在本系列上篇文章 組策略管理——軟件限制策略(4)中簡述了編寫軟件限制策略的基本方法,在本文中,將繼續說明編寫軟件限制策略的其他問題。
保護 system32 下的系統關鍵進程
確保系統安全的第一步,就是保證自身不受威脅仿冒,爲了保護系統關鍵進程,進行如下策略配置:
C:\WINDOWS\system32\csrss.exe 不受限的 C:\WINDOWS\system32\ctfmon.exe 不受限的 C:\WINDOWS\system32\lsass.exe 不受限的 C:\WINDOWS\system32\rundll32.exe 不受限的 C:\WINDOWS\system32\services.exe 不受限的 C:\WINDOWS\system32\smss.exe 不受限的 C:\WINDOWS\system32\spoolsv.exe 不受限的 C:\WINDOWS\system32\svchost.exe 不受限的 C:\WINDOWS\system32\winlogon.exe 不受限的 |
進而再屏蔽掉其他路徑下仿冒進程
csrss.* 不允許的 (.* 表示任意後綴名,這樣就涵蓋了 bat com 等等可執行的後綴) ctfm?n.* 不允許的 lass.* 不允許的 lssas.* 不允許的 rund*.* 不允許的 services.* 不允許的 smss.* 不允許的 sp???sv.* 不允許的 s??h?st.* 不允許的 s?vch?st.* 不允許的 win??g?n.* 不允許的 |
防止僞裝進程
一些病毒和惡意軟件通常喜歡僞裝爲我們常見的進程來迷惑用戶,例如 Windows 常見進程 svchost.exe 就是常見的已被僞裝進程。
以 svchost.exe 爲例,防止僞裝進程可將限制策略編輯爲:
svchost.exe 不允許的 c:\windows\system32\svchost.exe 不受限的 |
防止惡意使用 CMD
在系統環境變量中,默認的 CMD 調用路徑爲 %Comspec%,因此只需在軟件限制策略中編輯條目將 %Comspec% 設置爲需要的限制等級即可。
此時,雖然防止了 CMD 的惡意使用,但並不能對批處理命令進行限制,因爲在系統的運行層面上,對於 CMD 和批處理命令有着不同的執行方式,如需限制批處理命令,還需要結合文件擴展名進行限制。
瀏覽器安全
瀏覽網頁中毒的主要途徑是通過網頁的頁面緩存,通過緩存的文件,病毒與***會將自身進行復制、轉移等操作,由此,對瀏覽器緩存文件進行限制,並且限制 IE 對系統敏感位置進行操作就成爲保障瀏覽器安全環節中的重要一環。我們這裏使用的方法就是禁止 IE 在系統敏感位置創建文件。
創建如下規則:
%ProgramFiles%\Internet Explorer\iexplore.exe 基本用戶 %UserProfile%\Local Settings\Temporary Internet Files\*.* 不允許的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允許的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允許的 %UserProfile%\Local Settings\Temporary Internet Files 不允許的 |
非 IE 瀏覽器情況下,請將瀏覽器設置爲基本用戶權限,也能很好的達到一定的安全防範效果。
免疫流氓軟件與惡意插件
可以利用軟件限制策略進一步對上網安全進行優化,例如,爲了免疫流氓軟件與惡意插件,我們可以配置如下限制規則:
3721.* 不允許的 CNNIC.* 不允許的 *Bar.* 不允許的 |
禁止從回收站和備份文件夾執行文件
?:\Recycler\**\*.* 不允許的 ?:\System Volume Information\**\*.* 不允許的 |
防範移動存儲設備攜毒
將系統中可分配給移動設備的盤符通通進行限制,例如 G:、H:、I:、J: 等。
使用規則:
?:\*.* ?:\autorun.inf 不允許的 注:使用時請將問號替換爲相應的移動設備盤符
根據需要,限制爲:受限、不允許、不信任 即可。
其中,不允許 的安全度更高一些,並且不會對移動存儲設備的正常操作有什麼影響。
根據需要準確限制目錄位置
例如我們需要限制 C: 盤下的程序文件夾下的程序運行,可能會創建如下規則:
C:\Program Files\*.* 不允許
在這條規則中,使用通配符來進行匹配,表面看來,這樣的規則是沒有任何問題的,但在某些特殊情況下,使用通配符則可能由於其不確定性引起誤傷。
需要注意的是,通配符不僅可以匹配到文件,也可以匹配到文件夾。
例如,如果在此目錄下,不少用戶都存在這 ****.NET 或 MSXML *.* 這樣的目錄,如此的文件夾名稱,同樣可以和前文中編輯的規則相匹配,因此,在編輯軟件限制策略時,同樣要根據需要準確的限制目錄位置。
例如前文中的示例,只要將其修改爲如下形式,就能很好的避免誤傷的情況發生。
C:\Program Files 不允許的 C:\Program Files\*\ 不受限的 |
PS:至此,本系列就完結了,其中參考了部分網絡及期刊對於軟件限制策略應用實例的文章,通通感謝の。歡迎各位繼續關注本博客其他文章!謝謝!