收藏
下载资源

软件限制重策略

上传人:kms****20 文档编号:40580356 上传时间:2018-05-26 格式:DOC 页数:17 大小:49KB
返回 下载 相关 举报
软件限制重策略_第1页
第1页 / 共17页
软件限制重策略_第2页
第2页 / 共17页
软件限制重策略_第3页
第3页 / 共17页
软件限制重策略_第4页
第4页 / 共17页
软件限制重策略_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《软件限制重策略》由会员分享,可在线阅读,更多相关《软件限制重策略(17页珍藏版)》请在金锄头文库上搜索。

1、软件限制重策略软件限制重策略一、软件限制策略的作用 首先说一下 HIPS 的 3D AD程序保护 保护应用程序不被恶意修改、删除、注入 FD文件保护 保护关键的文件不被恶意修改、删除,禁止恶意程序创建和读取文件 RD注册表保护 保护注册表关键位置不被恶意修改、读取、删除 Windows 系统自带的软件限制策略可以做到上面的 AD 与 FD,至于RD,可以通过注册表权限设置来实现,因此可以说,Windows 本身就具备 3D 功能,只是不被大家所熟悉。 二、软件限制策略的优劣势1、优势 优势是很明显的,它是系统的一部分,不存在兼容性问题,不占用内存,属于系统最底层保护,病毒是无法将其关闭的,保护

2、能力远不是 HIPS 软件可以比拟的,另外它是个驱动程序,就算你不设置它,系统一样会加载这个驱动程序2、劣势 劣势也很明显,与 HIPS 相比,它不够灵活和智能,不存在学习模式,不会阻止程序创建或删除文件,它只会默认阻止或放行,不会询问用户,若规则设置不当,可能导致某些程序不能运行。三、软件限制策略的位置本地安全软件限制策略如果软件限制策略没有子项,则右击它创建一个软件限制策略四、软件限制策略的通配符通配符为?和*两个,?代表没有或一个字符,*代表没有或 N 个字符c:* 用于 C 盘所有程序C:*.* 用于 C 盘子文件夹下的文件(如 c:windows 文件夹下的程序,而对 windows

3、 中的子文件夹下的程序则无效)c:*.* 用于 C 盘的根目录下的程序?:*.* 用于所有分区根目录下的程序(包括 U 盘等移动设备)五、环境变量注:x 代表系统目录所在分区%USERPROFILE% 表示 x:Documents and Settings当前用户名%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users%APPDATA% 表示 x:Documents and Settings当前用户名Application Data%ALLAPPDATA% 表示 x:Documents and SettingsAll UsersApplic

4、ation Data%SYSTEMDRIVE% 表示 x:%HOMEDRIVE% 表示 x:%SYSTEMROOT% 表示 x:WINDOWS%WINDIR% 表示 x:WINDOWS%TEMP% 和 %TMP% 表示 x:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles% 表示 x:Program Files%CommonProgramFiles% 表示 x:Program FilesCommon Files六、优先级1、哈希规则 证书规则 路径规则 Internet 区域规则2、在相同的规则中,保守的规则优先 禁止的 受限

5、用户 基本用户 允许的3、在路径规则中,首先比较的是指定的文件的详细与否,然后才是允许与禁止,指定文件详细的 指定文件不详细的注:受限用户和基本用户默认是不存在的,在注册表中添加新键才能显示出。HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers“Levels“=dword:10000 启用受限用户“Levels“=dword:20000 启用基本用户“Levels“=dword:30000 启用基本用户和受限用户例 1:规则 1-c:*.* 允许 路径 允许 C 盘下的 aa.exe 运行规则 2-C:a

6、a.exe 禁止 路径 禁止运行 C 盘根目录下的所有文件那么 aa.exe 是不能运行的,因为优先级 3,所以规则 2 的优先级大于规则 1例 2:规则 1-aa.exe 禁止 路径 禁止文件名为 aa.exe 的程序运行规则 2-aa.exe 允许 哈希 假设 C 盘下有 aa.exe 程序,我们允许它运行规则 3-d:aa.exe 允许 路径 允许 D:aa.exe 运行那么只有 C 盘和 D 盘根目录下的 aa.exe 可以运行,因为根据优先级1,所以规则 2 的优先级大于规则 1,根据优先级 3,所以规则 3 又大于规则 1例 3:规则 1-?:*.* 禁止 路径 禁止所有分区根目录

7、下的程序运行规则 2-autorun.exe 允许 路径 允许文件名为autorun.exe 的程序运行规则 3-d:autorun.exe 禁止 路径 禁止 D 盘根目录下的 AutoRun.exe 运行规则 4-autorun.exe 基本用户 路径 所有名为autorun.exe 的程序都运行于基本用户权限下规则 4 和规则 2 根据优先级 2,所以 规则 4 规则 2规则 4 和规则 3 根据优先级 3,所以 规则 4 规则 3所以优先级排列为 规则 3 规则 4 规则 2 规则 1七、权限的继承不受限的 基本用户 受限的 不允许的 (以权限的高低排序,与优先级无关)当运行一个程序时,

