組策略之軟件限制策略----組策略防病毒

1、相信各位一定在為電腦中毒.流氓插件等問題頭疼重裝系統(tǒng),一鍵還原這些解決辦法都存在各種不足.傳統(tǒng)的殺毒軟件面對如今鋪天蓋地的病毒,木馬,流氓軟件也是只有招架之功.無還手之力.歸根結(jié)底,我們得想辦法防毒.而不是把希望寄托在殺毒上.那么如何防呢.要用到HIPS什么是HIPS？Host Intrusion Prevent System 主機(jī)入侵防御系統(tǒng)。HIPS是一種能監(jiān)控你電腦中文件的運(yùn)行和文件運(yùn)用了其他的文件以及文件對注冊表的修改，并向你報(bào)告請求允許的的軟件。如果你阻止了，那么它將無法運(yùn)行或者更改。比如你雙擊了一個(gè)病毒程序，HIPS軟件跳出來報(bào)告而你阻止了，那么病毒還是沒有運(yùn)行的。引用一句話：”病

2、毒天天變種天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問題?！薄?HIPS是以后系統(tǒng)安全發(fā)展的一種趨勢，只要你有足夠的專業(yè)水平，你可以只用HIPS而不需殺毒軟件。但是HIPS并不能稱為防火墻，最多只能叫做系統(tǒng)防火墻，它不能阻止網(wǎng)絡(luò)上其他計(jì)算機(jī)對你計(jì)算機(jī)的攻擊行為。 其實(shí)，如果你能夠做到用受限用戶來完成日常工作的話，其實(shí)，一切的hips都可以歇菜。畢竟微軟為我們準(zhǔn)備了十分完備的防御體系，毫不夸張的說，能夠真正與組策略的整體實(shí)力相抗衡的軟件還沒有誕生呢。但是，為什么那么多人還是倒霉？ 這個(gè)，就是國內(nèi)的體制問題，很多開發(fā)軟件的人，根本不按照常規(guī)做事情，就比如QQ,

3、你在普通用戶模式下，多多少少的會(huì)遇到這個(gè)那個(gè)的稀奇古怪的問題。而且癥狀都千奇百怪，主要是開發(fā)者沒有考慮到用戶權(quán)限的問題，開發(fā)和測試都在管理員的權(quán)限上執(zhí)行，這樣很多設(shè)計(jì)上的漏洞自然就暴露不出來。  組策略的軟件限制策略 軟件限制策略包括證書規(guī)則、散列規(guī)則、Internet 區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則，其中靈活性最好的就是路徑規(guī)則了，所以一般我們談到的策略規(guī)則，若沒有特別說明，則直接指路徑規(guī)則。 其他關(guān)于組策略的介紹可以參考本文開頭給的連接.既然是防病毒,我們有二種思路.一種是寬松的規(guī)則.對危險(xiǎn)的行為進(jìn)行限制.對普通的行為允許.建

4、立黑名單制度.對惡意程序進(jìn)行限制.另一種嚴(yán)格的規(guī)則,實(shí)習(xí)白名單制度,對已知的程序建立白名單,只允許運(yùn)行已知的程序.對未知的程序進(jìn)行嚴(yán)格的限制. 目前的情況來看,大量windows計(jì)算機(jī)中毒主要來自兩個(gè)方向.一個(gè)就是IE瀏覽器.另一個(gè)就是U盤等移動(dòng)存儲(chǔ)介質(zhì).IE由于自身問題,漏洞多多,即使及時(shí)的打上微軟的補(bǔ)丁,依然無法避免一些惡意網(wǎng)馬的入侵. 舉一個(gè)例：若我們把IE設(shè)成基本用戶等級啟動(dòng)，那么由IE執(zhí)行的任何程序的權(quán)限都將不高于基本用戶級別，只能更低。所以就可以達(dá)到防范網(wǎng)馬的效果即使IE下載病毒并執(zhí)行了，病毒由于權(quán)限的限制，無法對系統(tǒng)進(jìn)行有害的更改，如果重啟一下，那么病毒就只剩

