病毒把你搞烦了?安全盾和组策略帮你解决一切

来了飞扬很久了,也没有发过有意义的帖子,现在的帖子数都是以前在绝对的时候发的,那时很有激情,但没有一点水份.今天写点东西,就当是自己对飞扬尽一点点力吧.现在的病毒日益泛滥,杀毒软件的弊端已经暴露,所谓的特征码时代已经过去,随之而来的是主动防御时代,典型的就是hips类型软件,hips简单点说就是主动防御,具体解释如下
http://zhidao.baidu.com/question/30757279.html?si=1&wtp=wk

今天我给大家介绍的不是eq 微点 等等优秀的主动防御软件,因为这些讲起来不是一天半天能说完的,今天给大家介绍的是无忧启动论坛出品的一个小软件---安全盾和系统自带的软件限制策略应用.

安全盾是由无忧启动论他出品的,虽然只有0.5m左右,但是功能不能小看,首先安装软件,运行完毕会在右下角出现一个绿色的小盾牌图标,右键点击就看到"主界面"暂停监视"退出程序"三个选项,下面一一介绍

主界面

拦截记录:这里记录拦截下来的程序名称,时间等等,供杀毒时的参考

进程项目:红色的表示非微软程序,病毒一般都是红色的,所以结束病毒程序的时候只需要看红色的就行了.结束进程时先勾选前面的框,然后点击结束进程,因为作者为了节省资源,不自动刷新,所以结束以后还会显示,只要刷新一下就行了.点取一个程序下面会出现关联的dll文件,可以定位文件和卸载模块

启动项目:开机运行的程序这里都显示了,可以去掉,下面有"启动本程序"按键,建议选取,这样以后安全盾每次都会开机保护你的电脑了

注册表工具:这个是作者给的优化项目,看个人爱好了,我是全部导入了,而且这个可以自己修改想导入的内容,这个就看你自己的水平了,网上也有,自己可以去找,编辑完了保存后再执行.注意,导入的时候按照下面的步骤导入,否则会出错 . 右键选取右下角图标-----暂停监视----信任程序安装(可以选择不计时,默认五分钟后恢复监视)-----双击图标(此时变为黄色)-----注册表工具-----选取导入的项目(共八项)---执行----确定.导入其他的项目一样的步骤.

监控设置:这个软件最厉害的地方就是这个了,可以根据自己的情况来设置,可以修改,增加,删除,具体见图片说明,可以自己设定密码,如要退出程序或者修改重要项目必须有密码才可以.

  1:本级目录下不创建任何文件:全选×即可。

  2:本级目录及其子目录下都不允许创建任何文件:监视子目录打勾,其余打×。

  3:设置一个免检目录:勾选免检,其余打×。

  4:对某个目录使用免检列表,不在列表中的文件不允许创建:勾选免检+子目录,其余打×。

  5:自定义规则更改后必须应用设置才会保存,监控级别必须在自定义监视上才会有效。
[attachment=24395]

下面是一个用法示例:

 
Quote:
以下设置对应路径 子目录 免检  黑名单  模糊  类型
  (以下由文字代表选择√,未选择的用×表示)

  c:/                        规则:× × × × ×
  这条设置是C:盘根目录下不允许创建任何文件,子目录不受影响。
  C:/Program Files/          规则:× × × × ×
  注意,全×设置不能继承,所以我们对于c盘的子目录Program Files设置了一个相同的设置。

  但有的用户觉得对于c:/Program Files/设为不允许创建任何文件,要安装文件时自已切换到安全盾的安装模式中安装,所以对此目录可设置更严的规则
  C:/Program Files/          规则:子目录 × × × ×
  这样设置后,使用中发现C:/Program Files/KV2005/的病毒库升级在受到了影响,所以下面将Kv2005目录设置成免检目录。
  C:/Program Files/KV2005/  规则:× 免检 × × ×
 

  c:/windows/                规则:子目录 × × × ×
  对于windows目录,我们不希望有任何写入,上面的设定可实现这一点。可以,假设我们有一些程序需要写 runlog.log这个记录文件到c:/windows下时又如何办呢?
  我们需要先将runlog.log添加到免检文件中,再如下设置:
  c:/windows/                规则:子目录 免检 × × ×
  这样c:/windows/目录下可以创建runlog.log,其它文件一律不允许创建。当然,如果我们想管理得宽松一些,比如使用只不允许创建类型过滤指定的文件时,可以选择:
  c:/windows/                规则:子目录 免检 × 类型 
                              或者:子目录 免检 × 模糊 ×  等. 

