後從臨時文件夾運行的。如果你的電腦中有自解壓的單文件,那麼,刪除這條規則,增加3條:
%USERPROFILE%\Local Settings\Application Data\*.* 不允許的
%USERPROFILE%\Local Settings\History\*.* 不允許的
%USERPROFILE%\Local Settings\Temporary Internet Files\*.* 不允許的
注意 %USERPROFILE%\Local Settings\**\*.* 這條規則設置後,禁止了從臨時文件夾執行文件,那麼一些自解壓的單文件就無法運行了,因爲這類文件是首先解壓到臨時文件夾,然後從臨時文件夾運行的。如果你的電腦中有自解壓的單文件,那麼,刪除這條規則,增加3條:
%USERPROFILE%\Local Settings\Application Data\*.* 不允許的
%USERPROFILE%\Local Settings\History\*.* 不允許的
%USERPROFILE%\Local Settings\Temporary Internet Files\*.* 不允許的
威金的預防,很簡單三條
logo?.* 不允許的
logo??.* 不允許的
_desktop.ini 不允許的
小浩病毒的預防
xiaohao.exe 不允許的
禁止conimi.exe進程
c?nime.* 不允許的
禁止QQ自動更新
QQUpdateCenter.exe 不允許的
TIMPlatform.exe 不允許的
禁止遨遊自動更新
maxupdate.exe 不允許的
禁止小紅傘C版的廣告
avnotify.exe 不允許的
………………………………
logo?.* 不允許的
logo??.* 不允許的
_desktop.ini 不允許的
小浩病毒的預防
xiaohao.exe 不允許的
禁止conimi.exe進程
c?nime.* 不允許的
禁止QQ自動更新
QQUpdateCenter.exe 不允許的
TIMPlatform.exe 不允許的
禁止遨遊自動更新
maxupdate.exe 不允許的
禁止小紅傘C版的廣告
avnotify.exe 不允許的
………………………………
就不一一列舉了
大家根據自己的實際情況來設置吧
大家根據自己的實際情況來設置吧