5、下尸體了。甚至，我們還可以通過NTFS權(quán)限的設(shè)置，讓IE無法下載和運(yùn)行病毒，不給病毒任何的機(jī)會(huì)。 關(guān)于組策略規(guī)則的設(shè)置：規(guī)則要顧及方便性，因此不能對自己有過多的限制，或者最低限度地，即使出現(xiàn)限制的情況，也能方便地進(jìn)行排除規(guī)則要顧及安全性，首先要考慮的對象就是瀏覽器等上網(wǎng)類軟件和可移動(dòng)設(shè)備所帶來的威脅。沒有這種防外能力的規(guī)則都是不完整或者不合格的基于文件名防病毒、防流氓的規(guī)則不宜多設(shè)，甚至可以舍棄。一是容易誤阻，二是病毒名字可以隨便改，特征庫式的黑名單只會(huì)跟殺軟的病毒庫一樣滯后。于是，我們有兩種方案：如果想限制少一點(diǎn)的，可以只設(shè)防“入口”規(guī)則，主要面向U盤和瀏覽器如果想安全系數(shù)更高、全

6、面一點(diǎn)的，可以考慮全局規(guī)則+白名單具體做法可以是：IE 基本用戶 1. U盤 不允許的 2. 閱讀器的受限，如hh.exe，pdf Reader 3. Documents and Settings 不允許的 + Application Data 不受限 4. CMD基本用戶 5. 桌面受限的 + lnk不受限的 6. 全局基本用戶 + 白名單不受限（系統(tǒng)默認(rèn)的四條規(guī)則+Program Files+自定義程序+某些格式的排除）注意全局規(guī)則中最好使用 “* 基本用戶”這樣的形式，大家不妨對比一下與 “*.* 基本用戶”或者“*.exe 基本用戶” 的不同組策略的編輯,查看,修改,在開始-運(yùn)行里面輸

7、入gpedit.msc 計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-軟件限制策略-其他規(guī)則 此處就是添加規(guī)則的地方了因篇幅太長,無法在blog中全部詳細(xì)解釋了.如對本文有疑問,還是請看最上面的鏈接吧本文僅僅提供思路,真正強(qiáng)大之處在于規(guī)則的定義上. 最后附上氣流兄的規(guī)則文件包下載規(guī)則后,解壓縮雙擊就可以了.如果覺得規(guī)則影響到你的正常使用了.雙擊還原組策略那個(gè)程序就可以還原.規(guī)則分為二組,一個(gè)是基本規(guī)則,較為寬松,一個(gè)是全局規(guī)則,較為嚴(yán)格.如果遇到組策略的阻止,會(huì)在windows的事件管理器里面留下日志記錄. 根據(jù)氣流兄的測試,以上策略可以在WINXP IE6

8、 SP1未打補(bǔ)丁的狀態(tài)下防御很多木馬.由于附件太大,這里就不上傳了,有興趣可以去kafan論壇下載.本文出自 51CTO.COM技術(shù)博客組策略防病毒,其中一個(gè)很重要的地方就在于降低IE的權(quán)限,如何降低IE權(quán)限呢,網(wǎng)上提到過在計(jì)算機(jī)建立多個(gè)用戶,讓IE采用一個(gè)不活動(dòng)的用戶來運(yùn)行,此方法雖然可以,然而在公司這樣的環(huán)境卻難以應(yīng)用,畢竟此方法需要一臺(tái)計(jì)算機(jī)一臺(tái)的去手工設(shè)置.由于上文提到的原因,部分軟件的不規(guī)范導(dǎo)致必須要用管理員權(quán)限才能正常運(yùn)行.因此,大部分管理員為了省事,都給了用戶管理員權(quán)限.這樣導(dǎo)致,計(jì)算機(jī)上任何程序都是以管理員權(quán)限來運(yùn)行,如果打開帶有網(wǎng)頁木馬的網(wǎng)頁,由于IE是管理員權(quán)限,那么IE接

