windows安全策略--系统自带的“软件”防火墙

windows安全策略--系统自带的“软件”防火墙

ID:18552793

大小:273.00 KB

页数:6页

时间:2018-09-18

windows安全策略--系统自带的“软件”防火墙_第1页
windows安全策略--系统自带的“软件”防火墙_第2页
windows安全策略--系统自带的“软件”防火墙_第3页
windows安全策略--系统自带的“软件”防火墙_第4页
windows安全策略--系统自带的“软件”防火墙_第5页
资源描述:

《windows安全策略--系统自带的“软件”防火墙》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Windows安全策略--系统自带的“软件”防火墙2007-09-0913:52:02 9448 次阅读 0 条评论感谢fonlan的原创投递在互联网越来越普及的今天,互联网安全问题日益严重,木马病毒横行网络。大多数人会选择安装杀毒软件和防火墙,不过杀毒软件对病毒反应的滞后性使得他心有余而力不足,只有在病毒已经造成破坏后才能被发现并查杀。在这种情况下,HIPS(主动防御系统)软件越来越流行,依靠设定各种各样的规则来限制病毒木马的运行和传播,由于HIPS是基于行为分析的,这使得它对未知病毒依然有效,不过软件兼容性问题也

2、比普通的杀毒软件要严峻的多。网络上有一种人,他们不装任何杀毒软件和防火墙,自由奔走在互联网上,称之为“裸奔”族。不过他们也分许多不同的种类,有的是电脑不设任何防护,也不放任何重要资料,一旦中毒就重装系统;而另一种则是依托Windows系统本身的安全机制来抵御病毒的入侵,显然这种方法要可靠的多。  其实大多数人都忽略了Windows系统本身的功能,认为Windows弱不禁风。其实只要设置好,Windows就是非常强大的安全防护软件。这篇文章的主角就是WindowsXPPro里自带的安全策略功能。打开安全策略很简单,直接

3、双击控制面板管理工具里的本地安全策略即可,这里我们重点讲其中的软件限制策略。  正如其名,这里可以限制软件的运行,至于如何限制,那就要看你的策略怎么定了。如果以前未设置过安全策略,那么在软件限制策略上右键新建策略后会出现下级菜单:其他地方我们都不用管,其它规则才是由我们发挥的地方,这里规则制定的好坏直接关系到你的电脑的安全程度。点击其他策略,我们可以看到微软已经帮我们预设了4条规则(如下图)这4条规则是用来保证Windows运行所必须的程序不会被禁用而设的,如果你确定你的规则没有问题,这四条规则删掉也没有问题。接下去

4、在其他规则上右键,在弹出的右键菜单里,我们主要用到的是“新路径规则”,偶尔也可以用“新散列规则”,具体有何区别将在下面分别讲述。现在我们点击“新路径规则”,出现如下窗口:我们主要在路径那一栏里做文章。这里允许使用通配符,常见的有“*”和“?”,*表示任意个字符,?表示一个字符。也允许使用环境变量,常见的文件夹环境变量有:(以下以XP默认装在C盘例举)%ALLUSERSPROFILE%表示C:DocumentsandSettingsAllUsers%APPDATA%表示C:DocumentsandSettings

5、当前用户名ApplicationData%SYSTEMDRIVE%表示C:%SYSTEMROOT%和%WINDIR%表示C:WINDOWS%TEMP%和%TMP%表示C:DocumentsandSettings当前用户名LocalSettingsTemp%USERPROFILE%表示C:DocumentsandSettings当前用户名%ProgramFiles%表示C:ProgramFiles  在定义规则的时候我们可以使用绝对路径,也可以用通配符或者环境变量,甚至可以直接使用要禁止运行的程序的

6、程序名。而这里就涉及到一个优先级的问题了。按微软的规定:绝对路径>使用通配符的路径>文件名。  下面我通过实例来讲规则的建立:  实例1:进程仿冒是木马病毒用的最多的一个手段,比如病毒文件名为svchost.exe,而这个病毒文件在windows文件夹下或其他任意文件夹下(真正的svchost.exe文件在system32文件夹下),病毒运行时XP默认的任务管理器里只会显示进程名为svchost.exe,而XP本来就有很多个svchost.exe进程,这就很好地达到了欺骗用户的目的。普通杀毒软件还是得依托单一的病毒库

7、,一旦换了个新病毒用同样的手法他就不认了,安全性很差。而用本地安全策略可以很简单的永久免疫这种方式的病毒,我们建立两条规则:svchost.exe 不允许的%windir%system32svchost.exe 不受限的由于优先级的关系,第二条使用绝对路径的规则优先级高于第一条基于文件名的路径,也就是说system32文件夹下的svchost.exe是允许运行的,而其他任意文件夹的名字为svchost.exe的程序都无法运行。由于svchost.exe是系统文件,病毒不可能替换它。可以看到,这两条规则完美地解决了

8、这个问题,以后只要是使用相同手法的病毒或木马都无法运行,达到了防毒的效果。  实例2:很多病毒木马为逃过用户的追杀都会藏在很隐蔽的地方,比如回收站、SystemVolumeInformation(系统还原文件夹)、C:WINDOWSsystem32Drivers文件夹、C:WINDOWSsystem文件夹等等,并且加上隐藏属性使用户不

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。