《防止以上的上带毒网站中毒问题组策略批处理补丁立体防毒》由会员分享,可在线阅读,更多相关《防止以上的上带毒网站中毒问题组策略批处理补丁立体防毒(13页珍藏版)》请在金锄头文库上搜索。
1、防止防止 99以上的上带毒网站中毒问题以上的上带毒网站中毒问题组策略组策略+批处理批处理+补丁立体防毒补丁立体防毒一楼是方案介绍跟实施方法;二楼是“广告帖”,给大家看效果以及本方法与其他方法的简单对比;七楼是盟友们遇到的问题以及本人对问题的解答;十二楼是一些难得的强人的方案希望大家有好方案不要藏着,拿出来,我们一起对付病毒发布者!19、20、22、24、25、26、28 页有对大家问题的解答以及小小的讨论,不想汇总到第一页,搞得太长了向病毒的制造和发布者宣战,哈哈哈哈!防止漏洞攻击:系统补丁一定要打上,虽然不是要求每一台客户机,但是母盘总要两三个月打一次补丁吧!强烈建议将 c 盘转成 ntfs
2、关于 Real 溢出漏洞的测试: 具体步骤及现象:1.打开 IE 浏览器,找到本帖,点击该地址;2.点击后 3 秒左右出现 realplayer,然后 real 自动消失观察到:起先没异常,点了网址后 cpu 满了一秒左右,然后回复正常。PS:期间开了任务管理器来看着的,没有多一个进程!应该是 real的溢出漏洞吧!另,我的系统补丁打到了八月的。重启回来了,没发现异常!防止浏览网页中毒:将三个不安全的组件进行卸载regsvr32 /u /s %SystemRoot%system32SHELL32.dll regsvr32 /u /s %SystemRoot%system32wshom.ocx
3、regsvr32 /u /s %SystemRoot%system32scrrun.dll * Scripting.FileSystemObject 是由系统目录中的 scrrun.dll实现 * WScript.Shell 是由系统目录中的 wshom.ocx 实现 * Shell.Application 是由系统目录中的 SHELL32.dll 实现 *影响: * scrrun.dll,wshom.ocx,SHELL32.dll 这几个组件基本都是给脚本调用的, *我们常见的脚本又大多在网页中,而含有这些类型的网页通常利用脚本来后台下 *载和运行病毒。只要我们自己的程序不去调用这些组件,那
4、基本没什么问题了。 * * 不过我也发现了个别情况,比如 Visual Studio .Net 2003 开发工具,它创建*一个工程时,所使用的工程模板中用到了脚本,并使用了 *Scripting.FileSystemObject 对象,因而会出现创建工程失败的问题。还有 *Office 2003 里,也会用到这个组件,但不影响正常使用。 *系统安全策略上进行设置,阻止绝大多数自动下载的 EXE 病毒,策略示例见下图(下载在二楼):此主题相关图片如下:测试过了,绝对有效!(本策略仅做了基本通用的设置,没有考虑通过运行临时文件夹内可执行文件升级的游戏程序。具体实施的策略大家可以增加适当允许策略,
5、如果有疑问的,请在此提出我尽量帮大家完成!)或许有人会问用*.*这个通配符不就所有的文件都不能运行了吗?我的回答是:放心,我已经亲自测试过,用*.*这种格式并不会屏蔽掉 txt 或者 jpg 之类的其他非可执行程序,换言之这种格式仅屏蔽可执行文件如 等。关于可能会有网络游戏不能升级或运行的问题:原因是这些网游下载了东西到临时文件夹下,并执行该程序来检测是否升级而策略禁止了这个动作的执行。可以在计算机管理事件查看器应用程序 查看日志记录里提示禁止了什么动作?把该文件的动作加为允许的策略,因为允许的策略优先于禁止的策略,所以你设置了允许的策略肯定就没有问题了优先级:绝对/具体路径规则大于通配符路径
6、规则带通配符的非具体文件(扩展)名规则此主题相关图片如下:(由于各个网吧的提供的网游各不相同,所以这里就留给大家发挥了)关于为什么我没有弄各个游戏的允许策略问题的解释:刚才有网友在 Q 上问了我征途不能玩的问题,我让他看了一下日志,他的系统日志:【对 E:网络游戏征途patchupdate.exe.tmp2 的访问被您的管理员根据位置用路径 *.*.* 上的策略规则 298a61b4-6b02-4240-8589-ff086357bc27 限制了】大家说,你们的路径会跟这位网友完全相同的有几个?如果说加一个通用的,比如直接允许 patchupdate.*.*(最安全的是在允许策略里填上具体路径
7、如:E:网络游戏征途patchupdate.exe.*),那万一疯狗的主人调教疯狗,让他捆绑到其它软件上然后释放这么一个文件,那我的这个策略不是没有效果了吗?当然,如果疯狗的作者搞到感染 exe 文件的地步,这个问题就不只是网吧的问题,离走上熊猫的作者的道路也不远了。关于很多人说不可行的原因:经过这几天的观察以及网友的留言跟善意提醒,我发现大多数说运行不了某某游戏的网管朋友们主要是对以下策略不了解,所以现在特别向大家申明一下:一、“*.*.*禁止”这条*.*.*禁止策略会禁止例如 CS1.5.exe 这样格式的可执行文件,这条策略限制的初衷是防止类似*.jpg.exe 这样的垃 圾病毒的。建议