9、下來被木馬利用,向系統(tǒng)文件夾復(fù)制文件,修改注冊表等等事件都會(huì)出現(xiàn)了.于是,中毒了.雖然不斷的在出補(bǔ)丁修復(fù),但是這種亡羊補(bǔ)牢的辦法.總是慢半拍. 組策略在路徑規(guī)則里面設(shè)置%ProgramFiles%Internet Explorer    基本用戶 這樣IE就成了基本用戶,從IE上執(zhí)行的網(wǎng)頁中即使有漏洞,由于繼承IE的基本用戶權(quán)限,也難以有大的破壞了 同理可以設(shè)置其他瀏覽器為基本用戶,比如遨游,TT瀏覽器等等.只指定文件名,而不指定可以匹配任意路徑,也就是用戶不管把瀏覽器安裝在硬盤上什么地方,只要不修改可執(zhí)行文件名,都能匹配上

10、. 另一大病毒來源,就是U盤,如果你發(fā)現(xiàn)你的驅(qū)動(dòng)器根目錄下突然多了一個(gè)autorun.inf,哈哈,恭喜你,可能你中毒了.關(guān)于組策略防U盤病毒的策略,網(wǎng)上討論也很多,但是大多數(shù)的策略是錯(cuò)誤的.如 ?:autorun.inf    不允許的詳細(xì)分析可以看url另外,組策略里面關(guān)閉自動(dòng)播放,是不能防止autorun.inf里面的程序執(zhí)行的,有興趣的朋友可以自己試驗(yàn).根據(jù)上面的討論,發(fā)現(xiàn)有效封堵U盤autorun.inf的辦法只有實(shí)際可行的方法：1. 禁止explorer.exe讀取autorun.inf （HIPS之FD）2. 禁止explorer.exe寫入Moun

11、tPoints2的shell下面的open、explorer、autorun、command等項(xiàng)，即：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*shellopen HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*shellautorun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints

12、2*shellexplorer HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*shell*Command 或者將整個(gè)MountPoints2項(xiàng)封住，禁止寫入 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 （注冊表權(quán)限、HIPS之RD）3. 禁止U盤的程序啟動(dòng) （軟件限制策略、HIPS之AD）4. 用沙盤限制   （DW的非信任、SBie的強(qiáng)制運(yùn)行等等）5. 自定義有

13、害文件：autorun.inf （一些殺軟可以做到，例如咖啡8.5i）可以考慮的方案是2和3.2的原理是雖然插入的U盤有毒,但不能修改注冊表,也就是無法把a(bǔ)utorun.inf中定義的鍵值插入到指定的位置,這樣auotrun.inf中定義的可執(zhí)行文件依然無法運(yùn)行3,的辦法比較簡單,禁止U盤上的所有可執(zhí)行文件運(yùn)行.缺點(diǎn)在于要確定U盤的驅(qū)動(dòng)器盤符.4和5需要第三方軟件來支持了.如果想簡單的話.不妨用方法2當(dāng)前這樣做的前提是你的機(jī)器沒有中autorun.inf.也就是該鍵值是清潔的.如果有問題,請自行用regedit打開注冊表來編輯該鍵值.把病毒加入的鍵值刪除掉 打開注冊表編輯器.右鍵單擊

14、MountPoints2項(xiàng),選擇權(quán)限,然后把里面的administratoradministrators.everyone,system等用戶的權(quán)限從完全控制改為讀取,然后點(diǎn)擊高級.選中"用在此顯示的可以應(yīng)用到子對象的項(xiàng)目替代所有子對象的權(quán)限項(xiàng)目",然后確定OK,現(xiàn)在MountPoints2項(xiàng)和它的子項(xiàng)都是只讀了.在你的U盤上自己建一個(gè)autorun.infautorun OPEN=NOTEPAD.exe shellopen=打開(&O) shellopenCommand=NOTEPAD.exe shellopenDefault=1 shellexplore=資源管

