使用windows组策略增强电脑安全性
大家都认为windows的安全性很差,那只是我们没有做好设置,下面用组策略增强系统的安全性,可以做到和HIPS及天网防火墙的防护效果。大家可以试试。1、winxp中的系统变量
在windows系统中有许多系统变量,用来指定一些系统路径,下面给出一些常用变量。
%USERPROFILE% 表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示C:\
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files
通配符
? 表示任意单个字符
* 表示任意多个字符
**或*? 表示零个或多个含有反斜杠的字符,即包含子文件夹
2、如何阻止恶意程序运行
首先要注意,恶意程序一般会藏身在以下的地方
?:\ 分区根目录
C:\WINDOWS (后面讲解一律以系统在C盘为例)
C:\WINDOWS\system32
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
注意:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
这8个路径下是没有可执行文件的,只有在它们的子目录下才有可能存在可执行文件,那么基于这一点,规则就容易写了,注意,后面带有 .*的表示任意后缀名,这样就涵盖了 .bat .com .exe 等等可执行的后缀,这个格式只会阻止可执行文件,而不会阻止 .txt .jpg 等等文件
%ALLAPPDATA%\*.* 不允许的
%ALLUSERSPROFILE%\*.* 不允许的
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%APPDATA%\*.* 不允许的
%USERSPROFILE%\*.* 不允许的
%USERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%USERPROFILE%\「开始」菜单\*.* 不允许的
%ProgramFiles%\*.* 不允许的
%CommonProgramFiles%\*.* 不允许的
那么对于
C:\WINDOWS C:\WINDOWS\system32 这两个路径的规则怎么写呢?
C:\WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的,而其他都不需要运行
则其规则可以这样写:
%SYSTEMROOT%\*.* 不允许的 (首先禁止C:\WINDOWS下运行可执行文件)
%SYSTEMROOT%\explorer.exe 不受限的
%SYSTEMROOT%\notepad.exe 不受限的
%SYSTEMROOT%\amcap.exe 不受限的
%SYSTEMROOT%\RTHDCPL.EXE 不受限的
%SYSTEMROOT%\Hh.EXE 不受限的
然后利用绝对路径优先级大于通配符路径的原则,设置上述几个排除规则,则,在C:\WINDOWS下,除了explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外,其他所有的可执行文件均不可运行
对于C:\WINDOWS\system32像上面那样写规则就很麻烦了,在SYSTEM32下面很多系统必须的可执行文件,如果一个一个排除,那太累了。所以,对system32,我们只要对它的子文件作一些限制,并对系统关键进程进行保护
%SYSTEMROOT%\system32\*.* 不允许的
下面将常用的文件进行排除
%SYSTEMROOT%\system32\ActIME.exe 路径 不受限的
%SYSTEMROOT%\system32\actmovie.exe 路径 不受限的
%SYSTEMROOT%\system32\alg.exe 路径 不受限的
%SYSTEMROOT%\system32\auditusr.exe 路径 不受限的
%SYSTEMROOT%\system32\autochk.exe 路径 不受限的
%SYSTEMROOT%\system32\autoconv.exe 路径 不受限的
%SYSTEMROOT%\system32\bootcfg.exe 路径 不受限的
%SYSTEMROOT%\system32\bootok.exe 路径 不受限的
文件太多,不一一列举了。
子文件夹的限制
%SYSTEMROOT%\system32\config\**\*.* 不允许的
%SYSTEMROOT%\system32\drivers\**\*.* 不允许的
%SYSTEMROOT%\system32\spool\**\*.* 不允许的
