組策略管理——軟體限制策略(5)
在本系列上篇文章 組策略管理——軟體限制策略(4)中簡述了編寫軟體限制策略的基本方法,在本文中,將繼續說明編寫軟體限制策略的其他問題。
保護 system32 下的系統關鍵程式
確保系統安全的第一步,就是保證自身不受威脅仿冒,為了保護系統關鍵程式,進行如下策略配置:
| C:WINDOWSsystem32csrss.exe 不受限的 C:WINDOWSsystem32ctfmon.exe 不受限的 C:WINDOWSsystem32lsass.exe 不受限的 C:WINDOWSsystem32 undll32.exe 不受限的 C:WINDOWSsystem32services.exe 不受限的 C:WINDOWSsystem32smss.exe 不受限的 C:WINDOWSsystem32spoolsv.exe 不受限的 C:WINDOWSsystem32svchost.exe 不受限的 C:WINDOWSsystem32winlogon.exe 不受限的 |
進而再遮蔽掉其他路徑下仿冒程式
| csrss.* 不允許的 (.* 表示任意字尾名,這樣就涵蓋了 bat com 等等可執行的字尾) ctfm?n.* 不允許的 lass.* 不允許的 lssas.* 不允許的 rund*.* 不允許的 services.* 不允許的 smss.* 不允許的 sp???sv.* 不允許的 s??h?st.* 不允許的 s?vch?st.* 不允許的 win??g?n.* 不允許的 |
防止偽裝程式
一些病毒和惡意軟體通常喜歡偽裝為我們常見的程式來迷惑使用者,例如 Windows 常見程式 svchost.exe 就是常見的已被偽裝程式。
以 svchost.exe 為例,防止偽裝程式可將限制策略編輯為:
|
svchost.exe 不允許的 c:windowssystem32svchost.exe 不受限的 |
防止惡意使用 CMD
在系統環境變數中,預設的 CMD 呼叫路徑為 %Comspec%,因此只需在軟體限制策略中編輯條目將 %Comspec% 設定為需要的限制等級即可。
此時,雖然防止了 CMD 的惡意使用,但並不能對批處理命令進行限制,因為在系統的執行層面上,對於 CMD 和批處理命令有著不同的執行方式,如需限制批處理命令,還需要結合副檔名進行限制。
瀏覽器安全
瀏覽網頁中毒的主要途徑是通過網頁的頁面快取,通過快取的檔案,病毒與木馬會將自身進行復制、轉移等操作,由此,對瀏覽器快取檔案進行限制,並且限制 IE 對系統敏感位置進行操作就成為保障瀏覽器安全環節中的重要一環。我們這裡使用的方法就是禁止 IE 在系統敏感位置建立檔案。
建立如下規則:
|
%ProgramFiles%Internet Exploreriexplore.exe 基本使用者 %UserProfile%Local SettingsTemporary Internet Files*.* 不允許的 %UserProfile%Local SettingsTemporary Internet Files* 不允許的 %UserProfile%Local SettingsTemporary Internet Files 不允許的 %UserProfile%Local SettingsTemporary Internet Files 不允許的 |
非 IE 瀏覽器情況下,請將瀏覽器設定為基本使用者許可權,也能很好的達到一定的安全防範效果。
免疫流氓軟體與惡意外掛
可以利用軟體限制策略進一步對上網安全進行優化,例如,為了免疫流氓軟體與惡意外掛,我們可以配置如下限制規則:
| 3721.* 不允許的 CNNIC.* 不允許的 *Bar.* 不允許的 |
禁止從回收站和備份資料夾執行檔案
| ?:Recycler***.* 不允許的 ?:System Volume Information***.* 不允許的 |
防範移動儲存裝置攜毒
將系統中可分配給移動裝置的碟符通通進行限制,例如 G:、H:、I:、J: 等。
