论文部分内容阅读
对于一些本本用户来说,有时会出于各种原因将本本借给别人使用。而别人在使用的时候,多半会“随心所欲”的进行各种操作,往往给您的本本带来各种麻烦。轻则将您精心配置的操作系统搞的面目全非,重则招致病毒的侵袭,让本本彻底罢工。为了保护本本安全,為了防止病毒木马等恶意程序潜人系统兴风作浪,大家一般都会使用专业的防病毒软件等安全工具加以应对。不过,在很多情况下,仅依靠安全软件,是无法彻底保护系统安全的。其实,在系统中已经内置了可靠有效的安全工具,无须执行复杂的设置,就可以有效提高本本的安全性。
使用组策略保护本本安全
当木马、病毒等恶意程序侵入系统后,大多喜欢在系统文件夹中安身。这样不仅可以方便快捷地启动,而且和众多的系统文件混在一起更好地隐藏。更有甚者,病毒还会将原有的系统程序删除,并冒名顶替将自身伪装成合法的程序。看来,我们必须设定严格的安全规则,不给这些不法之徒以任何可乘之机。在“cAwindows”“c:\windows\system”和”c:\windows\system32”等系统路径中,可以看到到很多系统自带的程序。一般来说,我们常用的系统程序并不多,例如注册表编辑器、CMD命令行程序、外壳程序Explorer.exe、记事本等。因此,我们可以通过创建安全规则,只允许这些常用的程序可以自动运行,而禁止其他程序运行,就可以巧妙地解决上述问题。
运行“gpedit.msc”程序,在组策略窗口中左侧点击“计算机配置”。“Windows设置”→“安全设置”→“软件限制策略”分支,点击菜单“操作”→“创建新的策略”项,在右侧窗口的“其他规则”项的右键菜单电点击“新建路径规则”项,在弹出窗口(图1)的“路径”栏中输入“%SYSTEMROOT%\system32\*.exe”,在“安全级别”列表中选择“不允许”项,确定后完成该规则的创建操作,禁止运行系统路径下的所有程序。按照同样的方法创建新的路径规则,在新路径规则窗口中的“路径”栏中输入“%SYSTEMROOT%\system32\notepad.exe”,在“安全级别”列表中选择“不受限的”。确定后完成该规则的创建操作,允许记事本程序顺利启动。
按照同样的方法,可以针对“c八windows\system32”路径中的常用程序(例如cmd.exe,regedt32.exe,net.exe,ntbackup.exe等)分别创建允许运行的路径规则。经过以上操作,在系统路径下只有经过我们允可的程序才可以顺利运行,其他程序无法启动。即使有病毒潜伏到了该路径下,也因为无法正常启动而失去破坏力,当然,您还可以针对c:\windows”等其他系统路径创建相应的路径规则,来避免病毒随意运行对系统进行破坏。
使用路径规则保护本本安全
当病毒潜人系统后,为了防止用户在任务管理器中发现其行踪,往往会对自身进行伪装,来避开用户的追查。例如,病毒等不法进程往往会将自身伪装成系统进程,试图以看似合法的身份活动。常见的伪装手法是取一个和系统进程完全相同的名字(例如“svchost.exe”等),但是病毒程序却藏身在其他路径中,例如“C:\Windows\AppPatch”等。而正常的系统程序是保存在“c:\windows\system32”文件夹中。此外,病毒还会将其名称修改的和正常的程序相差无几,例如“service.exe”“spoolsv.exe”等,使其看起来和系统进程很相似,如果不仔细查看,很容易被其蒙混过关。为了制服病毒上述伎俩,我们可以通过设置相应的安全规则来应对。
在任务管理器中打开“进程”面板,勾选“显示所有用户的进程”项,来查看所有的系统关键进程。这里以“svchost.exe”进程为例进行说明。首先按照上述方法新建一条路径规则,在规则设置窗口的“路径”栏中输入“svchost.exe”,在“安全级别”列表中选择“不允许”。之后再创建一个路径规则(图2),在路径栏中输入“%windir%\system32\scvhost.exe”,使之指向真正的“svchost.exe”程序,在“安全级别”栏中选择“不受限”项。这样,我们就针对“scvhost.exe”程序创建了两条规则。按照优先级的关系,第二条使用绝对路径的规则,其优先级大于第一条基于文件名的规则,这样,只有系统路径下的“svchost.exe”程序可以顺利运行,其他路径下的假冒“scvhost.exe”程序时无法运行的。按照同样的方法,对其他系统关键进程分别创建与之类似的安全规则,就可以确保系统进程的纯洁性。
使用认证策略保护本本安全
