組策略管理——軟體限制策略(5)

技術小胖子發表於2017-11-09

在本系列上篇文章 組策略管理——軟體限制策略(4)中簡述了編寫軟體限制策略的基本方法,在本文中,將繼續說明編寫軟體限制策略的其他問題。

保護 system32 下的系統關鍵程式

確保系統安全的第一步,就是保證自身不受威脅仿冒,為了保護系統關鍵程式,進行如下策略配置:

C:WINDOWSsystem32csrss.exe      不受限的 

C:WINDOWSsystem32ctfmon.exe    不受限的 

C:WINDOWSsystem32lsass.exe      不受限的 

C:WINDOWSsystem32
undll32.exe    不受限的 

C:WINDOWSsystem32services.exe  不受限的 

C:WINDOWSsystem32smss.exe    不受限的 

C:WINDOWSsystem32spoolsv.exe    不受限的 

C:WINDOWSsystem32svchost.exe      不受限的 

C:WINDOWSsystem32winlogon.exe    不受限的

進而再遮蔽掉其他路徑下仿冒程式

csrss.*      不允許的  (.*  表示任意字尾名,這樣就涵蓋了  bat  com  等等可執行的字尾) 

ctfm?n.*  不允許的 

lass.*      不允許的 

lssas.*      不允許的 

rund*.*        不允許的 

services.*      不允許的 

smss.*      不允許的 

sp???sv.*      不允許的 

s??h?st.*      不允許的 

s?vch?st.*    不允許的 

win??g?n.*    不允許的

防止偽裝程式

一些病毒和惡意軟體通常喜歡偽裝為我們常見的程式來迷惑使用者,例如 Windows 常見程式 svchost.exe 就是常見的已被偽裝程式。

以 svchost.exe 為例,防止偽裝程式可將限制策略編輯為:

svchost.exe  不允許的

c:windowssystem32svchost.exe  不受限的

防止惡意使用 CMD

在系統環境變數中,預設的 CMD 呼叫路徑為 %Comspec%,因此只需在軟體限制策略中編輯條目將 %Comspec% 設定為需要的限制等級即可。

此時,雖然防止了 CMD 的惡意使用,但並不能對批處理命令進行限制,因為在系統的執行層面上,對於 CMD  和批處理命令有著不同的執行方式,如需限制批處理命令,還需要結合副檔名進行限制。

瀏覽器安全

瀏覽網頁中毒的主要途徑是通過網頁的頁面快取,通過快取的檔案,病毒與木馬會將自身進行復制、轉移等操作,由此,對瀏覽器快取檔案進行限制,並且限制 IE 對系統敏感位置進行操作就成為保障瀏覽器安全環節中的重要一環。我們這裡使用的方法就是禁止 IE 在系統敏感位置建立檔案。

建立如下規則:

%ProgramFiles%Internet Exploreriexplore.exe    基本使用者

%UserProfile%Local SettingsTemporary Internet Files*.*    不允許的

%UserProfile%Local SettingsTemporary Internet Files*    不允許的

%UserProfile%Local SettingsTemporary Internet Files    不允許的

%UserProfile%Local SettingsTemporary Internet Files    不允許的

非 IE 瀏覽器情況下,請將瀏覽器設定為基本使用者許可權,也能很好的達到一定的安全防範效果。  

免疫流氓軟體與惡意外掛

可以利用軟體限制策略進一步對上網安全進行優化,例如,為了免疫流氓軟體與惡意外掛,我們可以配置如下限制規則:

3721.*    不允許的 

CNNIC.*    不允許的 

*Bar.*    不允許的

禁止從回收站和備份資料夾執行檔案

?:Recycler***.*    不允許的 

?:System Volume Information***.*    不允許的

防範移動儲存裝置攜毒

將系統中可分配給移動裝置的碟符通通進行限制,例如 G:、H:、I:、J: 等。

使用規則:

 ?:*.*

?:autorun.inf      不允許的

注:使用時請將問號替換為相應的移動裝置碟符

根據需要,限制為:受限、不允許、不信任 即可。

其中,不允許 的安全度更高一些,並且不會對移動儲存裝置的正常操作有什麼影響。

根據需要準確限制目錄位置

例如我們需要限制 C: 盤下的程式資料夾下的程式執行,可能會建立如下規則:

C:Program Files*.*  不允許

在這條規則中,使用萬用字元來進行匹配,表面看來,這樣的規則是沒有任何問題的,但在某些特殊情況下,使用萬用字元則可能由於其不確定性引起誤傷。

需要注意的是,萬用字元不僅可以匹配到檔案,也可以匹配到資料夾。

例如,如果在此目錄下,不少使用者都存在這 ****.NET 或 MSXML *.* 這樣的目錄,如此的資料夾名稱,同樣可以和前文中編輯的規則相匹配,因此,在編輯軟體限制策略時,同樣要根據需要準確的限制目錄位置。

例如前文中的示例,只要將其修改為如下形式,就能很好的避免誤傷的情況發生。

C:Program Files     不允許的

C:Program Files*  不受限的

 

PS:至此,本系列就完結了,其中參考了部分網路及期刊對於軟體限制策略應用例項的文章,通通感謝の。歡迎各位繼續關注本部落格其他文章!謝謝!

     本文轉自melvillo 51CTO部落格,原文連結:http://blog.51cto.com/marui/355091,如需轉載請自行聯絡原作者



相關文章