使用規則:
|
?:*.* ?:autorun.inf 不允許的 注:使用時請將問號替換為相應的移動裝置碟符 |
根據需要,限制為:受限、不允許、不信任 即可。
其中,不允許 的安全度更高一些,並且不會對移動儲存裝置的正常操作有什麼影響。
根據需要準確限制目錄位置
例如我們需要限制 C: 盤下的程式資料夾下的程式執行,可能會建立如下規則:
C:Program Files*.* 不允許
在這條規則中,使用萬用字元來進行匹配,表面看來,這樣的規則是沒有任何問題的,但在某些特殊情況下,使用萬用字元則可能由於其不確定性引起誤傷。
需要注意的是,萬用字元不僅可以匹配到檔案,也可以匹配到資料夾。
例如,如果在此目錄下,不少使用者都存在這 ****.NET 或 MSXML *.* 這樣的目錄,如此的資料夾名稱,同樣可以和前文中編輯的規則相匹配,因此,在編輯軟體限制策略時,同樣要根據需要準確的限制目錄位置。
例如前文中的示例,只要將其修改為如下形式,就能很好的避免誤傷的情況發生。
|
C:Program Files 不允許的 C:Program Files* 不受限的 |
PS:至此,本系列就完結了,其中參考了部分網路及期刊對於軟體限制策略應用例項的文章,通通感謝の。歡迎各位繼續關注本部落格其他文章!謝謝!
本文轉自melvillo 51CTO部落格,原文連結:http://blog.51cto.com/marui/355091,如需轉載請自行聯絡原作者
相關文章
- win10軟體限制策略怎麼解除_win10如何解除軟體限制策略Win10
- 軟體測試的策略
- 修復windows組策略管理器Windows
- 如何使用任務管理軟體改進協作策略?
- 域控組策略日常分發、安裝、軟體的小結
- 深度解讀.NET5 授權中介軟體執行策略
- Gitflow分支管理策略Git
- 軟體測試的流程及策略方式
- 開發分支管理策略
- 許可權管理策略
- google chrome去除組織策略GoChrome
- 組策略-處理-作用域
- 簡單瞭解組策略
- Office 365組命名策略 - 概述
- 從記憶體管理策略看Rust獨特性 - Khorchanov記憶體Rust
- win10策略組打不開 win10策略組在哪裡詳細教程Win10
- 5章 RxJava背壓策略RxJava
- 空降高管的管理策略
- 影子測試:軟體測試的創新策略
- Storage API簡介和儲存限制與逐出策略API
- Linux 核心101:cache組織策略Linux
- Office 365組命名策略 - 補充
- win10怎麼禁用組策略編輯器_如何關閉win10組策略Win10
- 垃圾收集器與記憶體分配策略_記憶體分配策略記憶體
- 【軟體測試】(三)黑盒測試綜合策略概述
- 軟體設計模式系列之二十三——策略模式設計模式
- 軟體設計模式白話文系列(十四)策略模式設計模式
- win10組策略恢復預設的方法_win10如何把組策略還原Win10
- 2018 win10怎麼開啟組策略_win10系統如何開啟組策略Win10
- win10怎麼開啟組策略_win10開啟組策略的2個方法Win10
- OPA Gatekeeper:Kubernetes的策略和管理
- 使用semanage管理SELinux安全策略Linux
- 【Redis】過期鍵刪除策略和記憶體淘汰策略Redis記憶體
- JVM記憶體-GC策略JVM記憶體GC
- Laravel 第八章學習——中介軟體以及策略Laravel
- 不同瀏覽器下 autoplay 的限制策略和方案的整理瀏覽器
- 設計模式 #5 (策略模式、代理模式)設計模式
- 限制 USB 裝置的讀寫訪問,你可以使用組策略來實現。下面是如何配置這些策略的步驟:PowerShell 中,你可以使用 Set-ExecutionPolicy cmdlet 來配置策略以限制 USB 裝置的可讀寫許可權
- 管理團隊的有效策略與技巧