在本系列上篇文章 组策略管理——软件限制策略(4)中简述了编写软件限制策略的基本方法,在本文中,将继续说明编写软件限制策略的其他问题。


保护 system32 下的系统关键进程

确保系统安全的第一步,就是保证自身不受威胁仿冒,为了保护系统关键进程,进行如下策略配置:

 

C:\WINDOWS\system32\csrss.exe      不受限的
C:\WINDOWS\system32\ctfmon.exe    不受限的
C:\WINDOWS\system32\lsass.exe      不受限的
C:\WINDOWS\system32\rundll32.exe    不受限的
C:\WINDOWS\system32\services.exe  不受限的
C:\WINDOWS\system32\smss.exe    不受限的
C:\WINDOWS\system32\spoolsv.exe    不受限的
C:\WINDOWS\system32\svchost.exe      不受限的
C:\WINDOWS\system32\winlogon.exe    不受限的

进而再屏蔽掉其他路径下仿冒进程

 

csrss.*      不允许的  (.*  表示任意后缀名,这样就涵盖了  bat  com  等等可执行的后缀)
ctfm?n.*  不允许的
lass.*      不允许的
lssas.*      不允许的
rund*.*        不允许的
services.*      不允许的
smss.*      不允许的
sp???sv.*      不允许的
s??h?st.*      不允许的
s?vch?st.*    不允许的
win??g?n.*    不允许的
防止伪装进程

一些病毒和恶意软件通常喜欢伪装为我们常见的进程来迷惑用户,例如 Windows 常见进程 svchost.exe 就是常见的已被伪装进程。

以 svchost.exe 为例,防止伪装进程可将限制策略编辑为:

 

svchost.exe  不允许的

c:\windows\system32\svchost.exe  不受限的

防止恶意使用 CMD

在系统环境变量中,默认的 CMD 调用路径为 %Comspec%,因此只需在软件限制策略中编辑条目将 %Comspec% 设置为需要的限制等级即可。

此时,虽然防止了 CMD 的恶意使用,但并不能对批处理命令进行限制,因为在系统的运行层面上,对于 CMD  和批处理命令有着不同的执行方式,如需限制批处理命令,还需要结合文件扩展名进行限制。

浏览器安全

浏览网页中毒的主要途径是通过网页的页面缓存,通过缓存的文件,病毒与***会将自身进行复制、转移等操作,由此,对浏览器缓存文件进行限制,并且限 制 IE 对系统敏感位置进行操作就成为保障浏览器安全环节中的重要一环。我们这里使用的方法就是禁止 IE 在系统敏感位置创建文件。

创建如下规则:

 

%ProgramFiles%\Internet Explorer\iexplore.exe    基本用户

%UserProfile%\Local Settings\Temporary Internet Files\*.*    不允许的

%UserProfile%\Local Settings\Temporary Internet Files\*    不允许的

%UserProfile%\Local Settings\Temporary Internet Files\    不允许的

%UserProfile%\Local Settings\Temporary Internet Files    不允许的

非 IE 浏览器情况下,请将浏览器设置为基本用户权限,也能很好的达到一定的安全防范效果。  

免疫流氓软件与恶意插件

可以利用软件限制策略进一步对上网安全进行优化,例如,为了免疫流氓软件与恶意插件,我们可以配置如下限制规则:

 

3721.*    不允许的
CNNIC.*    不允许的
*Bar.*    不允许的
禁止从回收站和备份文件夹执行文件

 

?:\Recycler\**\*.*    不允许的
?:\System Volume Information\**\*.*    不允许的
防范移动存储设备携毒

将系统中可分配给移动设备的盘符通通进行限制,例如 G:、H:、I:、J: 等。

使用规则:

 

 ?:\*.*

?:\autorun.inf      不允许的

注:使用时请将问号替换为相应的移动设备盘符

根据需要,限制为:受限、不允许、不信任 即可。

其中,不允许 的安全度更高一些,并且不会对移动存储设备的正常操作有什么影响。

根据需要准确限制目录位置

例如我们需要限制 C: 盘下的程序文件夹下的程序运行,可能会创建如下规则:

C:\Program Files\*.*  不允许

在这条规则中,使用通配符来进行匹配,表面看来,这样的规则是没有任何问题的,但在某些特殊情况下,使用通配符则可能由于其不确定性引起误伤。

需要注意的是,通配符不仅可以匹配到文件,也可以匹配到文件夹。

例如,如果在此目录下,不少用户都存在这 ****.NET 或 MSXML *.* 这样的目录,如此的文件夹名称,同样可以和前文中编辑的规则相匹配,因此,在编辑软件限制策略时,同样要根据需要准确的限制目录位置。

例如前文中的示例,只要将其修改为如下形式,就能很好的避免误伤的情况发生。

 

C:\Program Files     不允许的

C:\Program Files\*\  不受限的

 


PS:至此,本系列就完结了,其中参考了部分网络及期刊对于软件限制策略应用实例的文章,通通感谢の。欢迎各位继续关注本博客其他文章!谢谢!

本文转自