3、如何保护system32下的系统关键进程
有些进程是系统启动时必须加载的,你不能阻止它的运行,但这些进程又常常被恶意软件仿冒,怎么办?其实很简单,这些仿冒的进程,其路径不可能出现在system32下,因为它们不可能替换这些核心文件,它们往往出现在其他的路径中。那么我们可以这样应对:
先完全允许正常路径下这些进程,再屏蔽掉其他路径下仿冒进程
csrss.* 不允许的
ctfm?n.* 不允许的
lass.* 不允许的
lssas.* 不允许的
rund*.* 不允许的
services.* 不允许的
smss.* 不允许的
sp???sv.* 不允许的
s??h?st.* 不允许的
s?vch?st.* 不允许的
win??g?n.* 不允许的
4、如何保护上网的安全
在浏览不安全的网页时,病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运行,造成系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵
%SYSTEMROOT%\tasks\**\*.* 不允许的 (这个是计划任务,病毒藏身地之一)
%SYSTEMROOT%\Temp\**\*.* 不允许的
%USERPROFILE%\Cookies\*.* 不允许的
%USERPROFILE%\Local Settings\**\*.* 不允许的 (这个是IE缓存、历史记录、临时文件所在位置)
另外可以免疫一些常见的流氓软件
3721.* 不允许的
CNNIC.* 不允许的
*Bar.* 不允许的
等等,不赘述,大家可以自己添加
注意,*.* 这个格式只会阻止可执行文件,而不会阻止 .txt .jpg 等等文件
另外演示两条禁止从回收站和备份文件夹执行文件的规则
?:\Recycler\**\*.* 不允许的
?:\System Volume Information\**\*.* 不允许的
5、如何防止U盘病毒的入侵
这个简单,两条规则就可以彻底搞定
?:\autorun.inf 不允许的
?:\*.* 不允许的
6、预防双后缀名的典型恶意软件
许多恶意软件,他有双后缀,比如 mm.jpg.exe
由于很多人默认不显示后缀名,所以你看到的文件名是 mm.jpg
对于这类恶意,我本来想以一条规则彻底免疫
*.*.* 不允许的
可是这样做了之后,却发现我的ACDSee 3.1 无法运行
于是改成
*.???.bat 不允许的
*.???.cmd 不允许的
*.???.com 不允许的
*.???.exe 不允许的
*.???.pif 不允许的
这样5条规则,ACDSEE没有问题了。
7、其他规则
注意 %USERPROFILE%\Local Settings\**\*.* 这条规则设置后,禁止了从临时文件夹执行文件,那么一些自解压的单文件就无法运行了,因为这类文件是首先解压到临时文件夹,然后从临时文件夹运行的。如果你的电脑中有自解压的单文件,那么,删除这条规则,增加3条:
%USERPROFILE%\Local Settings\Application Data\**\*.* 不允许的
%USERPROFILE%\Local Settings\History\**\*.* 不允许的
%USERPROFILE%\Local Settings\Temporary Internet Files\**\*.* 不允许的
威金的预防,很简单三条
logo?.* 不允许的
logo??.* 不允许的
_desktop.ini 不允许的
我已经将上面所有的组策略已经完全编辑完了,已经上传到纳米盘,大家可以下载,使用方法如下:
下载地址:[url]http://www.namipan.com/d/6e4130062a15f09c4212ed18e966711f5a3137bf22850a00[/url]
1、点击”开始-运行“,输入gpedit.msc,回车运行。
2、点击”windows设置-安全设置-软件限制策略-其他策略“,会看到四条策略。
3、关闭组策略,将下面复制,粘贴进地址栏”%SYSTEMROOT%\system32\GroupPolicy\Machine\“,进入目录会看到”Registry.pol“这个文件,将其重命名,将下载的文件解压放进这个目录就可以了。
在进入组策略就会看到上面的策略了。
压缩包里面还有ip端口策略,但是要打开IPSEC Services服务,在组策略内,“计算机配置-windows设置-安全设置-IP安全策略,在本地机器”。
右击右侧窗口,选择“所有任务-导入策略”,导入即可。 看帖回帖是种美德
从我做起
尊重作者,作者肯定会尊重你
lwkz29 大家一起行动吧 ,发帖口号:
看帖回帖是种美德
从我做起
尊重作者,作者肯定会尊重你
lwkz26
页:
[1]