8、:如果大家觉得实在不合适,可以把它删掉,换成以下格式*.avi.*,路径,不允许的,禁止执行双扩展名文件*.bmp.*,路径,不允许的,禁止执行双扩展名文件*.chm.*,路径,不允许的,禁止执行双扩展名文件*.doc.*,路径,不允许的,禁止执行双扩展名文件*.gif.*,路径,不允许的,禁止执行双扩展名文件*.hlp.*,路径,不允许的,禁止执行双扩展名文件*.in?.*,路径,不允许的,禁止执行双扩展名文件*.jpg.*,路径,不允许的,禁止执行双扩展名文件*.mp?.*,路径,不允许的,禁止执行双扩展名文件*.mpeg.*,路径,不允许的,禁止执行双扩展名文件*.png.*,路径,不允
9、许的,禁止执行双扩展名文件*.ppt.*,路径,不允许的,禁止执行双扩展名文件*.rar.*,路径,不允许的,禁止执行双扩展名文件*.reg.*,路径,不允许的,禁止执行双扩展名文件*.rm.*,路径,不允许的,禁止执行双扩展名文件*.rmvb.*,路径,不允许的,禁止执行双扩展名文件*.scr,路径,不允许的,*禁止其他 scr 运行*.swf.*,路径,不允许的,禁止执行双扩展名文件*.torrent.*,路径,不允许的,禁止执行双扩展名文件*.txt.*,路径,不允许的,禁止执行双扩展名文件*.vb?,路径,不允许的,#禁止调用*.vbs*.wm?.*,路径,不允许的,禁止执行双扩展名文
10、件*.xls.*,路径,不允许的,禁止执行双扩展名文件*.zip.*,路径,不允许的,禁止执行双扩展名文件二、“C:Documents and SettingsAdministratorLocal SettingsTemp*.* ,禁止”这条:主要是有些网游的设计者总是喜欢把升级器弄到这个临时文件夹里面运行,然后下载升级的东西建议:删掉或者做更详细的策略限制,如禁止*.bat,*.exe 等等三、CMD.exe 改名由于 CMD 被改名,而系统默认 bat、cmd 文件关联为它才能执行,改名后导致批处理不能运行。建议:cmd 不改名例如,我这里就有客人来用什么 turboc 的,不把这三条改了
11、就运行不起如果想做通用策略,可以考虑上面的三条建议!当然,改了安全性就稍稍降低了,但是对于“防上网中毒”效果还是能达到题目所说的 99!其他:修改 c:WINDOWSSYSTEM32CMD.exe 为任意名字修改 c:WINDOWSSYSTEM32cacls.exe 为任意名字修改 c:WINDOWSSYSTEM32ftp.exe 为任意名字修改 c:WINDOWSSYSTEM32tftp.exe 为任意名字修改 c:WINDOWSSYSTEM32attrib.exe 为任意名字橙色部分内容的实现批处理(开放还原时切记开完机后再接网线):regsvr32 /u /s %SystemRoot%s
12、ystem32SHELL32.dll regsvr32 /u /s %SystemRoot%system32wshom.ocx :开机完成后要保留 vbs 功能的请将上面这行删掉!regsvr32 /u /s %SystemRoot%system32scrrun.dll cd /d %SystemRoot%system32ren ftp.exe ljj.exeren tftp.exe pdff.exeren attrib.exe iuf.exe:开机完成后要对文件进行属性修改操作的请把上面这条删掉!ren cacls.exe kdsf.exe:开机完成后要对文件进行权限操作的请把上面这条删掉!
13、ren cmd.exe xcv.exe:开机完成后要使用 bat 或者 cmd 文件的请把上面这条删掉!exit还是那句话:记得在有还原保护的情况下使用!如果放在脚本或者跟其它批处理一起使用时,请把这部分内容放到代码末端,最后执行!客串分隔线如果解还原后执行了上面的批处理,请把下面的命令行保存成bat:regsvr32 /i /s %SystemRoot%system32SHELL32.dll regsvr32 /i /s %SystemRoot%system32wshom.ocx regsvr32 /i /s %SystemRoot%system32scrrun.dll cd /d %Sys
14、temRoot%system32ren kdsf.exe cacls.exeren ljj.exe ftp.exeren pdff.exe tftp.exeren iuf.exe attrib.exeexit然后,进入系统后在“运行”填入你修改后的 cmd.exe 名(如本例中的 xcv.exe),在出现的命令提示符窗口找到本批处理并运行即可恢复正常。PS:这样做了以后还能防 Autorun 及 XX.jpg.exe,XX.txt.exe 看似图片或者文本类病毒!本策略的目的是:不装杀软,安全上网!本方法的最大特点:不在系统增加任何文件,绿色环保!注意:橙色部分请在有还原的情况下通过维护通道实现,大面积使用前测试时间最好不要少于一天,否则会引起维护通道失效或者其他后果,请慎用!另,发现某些菜单和 VD 更新要使用 VBS