15、理器(&X) shellexploreCommand=NOTEPAD.exe icon=game.ico保存在U盤根目錄.然后拔掉U盤再插上,雙擊U盤的盤符,看看能否執(zhí)行記事本,不能了吧.以上是單機(jī)防御的辦法.對于AD活動(dòng)目錄,我們可以自己寫一個(gè)登錄腳本.讓所有電腦登錄域的時(shí)候自動(dòng)運(yùn)行腳本 命令行下修改注冊表鍵值的工具,微軟自己就有regini.exe我們看看用法創(chuàng)建一個(gè)txt文件,文件名任意,如read.txtHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 2 8 19然

16、后在cmd下執(zhí)行regini.exe read.txt然后你再打開regedit.exe看看,鍵值的權(quán)限是不是變成只讀了?可惜此方法有個(gè)缺陷,就是子鍵值不能繼承父鍵值的權(quán)限 在網(wǎng)上找到一個(gè)第三方的修改工具setacl.exe注意此文件有多個(gè)版本,從url可以下載到最新的2.0版本最新版的用法暫時(shí)還沒研究明白 舊版本下載地址urlhttp:/www.helge.mynetcologne.de/setacl/url這里給出一個(gè)舊版本(0.904以下都可以)的用法 rem 解釋：rem setacl：設(shè)置   -   

17、rem CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun： 當(dāng)前用戶注冊表分支啟動(dòng)RUN鍵值rem registry：類型為注冊表rem deny：項(xiàng)目為拒絕訪問rem administrator：訪問對象為administratorrem full：權(quán)限是：完全訪問rem 簡單的講這句話的意思就是：rem 將注冊表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun鍵值設(shè)置為administrator用戶無法訪問rem 項(xiàng)目有四種 deny(拒絕) grant(允許)&#

18、160; set(設(shè)置) revoke(撤消)rem 權(quán)限有兩種 FULL 完全訪問 READ 只讀訪問rem 所以我們要恢復(fù)上面被拒絕的項(xiàng)只需要用一下下面的命令:rem setacl CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /registry /grant administrator /fullrem 下面是各個(gè)主分支開頭部分的對照：rem setacl machineSOFTWAREMicrosoftWindowsCurrentVersionRun /registry /deny administrator /fullre

19、m setacl USERSOFTWAREMicrosoftWindowsCurrentVersionRun rem setacl MACHINESYSTEMCurrentControlSetServices /registry rem setacl CLASSES_ROOTexefileshellopencommand rem setacl CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 /registry /deny everyone /fullrem 解釋：rem setacl：程序rem CU

20、RRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun： 當(dāng)前用戶注冊表分支啟動(dòng)RUN鍵值rem registry：類型為注冊表rem deny：項(xiàng)目為拒絕訪問rem administrator：訪問對象為administratorrem full：權(quán)限是：完全訪問rem 簡單的講這句話的意思就是：rem 將注冊表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun鍵值設(shè)置為administrator用戶無法訪問rem 項(xiàng)目有四種 deny(拒絕) grant(允許)  s

21、et(設(shè)置) revoke(撤消)rem 權(quán)限有兩種 FULL 完全訪問 READ 只讀訪問rem 所以我們要恢復(fù)上面被拒絕的項(xiàng)只需要用一下下面的命令:rem setacl CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /registry /grant administrator /fullrem 下面是各個(gè)主分支開頭部分的對照：rem setacl machineSOFTWAREMicrosoftWindowsCurrentVersionRun /registry /deny administrator /fullrem seta

22、cl USERSOFTWAREMicrosoftWindowsCurrentVersionRun rem setacl MACHINESYSTEMCurrentControlSetServices /registry rem setacl CLASSES_ROOTexefileshellopencommand 所以，要禁止autorun.inf文件自動(dòng)播放只需要運(yùn)行下面的命令即可setacl CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 /registry /deny everyone /full注

23、意這里的對象是everyone，也就是說拒絕任何人完全控制此鍵，也就禁止了administrators之類的 我們要封鎖MountPoints2,需要下列命令setacl CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 /registry /deny everyone /full  同樣道理,我們還可以鎖住一些其他的鍵值來保護(hù)計(jì)算機(jī) 比如開機(jī)自動(dòng)運(yùn)行的程序setacl CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /registry /