8、权限分配流程是这样的:首先继承父进程的权限,然后搜索软件限制策略,检查是否有匹配的规则,若有,则按优先级最高的规则的内容与父进程的权限内容进行对比,以最低权限的原则匹配。若无,则仍然继承父进程的权限。若父进程无指定权限,则以当前用户的类型的权限运行。以上内容应该很容易理解吧。举个例:假设你的用户帐户类型是管理员,并建立了这样的两条软件限制策略:1.c:program filesinternet exploreriexplore.exe “基本用户”2.C:Windowscmd.exe “不受限的”那么,我们以 explorer.exe 运行 iexplore.exe,则实际分配给iexplor

9、e.exe 的权限类型为“基本用户” 。如果再以 iexplore.exe启动 cmd.exe 的话,那么根据最低权限原则(“基本用户”低于“不受限的” ) ,cmd.exe 的实际权限仍然是“基本用户” ,再如我们以 explorer.exe 运行 cmd.exe,由 cmd 执行命令 runas.exe /trustlevel:不受限的“c:program filesinternet exploreriexplore.exe”来启动浏览器,那么其权限继承情况为:不受限的 - 不受限的 - 不受限的,也就是说这时 IE 也具有不受限的权限。实际上 runas 命令在这里起到临时规则的作用八、

10、软件限制策略的设置1、受软件限制策略影响的文件类型可以在 软件限制策略 文件类型 查看、删除或添加受策略影响的文件类型2、限制等级可以在 软件限制策略 安全等级 中设置,分别为允许或禁止允许默认的,允许所有的文件运行禁止禁止所有文件运行(不推荐使用)3、用户自定义规则在 软件限制策略其它规则 中添加或删除用户自定义的规则 haven200 2008-05-19 14:38 九、软件限制策略 规则编写实例-注:1、如果设置不当,使系统出现问题又不能将其改正的情况时,如:误禁止了 winlogon.exe 运行,系统进不去了,可以去完全模式中修改软件限制策略,因为在安全模式下,系统是不会加载软件限

11、制策略的驱动的。2、如果想查看哪些文件受阻了,可能去 事件查看器应用程序 中查看,这里会详细的告诉你哪些文件受阻了,该文件是被哪要规则阻止的,以便用户重新设置规则。3、软件限制策略只能阻止其运行,而不能阻止其创建或删除文件。不过一般情况下只要能阻止其运行就是成功的,若是个病毒,删除工作就是杀软的事了,不然要杀软干什么!4、规则设置好后,利用 NTFS 格式的安全设定,设置WINDOWSsystem32GroupPolicyMachineRegistry.pol 的权限,取消用户的修改、写入和删除权限(如果你使用的不是管理员用户,则可以保留管理员用户的写入权限),这样恶意软件便不能修改或删除这个

12、规则了,而我们想修改规则时可以在管理员用户下修改了5、WINDOWSsystem32GroupPolicy 这个文件夹为隐藏属性,如果在文件夹选项中设置显示隐藏文件夹后,仍然没有捞到这个文件夹,不要手动创建这个文件夹,请右击软件限制策略新建一个策略,这个文件夹就会出现。6、规则设置好后,可以备份WINDOWSsystem32GroupPolicyMachineRegistry.pol 这个文件,当我们重装系统后,用这个文件覆盖原来的文件,这样就不用手动添加规则了。7、什么是基本用户呢?它是一种介于系统管理员和受限帐户之间的用户权限,类似于 Vista 中的标准用户,拥有大部分权限,可以读写注册

13、表的 HKEY_CURRENT_USER 字段,但却无法修改HKEY_LOCAL_MACHINE 字段。微软官方的解释是“ 允许程序访问一般用户可以访问的资源,但没有管理员或 Power User 的访问权。 ”那么这个“基本用户”有什么作用呢?正如它所拥有的权限是介于管理员与受限用户之间的,我们可以用这个安全级别来加载 IE 浏览器,以杜绝恶意网站通过 IE 强行修改系统设置,因为即使此时用户为管理员权限,但 IE 依然工作在“基本用户”权限下。-1、路径规则实例禁止 Autorun 病毒?:*.* 禁止 禁止分区根目录下的程序运行禁止磁碟机病毒l?as?.* 禁止 禁止模仿系统进程sms?

14、.* 禁止 禁止模仿系统进程?:*.* 禁止 禁止所有分区根目录下的程序运行%systemroot%system32lass.exe 允许 允许系统服务运行%systemroot%system32smss.exe 允许 允许系统服务运行禁止病毒在 windows 目录下的可疑程序运行先将 windows 目录下的正常文件设置为允许,如%systemroot%explorer.exe 允许 允许 explorer 运行然后再禁止 Windows 目录下的程序运行%systemroot%*.* 禁止 禁止 windows 目录下的文件运行这是利用同一种规则中 允许 的优先级大于 禁止 的优先级来达到限制 windows 目录下的程序运行禁止一个目录下的文件运行如我们禁止分区根目录下的 System Volume Information(这是系统还原所使用的文件夹)中所有文件运行?:System Volume Information* 禁止 禁止 System Volume Information 中的所有文件运行(包括子文件夹)如何保护系统下的系统关键进程有些进程是系统启动时必须加载的,你不能阻止它的运行,但这些进程又常常被恶意软件仿冒,怎么办?其实很简单,这些仿冒的进程,其路径不可能出现在 system32 下,因为它们不可能替换这些核心文件,它们往往出现在其他的路径中。那么我们可

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号