组策略软件限制策略----以阻止病毒入侵

一、软件限制策略的作用首先说一下HIPS的3DAD——程序保护保护应用程序不被恶意修改、删除、注入FD——文件保护保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件RD——注册表保护保护注册表关键位置不被恶意修改、读取、删除XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。二、软件限制策略的优劣势1、优势优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是HIPS可以比拟的2、劣势劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行三、软件限制策略规则编写实例我直接以一些最常见的例子来说明1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级关于这一点，大家可以看“2楼”2、如何阻止恶意程序运行首先要注意，恶意程序一般会藏身在什么地方？:\分区根目录C:\WINDOWS（后面讲解一律以系统在C盘为例）C:\WINDOWS\system32C:\DocumentsandSettings\AdministratorC:\DocumentsandSettings\Administrator\ApplicationDataC:\DocumentsandSettings\AllUsersC:\DocumentsandSettings\AllUsers\ApplicationDataC:\DocumentsandSettings\Administrator\「开始」菜单\程序\启动C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动C:\ProgramFilesC:\ProgramFiles\CommonFiles注意：C:\DocumentsandSettings\AdministratorC:\DocumentsandSettings\Administrator\ApplicationDataC:\DocumentsandSettings\AllUsersC:\DocumentsandSettings\AllUsers\ApplicationDataC:\DocumentsandSettings\Administrator\「开始」菜单\程序\启动C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动C:\ProgramFilesC:\ProgramFiles\CommonFiles这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了%ALLAPPDATA%\*.*不允许的%ALLUSERSPROFILE%\*.*不允许的%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.*不允许的%APPDATA%\*.*不允许的%USERSPROFILE%\*.*%USERPROFILE%\「开始」菜单\程序\启动\*.*不允许的%ProgramFiles%\*.*不允许的%CommonProgramFiles%\*.*不允许的那么对于C:\WINDOWSC:\WINDOWS\system32这两个路径的规则怎么写呢？C:\WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行则其规则可以这样写：%SYSTEMROOT%\*.*不允许的（首先禁止C:\WINDOWS下运行可执行文件）C:\WINDOWS\explorer.exe不受限的C:\WINDOWS\notepad.exe不受限的C:\WINDOWS\amcap.exe不受限的C:\WINDOWS\RTHDCPL.EXE不受限的（然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:\WINDOWS下，除了explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行）对于C:\WINDOWS\system32就不能像上面那样写规则了，在SYSTEM32下面很多系统必须的可执行文件，如果一个一个排除，那太累了。所以，对system32，我们只要对它的子文件作一些限制，并对系统关键进程进行保护子文件夹的限制%SYSTEMROOT%\system32\config\**\*.*不允许的%SYSTEMROOT%\system32\drivers\**\*.*不允许的%SYSTEMROOT%\system32\spool\**\*.*不允许的当然你可以限制更多的子文件夹3、如何保护system32下的系统关键进程有些进程是系统启动时必须加载的，你不能阻止它的运行，但这些进程又常常被恶意软件仿冒，怎么办？其实很简单，这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出现在其他的路径中。那么我们可以这样应对：C:\WINDOWS\system32\csrss.exe不受限的C:\WINDOWS\system32\ctfmon.exe不受限的C:\WINDOWS\system32\lsass.exe不受限的C:\WINDOWS\system32\rundll32.exe不受限的C:\WINDOWS\system32\services.exe不受限的C:\WINDOWS\system32\smss.exe不受限的C:\WINDOWS\system32\spoolsv.exe不受限的C:\WINDOWS\system32\svchost.exe不受限的C:\WINDOWS\system32\winlogon.exe不受限的先完全允许正常路径下这些进程，再屏蔽掉其他路径下仿冒进程csrss.*不允许的（.*表示任意后缀名，这样就涵盖了batcom等等可执行的后缀）ctfm?n.*不允许的lass.*不允许的lssas.*不允许的rund*.*不允许的services.*不允许的smss.*不允许的sp???sv.*不允许的s??h?st.*不允许的s?vch?st.*不允许的win??g?n.*不允许的4、如何保护上网的安全在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵%SYSTEMROOT%\tasks\**\*.*不允许的（这个是计划任务，病毒藏身地之一）%SYSTEMROOT%\Temp\**\*.*不允许的%USERPROFILE%\Cookies\*.*不允许的%USERPROFILE%\LocalSettings\**\*.*不允许的（这个是IE缓存、历史记录、临时文件所在位置）另外可以免疫一些常见的流氓软件3721.*不允许的CNNIC.*不允许的*Bar.*不允许的等等，不赘述，大家可以自己添加注意，*.*这个格式只会阻止可执行文件，而不会阻止.txt.jpg等等文件另外演示两条禁止从回收站和备份文件夹执行文件的规则?:\Recycler\**\*.*不允许的?:\SystemVolumeInformation\**\*.*不允许的5、如何防止U盘病毒的入侵这个简单，两条规则就可以彻底搞定?:\autorun.inf不允许的?:\*.*不允许的6、预防双后缀名的典型恶意软件许多恶意软件，他有双后缀，比如mm.jpg.exe由于很多人默认不显示后缀名，所以你看到的文件名是mm.jpg对于这类恶意，我本来想以一条规则彻底免疫*.*.*不允许的可是这样做了之后，却发现我的ACDSee3.1无法运行于是改成*.???.bat不允许的*.???.cmd不允许的*.???.com不允许的*.???.exe不允许的*.???.pif不允许的这样5条规则，ACDSEE没有问题了。我现在还没搞清楚，我的ACDSEE并没有双后缀，为何不能运行7、其他规则注意%USERPROFILE%\LocalSettings\**\*.*这条规则设置后，禁止了从临时文件夹执行文件，那么一些自解压的单文件就无法运行了，因为这类文件是首先解压到临时文件夹，然后从临时文件夹运行的。如果你的电脑中有自解压的单文件，那么，删除这条规则，增加3条：%USERPROFILE%\LocalSettings\ApplicationData\**\*.*不允许的%USERPROFILE%\LocalSettings\History\**\*.*不允许的%USERPROFILE%\LocalSettings\TemporaryInternetFiles\**\*.*不允许的威金的预防，很简单三条logo?.*不允许的logo??.*不允许的_desktop.ini不允许的小浩病毒的预防xiaohao.exe不允许的禁止conimi.exe进程c?nime.*不允许的禁止QQ自动更新QQUpdateCenter.exe不允许的TIMPlatform.exe不允许的禁止遨游自动更新maxupdate.exe不允许的禁止小红伞C版的广告avnotify.exe不允许的………………………………就不一一列举了大家根据自己的实际情况来设置吧