windows安全策略.docVIP

windows安全策略.txt这是一个禁忌相继崩溃的时代，没人拦得着你，只有你自己拦着自己，你的禁忌越多成就就越少。自卑有多种档次，最高档次的自卑表现为吹嘘自己干什么都是天才。Windows安全策略“软件”防火墙 来源：互联网 作者：无名不来 发表日期：2008-8-28 16:52:54 阅读次数：16 在互联网越来越普及的今天，互联网安全问题日益严重，木马病毒横行网络。大多数人会选择安装杀毒软件和防火墙，不过杀毒软件对病毒反应的滞后性使得他心有余而力不足，只有在病毒已经造成破坏后才能被发现并查杀。在这种情况下，HIPS（主动防御系统）软件越来越流行，依靠设定各种各样的规则来限制病毒木马的运行和传播，由于HIPS是基于行为分析的，这使得它对未知病毒依然有效，不过软件兼容性问题也比普通的杀毒软件要严峻的多。 网络上有一种人，他们不装任何杀毒软件和防火墙，自由奔走在互联网上，称之为“裸奔”族。不过他们也分许多不同的种类，有的是电脑不设任何防护，也不放任何重要资料，一旦中毒就重装系统；而另一种则是依托Windows系统本身的安全机制来抵御病毒的入侵，显然这种方法要可靠的多。 其实大多数人都忽略了Windows系统本身的功能，认为Windows弱不禁风。其实只要设置好，Windows就是非常强大的安全防护软件。这篇文章的主角就是WindowsXP Pro里自带的安全策略功能。打开安全策略很简单，直接双击控制面板管理工具里的本地安全策略即可，这里我们重点讲其中的软件限制策略。 正如其名，这里可以限制软件的运行，至于如何限制，那就要看你的策略怎么定了。如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后会出现下级菜单： 其他地方我们都不用管，其它规则才是由我们发挥的地方，这里规则制定的好坏直接关系到你的电脑的安全程度。点击其他策略，我们可以看到微软已经帮我们预设了4条规则（如下图） 这4条规则是用来保证Windows运行所必须的程序不会被禁用而设的，如果你确定你的规则没有问题，这四条规则删掉也没有问题。接下去在其他规则上右键， [1] [2] [3] [4] [5] [6] [7] [8] 下一页 在弹出的右键菜单里，我们主要用到的是“新路径规则”，偶尔也可以用“新散列规则”，具体有何区别将在下面分别讲述。现在我们点击“新路径规则”，出现如下窗口： 我们主要在路径那一栏里做文章。 这里允许使用通配符，常见的有“*”和“？”，*表示任意个字符，？表示一个字符。也允许使用环境变量，常见的文件夹环境变量有： （以下以XP默认装在C盘例举） %ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users %APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data %SYSTEMDRIVE% 表示 C: %SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %USERPROFILE% 表示 C:\Documents and Settings\当前用户名 %ProgramFiles% 表示 C:\Program Files 在定义规则的时候我们可以使用绝对路径，也可以用通配符或者环境变量，甚至可以直接使用要禁止运行的程序的程序名。而这里就涉及到一个优先级的问题了。按微软的规定：绝对路径使用通配符的路径文件名。 下面我通过实例来讲规则的建立： 实例1： 进程仿冒是木马病毒用的最多的一个手段，比如病毒文件名为svchost.exe，而这个病毒文件在windows文件夹下或其他任意文件夹下（真正的svchost.exe文件在system32文件夹下），病毒运行时XP默认的任务管理器里只会显示进程名为svchost.exe，而XP本来就有很多个svchost.exe进程，这就很好地达到了欺骗用户的目的。普通杀毒软件还是得依托单一的病毒库，一旦换了个新病毒用同样的手法他就不认了，安全性很差。而用本地安全策略可以很简单的永久免疫这种方式的病毒，我们建立两条规则： svchost.exe 不允许的 %windir%\system32\svchost.exe 不受限的 由于优先级的关系，第二条使用绝对路径的规则优先级高于第一条基于文件名的路径，也就是说system32文件夹下的svchost.exe是允许运行的，而其他任意文件夹的名字为svchost.exe的程序都无法运行。由于svchost.exe是系统文件，病