  c:/windows/temp/            规则:子目录 × 黑名单 × ×
  这个就简单了,对整个临时目录temp使用黑名单过滤。除了全×选项外(全×不能继承),其余规则是可以继承的即:
  c:/windows/              规则:子目录 × × × ×
  c:/windows/Fonts/        规则:子目录 × × × ×
  第二条设置相同规则就是多余的了,因为子目录Fonts不设置时可以继承父目录c:/windwos的设置。



暂停监视

不信任软件安装,当你不确定这个软件是否有流氓插件或者病毒时,选择这个,当有问题时会提示的,自己判断一下就行了
信任软件安装,就是信任的,不需要监视,安装即可

退出程序
点击后会弹出一个对话框,输入那四个数字,回车就可退出,这样做的目的就是为了防止别人恶意结束该进程,也就是自我保护程序,只有输入正确的四个数字才可退出



最后说几点特别注意的,一般情况下注意这几点就行了,以下说的是默认的设置时要注意的,如果你自己修改过设置了,另当别论

1,c盘不要放东西,因为默认监视c盘,你放了过去会自动删除的,确实需要放东西请选择信任软件安装模式
2,安装软件时一定要选择不信任或者信任,否则安装会出错,新用户都会忽略这点.这里强调一点,很多的病毒就是这个时候进去的,所以这个时候一定不要嫌麻烦而直接退出程序,这样做的后果就是相当于没有安装该软件
3,这个可以设定密码,不想别人退出本程序,设定密码就行了
4,这个不会影响正常的上网的,出了问题别考虑这个软件的问题
5,该软件只是防护软件,思想就是不让病毒进来,对于进来的病毒是管不着的,所以一定要在确保干净的系统安装效果最好,不是说有毒就不能安装,只是效果会大大消弱的.
6,该软件最大的特点就是严格控制往系统里写东西,所以病毒和软件之类的往系统写东西,都会经过审核的,所以只能防毒不能当防火墙,要是为了防止别人攻击,请安装防火墙

^_^ 2007-12-11 14:45
软件限制策略  附件为做好的限制策略,是exe格式的,解压后直接运行即可,记得把安全盾选择为信任模式

声明:本来打算自己写的,但是后来发现雨林木风的尐小三~γ一篇帖子不错,很多的地方都是我想说的,所以拿来修改了一下在此发表,特此声明
当病毒已经进来了,该怎么办?病毒进来肯定是为了运行,如果安全盾没有阻挡病毒的进入,那么软件限制策略就是阻挡他的运行,这样进来没有进来是一样的.
开始---运行----secpol.msc,打开软件限制策略控制台,然后在软件限制策略节点上单击鼠标右键,选择“创建软件限制策略”,这样我们就可以创建一个默认的软件限制策略,同时该节点下将出现名为“安全级别”和“其他规则”的两个节点。
安全级别:不允许,出了策略中指定的其他的程序都不能运行,这个一般不用的,一般都是不限制.
其它规则:右键---有四个新建项目,我们今天只说两个,新建路径规则,新建散列规则

选取新建路径规则,弹出对话框,写入你不允许运行的程序名称或盘符,其中*表示多个字符,?表示一个字符.
强制:可以选择软件限制策略限制的用户
指派类型:可以选择软件限制策略想限制的后缀类型