病毒木马等恶意程序的入侵手法可谓花样百出,其伪装的技术也让用户防不胜防。仅‘开常规的安全技术,显然无法对其进行严格有效的控制。对于很多用户来说,往往希望只运行微软认证的程序,而禁用其他程序,来最大限度的保护系统安全。可以利用应用程序控制策略创建安全规则,就可以轻松实现上述要求。运行“service.msc”程序,在服务管理窗口中双击“Application Identity”服务,在其属性窗口中点击“启动”按钮,激活该服务。
运行“gpedit.msc”程序,在组策略窗口左侧点击“计算机配置”→“Windows设置”→“安全设置”→“应用程序控制策略”→“AppLocker”→“可执行规则”项,在右侧空白窗口的右键菜单中点击“创建默认规则”项,之后在窗口空白处的右键菜单中点击“创建新规则”项,在操作向导界面中点击下一步按钮,在下一步窗口中的“用户或组”栏中选择“Everyone”账户,在“操作”栏中选择“拒绝”项,在下一步窗口(图3)中选择“路径”项,下一步窗口中点击“浏览文件夹”按钮,选择“c:\windows”文件夹,将其作为限制规则目录。当然,也可以选择其他的容易被不法程序利用的目录。
在下一步窗口中的“添加例外”列表中选择“发布者”项,在“例外”栏中点击“添加”按钮,在弹出窗口中点击“浏览”按钮,选择系统自带的任意一个程序,例如“c:\windows\system32\verifier.exe”等,这里只是从该程序中提取例外签名信息。在窗口左侧纵向拖动滑块,将其移动至“发布者”位置,即微软发布的可以运行的程序信息(图4)。之后连续点击「一步按钮,按照向导的提示完成操作,最后点击“创建”按钮,返回上述组策略AppLocker可执行规则管理窗口。点击”AppLocker”节点,在右侧窗口中点击“配置规则强制”链接,在弹出窗口(图5)中的“强制”面板中的“可执行规则”栏中勾选“已配置”项,并选择“强制规则”项。点击确定按钮并重启系统,上述限制规则就被激活了。
之后在“c:\windows”路径下只能运行微软发布的程序,其他来历的程序将无法运行。实际上,上述限制规则一旦起效,本机所有以管理员身份运行的程序都会受到限制,只有“c:\windows”中的系统程序可以自由运行,其他路径下的程序可以在其右键菜单上点击“以管理员身份运行”项,才可以顺利启动。当您利用组策略精心配制各种安全规则后,可以将其和好友分享,打开“c:\windows\system32\grouppolicy\machine”文件夹,将其中的所有文件扫包后发送给您的好友,对方只需将其中的所有文件覆盖到上述文件夹中即可。当然,您也可以将这些文件压缩扫包妥善保存,一旦重装系统后可以迅速恢复所有的安全策略,及时堵住病毒入侵的通道。
使用组策略保护本本安全
当木马、病毒等恶意程序侵入系统后,大多喜欢在系统文件夹中安身。这样不仅可以方便快捷地启动,而且和众多的系统文件混在一起更好地隐藏。更有甚者,病毒还会将原有的系统程序删除,并冒名顶替将自身伪装成合法的程序。看来,我们必须设定严格的安全规则,不给这些不法之徒以任何可乘之机。在“cAwindows”“c:\windows\system”和”c:\windows\system32”等系统路径中,可以看到到很多系统自带的程序。一般来说,我们常用的系统程序并不多,例如注册表编辑器、CMD命令行程序、外壳程序Explorer.exe、记事本等。因此,我们可以通过创建安全规则,只允许这些常用的程序可以自动运行,而禁止其他程序运行,就可以巧妙地解决上述问题。
运行“gpedit.msc”程序,在组策略窗口中左侧点击“计算机配置”。“Windows设置”→“安全设置”→“软件限制策略”分支,点击菜单“操作”→“创建新的策略”项,在右侧窗口的“其他规则”项的右键菜单电点击“新建路径规则”项,在弹出窗口(图1)的“路径”栏中输入“%SYSTEMROOT%\system32\*.exe”,在“安全级别”列表中选择“不允许”项,确定后完成该规则的创建操作,禁止运行系统路径下的所有程序。按照同样的方法创建新的路径规则,在新路径规则窗口中的“路径”栏中输入“%SYSTEMROOT%\system32\notepad.exe”,在“安全级别”列表中选择“不受限的”。确定后完成该规则的创建操作,允许记事本程序顺利启动。
按照同样的方法,可以针对“c八windows\system32”路径中的常用程序(例如cmd.exe,regedt32.exe,net.exe,ntbackup.exe等)分别创建允许运行的路径规则。经过以上操作,在系统路径下只有经过我们允可的程序才可以顺利运行,其他程序无法启动。即使有病毒潜伏到了该路径下,也因为无法正常启动而失去破坏力,当然,您还可以针对c:\windows”等其他系统路径创建相应的路径规则,来避免病毒随意运行对系统进行破坏。
