网管文库

组策略之软件限制策略----组策略防病毒

相信各位一定在为电脑中毒.流氓插件等问题头疼
重装系统,一键还原这些解决办法都存在各种不足.
传统的杀毒软件面对如今铺天盖地的病毒,木马,流氓软件也是只有招架之功.无还手之力.
归根结底,我们得想办法防毒.而不是把希望寄托在杀毒上.
那么如何防呢.要用到HIPS

什么是HIPS?
Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
 
其实,如果你能够做到用受限用户来完成日常工作的话,其实,一切的hips都可以歇菜。毕竟微软为我们准备了十分完备的防御体系,毫不夸张的说,能够真正与组策略的整体实力相抗衡的软件还没有诞生呢。
但是,为什么那么多人还是倒霉?
 
这个,就是国内的体制问题,很多开发软件的人,根本不按照常规做事情,就比如QQ,你在普通用户模式下,多多少少的会遇到这个那个的稀奇古怪的问题。而且症状都千奇百怪,主要是开发者没有考虑到用户权限的问题,开发和测试都在管理员的权限上执行,这样很多设计上的漏洞自然就暴露不出来。
 
 
组策略的软件限制策略
 
软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。
 
其他关于组策略的介绍可以参考本文开头给的连接.既然是防病毒,我们有二种思路.
一种是宽松的规则.对危险的行为进行限制.对普通的行为允许.
建立黑名单制度.对恶意程序进行限制.
另一种严格的规则,实习白名单制度,对已知的程序建立白名单,只允许运行已知的程序.
对未知的程序进行严格的限制.
 
目前的情况来看,大量windows计算机中毒主要来自两个方向.一个就是IE浏览器.另一个就是U盘等移动存储介质.IE由于自身问题,漏洞多多,即使及时的打上微软的补丁,依然无法避免一些恶意网马的入侵.
 
举一个例:
若我们把IE设成基本用户等级启动,那么由IE执行的任何程序的权限都将不高于基本用户级别,只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只剩下尸体了。
甚至,我们还可以通过NTFS权限的设置,让IE无法下载和运行病毒,不给病毒任何的机会。
 
关于组策略规则的设置:

规则要顾及方便性,因此不能对自己有过多的限制,或者最低限度地,即使出现限制的情况,也能方便地进行排除
规则要顾及安全性,首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的威胁。没有这种防外能力的规则都是不完整或者不合格的
基于文件名防病毒、防流氓的规则不宜多设,甚至可以舍弃。
一是容易误阻,二是病毒名字可以随便改,特征库式的黑名单只会跟杀软的病毒库一样滞后。

于是,我们有两种方案:
如果想限制少一点的,可以只设防“入口”规则,主要面向U盘和浏览器
如果想安全系数更高、全面一点的,可以考虑全局规则+白名单

具体做法可以是:
IE 基本用户 
U盘 不允许的 
阅读器的受限,如hh.exe,pdf Reader 
Documents and Settings 不允许的 + Application Data 不受限 
CMD基本用户 
桌面受限的 + lnk不受限的 
全局基本用户 + 白名单不受限(系统默认的四条规则+Program Files+自定义程序+某些格式的排除)
注意全局规则中最好使用 “* 基本用户”这样的形式,大家不妨对比一下与 “*.* 基本用户”或者“*.exe 基本用户” 的不同
组策略的编辑,查看,修改,
在开始-运行里面输入gpedit.msc
 
计算机配置-windows设置-安全设置-软件限制策略-其他规则

(中国计算机网提示:本想给大家发图的,但是说的很详细,没那个必要了。只要大家按部就班就可以了。)



此处就是添加规则的地方了
因篇幅太长,无法在blog中全部详细解释了.如对本文有疑问,还是请看最上面的链接吧
本文仅仅提供思路,真正强大之处在于规则的定义上.
 
最后附上气流兄的规则文件包
下载规则后,解压缩双击就可以了.如果觉得规则影响到你的正常使用了.双击还原组策略那个程序就可以还原.规则分为二组,一个是基本规则,较为宽松,一个是全局规则,较为严格.
如果遇到组策略的阻止,会在windows的事件管理器里面留下日志记录.
 
根据气流兄的测试,以上策略可以在WINXP IE6 SP1未打补丁的状态下防御很多木马.
由于附件太大,这里就不上传了,有兴趣可以去kafan论坛下载

2018-11-17
在线客服
  • 售前咨询:点击这里给我发消息
  • 售后服务:点击这里给我发消息