1、首先要学会系统通配符、环境变量的含义,以及软件限制策略规则的优先级
环境变量
%USERPROFILE%  表示 C:/Documents and Settings/当前用户名
%ALLUSERSPROFILE%  表示 C:/Documents and Settings/All Users
%APPDATA%  表示 C:/Documents and Settings/当前用户名/Application Data
%ALLAPPDATA%  表示 C:/Documents and Settings/All Users/Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%  表示C:/
%SYSTEMROOT%  表示 C:/WINDOWS
%WINDIR%  表示 C:/WINDOWS
%TEMP% 和 %TMP%  表示 C:/Documents and Settings/当前用户名/Local Settings/Temp
%ProgramFiles%  表示 C:/Program Files
%CommonProgramFiles%  表示 C:/Program Files/Common Files

通配符
?  表示任意单个字符
*  表示任意多个字符
**或*?  表示零个或多个含有反斜杠的字符,即包含子文件夹

2、如何阻止恶意程序运行
首先要注意,恶意程序一般会藏身在什么地方
?:/  分区根目录
C:/WINDOWS    (后面讲解一律以系统在C盘为例)
C:/WINDOWS/system32
C:/Documents and Settings/Administrator
C:/Documents and Settings/Administrator/Application Data
C:/Documents and Settings/All Users
C:/Documents and Settings/All Users/Application Data
C:/Documents and Settings/Administrator/「开始」菜单/程序/启动
C:/Documents and Settings/All Users/「开始」菜单/程序/启动
C:/Program Files
C:/Program Files/Common Files
注意:
C:/Documents and Settings/Administrator
C:/Documents and Settings/Administrator/Application Data
C:/Documents and Settings/All Users
C:/Documents and Settings/All Users/Application Data
C:/Documents and Settings/Administrator/「开始」菜单/程序/启动
C:/Documents and Settings/All Users/「开始」菜单/程序/启动
C:/Program Files
C:/Program Files/Common Files
这8个路径下是没有可执行文件的,只有在它们的子目录下才有可能存在可执行文件,那么基于这一点,规则就容易写了
%ALLAPPDATA%/*.*    不允许的
%ALLUSERSPROFILE%/*.*    不允许的
%ALLUSERPROFILE%/「开始」菜单/程序/启动/*.*    不允许的
%APPDATA%/*.*    不允许的
%USERSPROFILE%/*.*
%USERPROFILE%/「开始」菜单/程序/启动/*.*    不允许的
%ProgramFiles%/*.*    不允许的
%CommonProgramFiles%/*.*    不允许的
那么对于
C:/WINDOWS      C:/WINDOWS/system32    这两个路径的规则怎么写呢?
C:/WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的,而其他都不需要运行
则其规则可以这样写:
%SYSTEMROOT%/*.*    不允许的    (首先禁止C:/WINDOWS下运行可执行文件)
C:/WINDOWS/explorer.exe    不受限的 
C:/WINDOWS/notepad.exe    不受限的 
C:/WINDOWS/amcap.exe      不受限的
C:/WINDOWS/RTHDCPL.EXE    不受限的
(然后利用绝对路径优先级大于通配符路径的原则,设置上述几个排除规则,则,在C:/WINDOWS下,除了
explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外,其他所有的可执行文件均不可运行)
对于C:/WINDOWS/system32就不能像上面那样写规则了,在SYSTEM32下面很多系统必须的可执行文件,如果一个
一个排除,那太累了。所以,对system32,我们只要对它的子文件作一些限制,并对系统关键进程进行保护
子文件夹的限制
%SYSTEMROOT%/system32/config/*.*      不允许的
%SYSTEMROOT%/system32/drivers/*.*    不允许的
%SYSTEMROOT%/system32/spool/*.*      不允许的
当然你可以限制更多的子文件夹
3、如何保护system32下的系统关键进程
有些进程是系统启动时必须加载的,你不能阻止它的运行,但这些进程又常常被恶意软件仿冒,怎么办?其实
