保護 SEP 的文件夾和註冊表
用戶可以通過修改本地安全策略,將 SEP 客戶端的安裝目錄添加爲不被允許的路徑 規則,影響 SEP客戶端的正常使用。另外,用戶可能通過第三方工具來修改SEP目 錄的權限,從而導致 SEP 客戶端不能正常使用。
對於 SEP 客戶端,有如下目錄至關重要:
%PROGRAMFILES%\Symantec
%PROGRAMFILES%\Common Files\Symantec Shared
C:\Documents and Settings\All Users\Application Data\Symantec
SEP 在註冊表中對應的目錄爲:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec
但是,我們需要對這個規則做一些例外,不能僅僅將此規則應用於所有進程,至少 需要排除 SEP 客戶端自己的進程。 對於一個加入域中的終端,用戶修改本地安全策略,實際上是修改的註冊表下的項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy
Objects\*Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
操作系統默認不會在本地安全策略的軟件限制策略下添加任何限制路徑,所以,我 們需要禁止用戶修
改這個註冊表項。
1. 在以上策略的基礎上,新建規則:
2. 添加“文件和文件夾訪問嘗試”條件:
3. 允許讀取,但禁止修改:
4. 添加“註冊表訪問嘗試”條件:
5. 添加規則,並將條件添加爲“註冊表訪問嘗試”:
策略在客戶端生效後,當用戶想在本地安全策略中將SEP路徑添加爲受限路徑時,將被阻止:
From Symantec
專家點評:
此文檔共分爲“保護SEP進程”、“保護SEP的服務”、“保護SEP的文件夾和註冊表”三個部分,分3天講述。針對SEP程序管理中的“終止進程嘗試”、“啓動進程嘗試”、“註冊表訪問嘗試”、“文件及文件夾訪問嘗試”都講的比較細緻,希望各位看客舉一反三,充分吸收,把SEP真正的價值體現出來。
Symantec Endpoint Protection的其他文檔如下:
http://blog.sina.com.cn/s/articlelist_1768282477_12_1.html
使用SEP禁止刻錄光盤
http://blog.sina.com.cn/s/blog_6965d96d0100sf02.html
Symantec Endpoint Protection在成熟中繼續前行
http://blog.sina.com.cn/s/blog_6965d96d0100q5d2.html
Symantec Endpoint Protection一次“失敗”的防禦
http://blog.sina.com.cn/s/blog_6965d96d0100rcvc.html
好色理論與病毒防治!!!(W32.Downadup.B的治癒遐想)
http://blog.sina.com.cn/s/blog_6965d96d0100ta1u.html
SEP 12.1應用程序與設備控制中的諸多改進!!!
http://blog.sina.com.cn/s/blog_6965d96d0100tko4.html
SEP反破解方案A-保護SEP進程
http://blog.sina.com.cn/s/blog_6965d96d0101hbdn.html
SEP反破解方案B-保護SEP的服務
http://blog.sina.com.cn/s/blog_6965d96d0101hce1.html