windows安全策略.

Windows安全策略“软件”防火墙

来源：互联网作者：无名不来发表日期：2008-8-28 16:52:54 阅读次数：16

在互联网越来越普及的今天，互联网安全问题日益严重，木马病毒横行网络。大多数人会选择安装杀毒软件和防火墙，不过杀毒软件对病毒反应的滞后性使得他心有余而力不足，只有在病毒已经造成破坏后才能被发现并查杀。在这种情况下，HIPS（主动防御系统）软件越来越流行，依靠设定各种各样的规则来限制病毒木马的运行和传播，由于HIPS是基于行为分析的，这使得它对未知病毒依然有效，不过软件兼容性问题也比普通的杀毒软件要严峻的多。

网络上有一种人，他们不装任何杀毒软件和防火墙，自由奔走在互联网上，称之为“裸奔”族。不过他们也分许多不同的种类，有的是电脑不设任何防护，也不放任何重要资料，一旦中毒就重装系统；而另一种则是依托Windows系统本身的安全机制来抵御病毒的入侵，显然这种方法要可靠的多。

其实大多数人都忽略了Windows系统本身的功能，认为Windows弱不禁风。其实只要设置好，Windows就是非常强大的安全防护软件。这篇文章的主角就是WindowsXP Pro里自带的安全策略功能。打开安全策略很简单，直接双击控制面板管理工具里的本地安全策略即可，这里我们重点讲其中的软件限制策略。

正如其名，这里可以限制软件的运行，至于如何限制，那就要看你的策略怎么定了。如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后会出现下级菜单：

其他地方我们都不用管，其它规则才是由我们发挥的地方，这里规则制定的好坏直接关系到你的电脑的安全程度。点击其他策略，我们可以看到微软已经帮我们预设了4条规则（如下图）

这4条规则是用来保证Windows运行所必须的程序不会被禁用而设的，如果你确定你的规则没有问题，这四条规则删掉也没有问题。接下去在其他规则上右键，

[1] [2] [3] [4] [5] [6] [7] [8] 下一页

在弹出的右键菜单里，我们主要用到的是“新路径规则”，偶尔也可以用“新散列规则”，具体有何区别将在下面分别讲述。现在我们点击“新路径规则”，出现如下窗口：

我们主要在路径那一栏里做文章。这里允许使用通配符，常见的有“*”和“？”，*表示任意个字符，？表示一个字符。也允许使用环境变量，常见的文件夹环境变量有：

（以下以XP默认装在C盘例举）

%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users

%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data

%SYSTEMDRIVE% 表示 C:

%SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS

%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %USERPROFILE% 表示 C:\Documents and Settings\当前用户名

%ProgramFiles% 表示 C:\Program Files

在定义规则的时候我们可以使用绝对路径，也可以用通配符或者环境变量，甚至可以直接使用要禁止运行的程序的程序名。而这里就涉及到一个优先级的问题了。按微软的规定：绝对路径>使用通配符的路径>文件名。

下面我通过实例来讲规则的建立：

实例1：

进程仿冒是木马病毒用的最多的一个手段，比如病毒文件名为svchost.exe，而这个病毒文件在windows文件夹下或其他任意文件夹下（真正的svchost.exe文件在system32文件夹下），病毒运行时XP默认的任务管理器里只会显示进程名为svchost.exe，而XP本来就有很多个svchost.exe进程，这就很好地达到了欺骗用户的目的。普通杀毒软件还是得依托单一的病毒库，一旦换了个新病毒用同样的手法他就不认了，安全性很差。而用本地安全策略可以很简单的永久免疫这种方式的病毒，我们建立两条规则：

svchost.exe 不允许的

%windir%\system32\svchost.exe 不受限的

由于优先级的关系，第二条使用绝对路径的规则优先级高于第一条基于文件名的路径，也就是说system32文件夹下的svchost.exe是允许运行的，而其他任意文件夹的名字为svchost.exe的程序都无法运行。由于svchost.exe是系统文件，病毒不可能替换它。可以看到，这两条规则完美地解决了这个问题，以后只要是使用相同手法的病毒或木马都无法运

行，达到了防毒的效果。

实例2：

很多病毒木马为逃过用户的追杀都会藏在很隐蔽的地方，比如回收站、System Volume Information（系统还原文件夹）、C:\WINDOWS\system32\Drivers文件夹、C:\WINDOWS\system 文件夹等等，并且加上隐藏属性使用户不易发觉。而事实上，这些文件夹正常情况下是没有任何可执行程序的，所以我们可以建立以下规则：

?:\Recycled\*.* 不允许的

?:\System Volume Information\*.* 不允许的

%windir%\system32\Drivers\*.* 不允许的

%windir%\system\*.* 不允许的

通过以上4条规则就能屏蔽掉这4个文件夹下任意可执行文件的运行，再一次完美地解决了这一类型的病毒和木马的防御。放心，用*.*这种格式并不会屏蔽掉txt或者jpg之类的其他非可执行程序。

实例3：

用双扩展名迷惑用户的病毒也不在少数。比如MM.jpg.exe，免费得QQ会员的方法.txt.exe 等等，然后图标改成前一个扩展名的图标，由于大多数用户都是XP的默认设置，隐藏已知扩展名的，所以这些病毒文件是很有诱惑力的，防御他们也不难：

*.jpg.exe 不允许的

*.txt.exe 不允许的

这是两条很容易理解的规则，我就不多做解释了。

实例4：

优盘病毒是现在木马病毒使用的最广的传播方式，一般的方法是安装杀毒软件或专门的防USB病毒工具，那么用系统安全策略是否也能做到免疫呢？答案是不能做到100%防御，但能达到90%以上，规则看下面：

（假设你电脑上第一个优盘的盘符是G）

G:\*.exe 不允许的

G:\*.com 不允许的

利用的就是几乎所有的USB病毒都存在在优盘的根目录下，而且是exe后缀的或者com 后缀的应用程序，用上面两条规则就能阻止他们的运行。还有一些USB病毒会隐藏在优盘根目录下的一些隐藏文件夹里，如建立一个叫System Volume Information的文件夹或者Recycled文件夹，而正常情况下优盘是没有系统还原文件夹和回收站的（移动硬盘有时候有），而这个时候，就要靠实例2的规则来组织了。

一般电脑上都不止一个USB接口，所以我们至少要免疫2到3个优盘盘符，将上面的G 改成H和I并加入其他规则中即可。