使用路径规则保护本本安全
当病毒潜人系统后,为了防止用户在任务管理器中发现其行踪,往往会对自身进行伪装,来避开用户的追查。例如,病毒等不法进程往往会将自身伪装成系统进程,试图以看似合法的身份活动。常见的伪装手法是取一个和系统进程完全相同的名字(例如“svchost.exe”等),但是病毒程序却藏身在其他路径中,例如“C:\Windows\AppPatch”等。而正常的系统程序是保存在“c:\windows\system32”文件夹中。此外,病毒还会将其名称修改的和正常的程序相差无几,例如“service.exe”“spoolsv.exe”等,使其看起来和系统进程很相似,如果不仔细查看,很容易被其蒙混过关。为了制服病毒上述伎俩,我们可以通过设置相应的安全规则来应对。
在任务管理器中打开“进程”面板,勾选“显示所有用户的进程”项,来查看所有的系统关键进程。这里以“svchost.exe”进程为例进行说明。首先按照上述方法新建一条路径规则,在规则设置窗口的“路径”栏中输入“svchost.exe”,在“安全级别”列表中选择“不允许”。之后再创建一个路径规则(图2),在路径栏中输入“%windir%\system32\scvhost.exe”,使之指向真正的“svchost.exe”程序,在“安全级别”栏中选择“不受限”项。这样,我们就针对“scvhost.exe”程序创建了两条规则。按照优先级的关系,第二条使用绝对路径的规则,其优先级大于第一条基于文件名的规则,这样,只有系统路径下的“svchost.exe”程序可以顺利运行,其他路径下的假冒“scvhost.exe”程序时无法运行的。按照同样的方法,对其他系统关键进程分别创建与之类似的安全规则,就可以确保系统进程的纯洁性。
使用认证策略保护本本安全
病毒木马等恶意程序的入侵手法可谓花样百出,其伪装的技术也让用户防不胜防。仅‘开常规的安全技术,显然无法对其进行严格有效的控制。对于很多用户来说,往往希望只运行微软认证的程序,而禁用其他程序,来最大限度的保护系统安全。可以利用应用程序控制策略创建安全规则,就可以轻松实现上述要求。运行“service.msc”程序,在服务管理窗口中双击“Application Identity”服务,在其属性窗口中点击“启动”按钮,激活该服务。
运行“gpedit.msc”程序,在组策略窗口左侧点击“计算机配置”→“Windows设置”→“安全设置”→“应用程序控制策略”→“AppLocker”→“可执行规则”项,在右侧空白窗口的右键菜单中点击“创建默认规则”项,之后在窗口空白处的右键菜单中点击“创建新规则”项,在操作向导界面中点击下一步按钮,在下一步窗口中的“用户或组”栏中选择“Everyone”账户,在“操作”栏中选择“拒绝”项,在下一步窗口(图3)中选择“路径”项,下一步窗口中点击“浏览文件夹”按钮,选择“c:\windows”文件夹,将其作为限制规则目录。当然,也可以选择其他的容易被不法程序利用的目录。
在下一步窗口中的“添加例外”列表中选择“发布者”项,在“例外”栏中点击“添加”按钮,在弹出窗口中点击“浏览”按钮,选择系统自带的任意一个程序,例如“c:\windows\system32\verifier.exe”等,这里只是从该程序中提取例外签名信息。在窗口左侧纵向拖动滑块,将其移动至“发布者”位置,即微软发布的可以运行的程序信息(图4)。之后连续点击「一步按钮,按照向导的提示完成操作,最后点击“创建”按钮,返回上述组策略AppLocker可执行规则管理窗口。点击”AppLocker”节点,在右侧窗口中点击“配置规则强制”链接,在弹出窗口(图5)中的“强制”面板中的“可执行规则”栏中勾选“已配置”项,并选择“强制规则”项。点击确定按钮并重启系统,上述限制规则就被激活了。
之后在“c:\windows”路径下只能运行微软发布的程序,其他来历的程序将无法运行。实际上,上述限制规则一旦起效,本机所有以管理员身份运行的程序都会受到限制,只有“c:\windows”中的系统程序可以自由运行,其他路径下的程序可以在其右键菜单上点击“以管理员身份运行”项,才可以顺利启动。当您利用组策略精心配制各种安全规则后,可以将其和好友分享,打开“c:\windows\system32\grouppolicy\machine”文件夹,将其中的所有文件扫包后发送给您的好友,对方只需将其中的所有文件覆盖到上述文件夹中即可。当然,您也可以将这些文件压缩扫包妥善保存,一旦重装系统后可以迅速恢复所有的安全策略,及时堵住病毒入侵的通道。