在本系列上篇文章 组策略管理——软件限制策略(4)中简述了编写软件限制策略的基本方法,在本文中,将继续说明编写软件限制策略的其他问题。
保护 system32 下的系统关键进程
确保系统安全的第一步,就是保证自身不受威胁仿冒,为了保护系统关键进程,进行如下策略配置:
C:\WINDOWS\system32\csrss.exe 不受限的 C:\WINDOWS\system32\ctfmon.exe 不受限的 C:\WINDOWS\system32\lsass.exe 不受限的 C:\WINDOWS\system32\rundll32.exe 不受限的 C:\WINDOWS\system32\services.exe 不受限的 C:\WINDOWS\system32\smss.exe 不受限的 C:\WINDOWS\system32\spoolsv.exe 不受限的 C:\WINDOWS\system32\svchost.exe 不受限的 C:\WINDOWS\system32\winlogon.exe 不受限的 |
进而再屏蔽掉其他路径下仿冒进程
csrss.* 不允许的 (.* 表示任意后缀名,这样就涵盖了 bat com 等等可执行的后缀) ctfm?n.* 不允许的 lass.* 不允许的 lssas.* 不允许的 rund*.* 不允许的 services.* 不允许的 smss.* 不允许的 sp???sv.* 不允许的 s??h?st.* 不允许的 s?vch?st.* 不允许的 win??g?n.* 不允许的 |
防止伪装进程
一些病毒和恶意软件通常喜欢伪装为我们常见的进程来迷惑用户,例如 Windows 常见进程 svchost.exe 就是常见的已被伪装进程。
以 svchost.exe 为例,防止伪装进程可将限制策略编辑为:
svchost.exe 不允许的 c:\windows\system32\svchost.exe 不受限的 |
防止恶意使用 CMD
在系统环境变量中,默认的 CMD 调用路径为 %Comspec%,因此只需在软件限制策略中编辑条目将 %Comspec% 设置为需要的限制等级即可。
此时,虽然防止了 CMD 的恶意使用,但并不能对批处理命令进行限制,因为在系统的运行层面上,对于 CMD 和批处理命令有着不同的执行方式,如需限制批处理命令,还需要结合文件扩展名进行限制。
浏览器安全
浏览网页中毒的主要途径是通过网页的页面缓存,通过缓存的文件,病毒与***会将自身进行复制、转移等操作,由此,对浏览器缓存文件进行限制,并且限 制 IE 对系统敏感位置进行操作就成为保障浏览器安全环节中的重要一环。我们这里使用的方法就是禁止 IE 在系统敏感位置创建文件。
创建如下规则:
%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\*.* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 |
非 IE 浏览器情况下,请将浏览器设置为基本用户权限,也能很好的达到一定的安全防范效果。
免疫流氓软件与恶意插件
可以利用软件限制策略进一步对上网安全进行优化,例如,为了免疫流氓软件与恶意插件,我们可以配置如下限制规则:
3721.* 不允许的 CNNIC.* 不允许的 *Bar.* 不允许的 |
禁止从回收站和备份文件夹执行文件
?:\Recycler\**\*.* 不允许的 ?:\System Volume Information\**\*.* 不允许的 |
防范移动存储设备携毒
将系统中可分配给移动设备的盘符通通进行限制,例如 G:、H:、I:、J: 等。
使用规则:
?:\*.* ?:\autorun.inf 不允许的 注:使用时请将问号替换为相应的移动设备盘符 |
根据需要,限制为:受限、不允许、不信任 即可。
其中,不允许 的安全度更高一些,并且不会对移动存储设备的正常操作有什么影响。
根据需要准确限制目录位置
例如我们需要限制 C: 盘下的程序文件夹下的程序运行,可能会创建如下规则:
C:\Program Files\*.* 不允许
在这条规则中,使用通配符来进行匹配,表面看来,这样的规则是没有任何问题的,但在某些特殊情况下,使用通配符则可能由于其不确定性引起误伤。
需要注意的是,通配符不仅可以匹配到文件,也可以匹配到文件夹。
例如,如果在此目录下,不少用户都存在这 ****.NET 或 MSXML *.* 这样的目录,如此的文件夹名称,同样可以和前文中编辑的规则相匹配,因此,在编辑软件限制策略时,同样要根据需要准确的限制目录位置。
例如前文中的示例,只要将其修改为如下形式,就能很好的避免误伤的情况发生。
C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 |
PS:至此,本系列就完结了,其中参考了部分网络及期刊对于软件限制策略应用实例的文章,通通感谢の。欢迎各位继续关注本博客其他文章!谢谢!
本文转自