很简单,这些仿冒的进程,其路径不可能出现在system32下,因为它们不可能替换这些核心文件,它们往往出
现在其他的路径中。那么我们可以这样应对:
C:/WINDOWS/system32/csrss.exe      不受限的
C:/WINDOWS/system32/ctfmon.exe    不受限的
C:/WINDOWS/system32/lsass.exe      不受限的
C:/WINDOWS/system32/rundll32.exe    不受限的
C:/WINDOWS/system32/services.exe  不受限的
C:/WINDOWS/system32/smss.exe    不受限的
C:/WINDOWS/system32/spoolsv.exe    不受限的
C:/WINDOWS/system32/svchost.exe      不受限的
C:/WINDOWS/system32/winlogon.exe    不受限的
先完全允许正常路径下这些进程,再屏蔽掉其他路径下仿冒进程
csrss.*      不允许的  (.*  表示任意后缀名,这样就涵盖了  bat  com  等等可执行的后缀)
ctfm?n.*  不允许的
lass.*      不允许的
lssas.*      不允许的
rund*.*        不允许的
services.*      不允许的
smss.*      不允许的
sp???sv.*      不允许的
s??h?st.*      不允许的
s?vch?st.*    不允许的
win??g?n.*    不允许的
4、如何保护上网的安全
在浏览不安全的网页时,病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运行,造成系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵
%SYSTEMROOT%/tasks/*.*    不允许的    (这个是计划任务,病毒藏身地之一)
%SYSTEMROOT%/Temp/*.*    不允许的
%USERPROFILE%/Cookies/*.*    不允许的
%USERPROFILE%/Local Settings/*.*    不允许的  (这个是IE缓存、历史记录、临时文件所在位置)
另外可以免疫一些常见的流氓软件
3721.*    不允许的
CNNIC.*    不允许的
*Bar.*    不允许的
等等,不赘述,大家可以自己添加
注意,*.* 这个格式只会阻止可执行文件,而不会阻止 .txt  .jpg 等等文件
另外演示两条禁止从回收站和备份文件夹执行文件的规则
?:/Recycler/*.*    不允许的
?:/System Volume Information/*.*    不允许的
5、如何防止U盘病毒的入侵
对于u盘,我始终认为u盘只是为了携带方便,不适合直接运行程序,所以我建议大家建立如下规则
==================
新建路径规则
x:/ 
级别:不允许
===============
x是你的u盘盘符,这个就是禁止任何东西在U盘里面运行,所以不用担心任何的u盘病毒,当然,想运行复制到电脑里面就可以了.千万不要写下c:/的限制策略,后果是什么自己想像吧~~但是可以写c:/*.exe等.c:/表示禁止任何c盘下面的东西运行,包括c盘文件夹下面的东西.c:/*.exe表示c盘根目录下面的exe文件不能运行,但是c:/xxx(任意的文件夹名)/里面的东西可以运行的.
6、预防双后缀名的典型恶意软件
许多恶意软件,他有双后缀,比如 mm.jpg.exe
这个我建议直接建立*.*.*这样就禁止任何的双后缀名的程序运行,当然包括cs1.5.exe,这改怎么办呢?新建散列规则,找到信任的*.*.*格式的程序,选择级别为不受限的,这样就可以了,毕竟正常的*.*.*格式的程序不多,自己稍微动动手设置一下就可以了
7、其他规则
注意  %USERPROFILE%/Local Settings/**/*.*  这条规则设置后,禁止了从临时文件夹执行文件,那么一些自解压的单文件就无法运行了,因为这类文件是首先解压到临时文件夹,然后从临时文件夹运行的。如果你的电脑中有自解压的单文件,那么,删除这条规则,增加3条:
%USERPROFILE%/Local Settings/Application Data/*.*      不允许的
%USERPROFILE%/Local Settings/History/*.*          不允许的
%USERPROFILE%/Local Settings/Temporary Internet Files/*.*      不允许的

8,设置完成后,将C:/Windows/system32/GroupPolicy/Machine/Registry.pol文件拷贝出来
这个文件就是你所设置的规则。重做系统后,将备份的这个文件覆盖到源路径中,就可以恢复规则
也可以将这个文件做成一个自解压EXE格式的文件,自解压脚本为
=====================================================
Path=%windir%/system32/GroupPolicy/Machine/
SavePath
Setup=gpupdate /force
Silent=1
Overwrite=1
====================================================
 

你可能感兴趣的:(病毒把你搞烦了?安全盾和组策略帮你解决一切)