返回
自己动手构建HIPS安全墙.doc

自己动手构建HIPS安全墙.doc

ID:57581400

大小:425.50 KB

页数:5页

时间:2020-08-27

自己动手构建HIPS安全墙.doc_第1页
自己动手构建HIPS安全墙.doc_第2页
自己动手构建HIPS安全墙.doc_第3页
自己动手构建HIPS安全墙.doc_第4页
自己动手构建HIPS安全墙.doc_第5页
资源描述:

《自己动手构建HIPS安全墙.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、自己动手构建HIPS安全墙引言:网络的普及令计算机的安全形势很严峻,如何更好地保护自己的系统?本文介绍使用Windows7自带的组策略构建“主动防御”的软件安全墙。HIPS是Host-basedIntrusionPreventionSystem的简称,即基于主机的入侵防御系统。和常规杀毒软件相比,HIPS是一款主动防御系统。它以进程为核心,通过编辑特定的规则,对进程行为,如运行、访问网络、访问注册表、访问文件等进行监控,发现异常即给以阻止,可以更有效保护系统安全。适合Windows7使用的HIPS类软件较少。其实,

2、根据HIPS原理,运用系统组策略,我们自己也可以打造一个HIPS安全系统。实战1:阻止恶意程序在系统目录下运行现在很多恶意软件都是隐藏在C:Windows和C:Windowssystem32下,这样一方面可以实现快捷启动(系统目录内程序可以通过命令行直接运行),另一方面则可以达到鱼目混珠的目的,比如将文件名称伪装为系统程序,避免被用户发现。现在通过制定特殊规则即可有效阻止恶意程序的运行。1.阻止木马在C:Windows目录下运行。第1步:分析目录状况。打开C:windows,点击“查看→排序→按类型”,可

3、以看到该目录下可执行程序并不多,我们常用的程序则只有explorer.exe(资源管理器)、regedit.exe(注册表编辑器)和notepad.exe三个,因此要阻止其他恶意程序在该目录下运行,我们只要制定一个禁止从C:windows下运行任何程序(除上述三个之外)规则即可。第2步:创建限制策略。在开始搜索框输入gpedit.msc,按回车键启动组策略后依次展开“计算机配置/Windows设置/安全设置/软件限制策略”,然后单击菜单栏的“操作→创建软件限制策略”,新建一个策略。接着在“其他规则”上右击选择“新

4、建路径规则”,在弹出的窗口路径框输入“%SYSTEMROOT%*.exe”(即禁止该目录下运行任何应用程序),安全级别选择“不允许”(图1)。第3步:继续新建规则,在弹出的窗口路径框输入“%SYSTEMROOT%regedit.exe”,安全级别选择“不受限”,即允许运行注册表编辑程序。方法同上,依次添加自己允许运行程序的名称。通过上述设置后,以后如果有病毒程序藏身在C:windows目录下试图运行,就会遭到软件限制策略的拦截而无法运行(自己设置不受限的程序不受影响),有效保护系统目录不再成为病毒、木马的藏身

5、之处(图2)。2.阻止木马在C:Windowssystem32下运行,同时对系统关键进程进行保护。除了上述目录外,C:Windowssystem32也是病毒木马喜爱的藏身之处。我们同样可以使用建立规则的方法阻止木马运行,并且可以对系统关键进程进行保护。比如很多木马是通过伪装成系统进程的名称藏身于此,伪装途径主要有两种:一是直接使用系统进程的名称如csrss.exe,但是藏身在system32下的其他子目录(因为同一个文件下不允许有同名文件)。二是使用类似win1ogon.exe(不是winlogon.exe

6、,木马将i替换为阿拉伯数字1))名称藏身于system32。对于这些木马,我们可以首先建立一条允许规则,允许运行系统必须的正常进程如csrss.exe、ctfmon.exe(具体进程可以打开任务管理器,切换到“显示所有用户进程”后查看)。接着再使用通配符建立不允许运行的进程,如限制csrss.*(.*表示任意后缀名,这样就涵盖了bat、com等等可执行的后缀)、lass.*等不允许运行,具体设置可以参考正常进程列表程序。这样那些伪装成系统进程的木马就不会运行了。3.拒绝所有非微软进程在系统目录下的运行。上述方法虽然

7、简单,但是由于规则的限制,我们不可能将所有木马都拦截。因为木马的名称千变万化,仅靠简单的规则总是会有些新型或者变种木马漏网。对于系统安全有较高要求的用户,还可以利用应用程序控制策略创建规则,阻止所有非微软进程的启动。第1步:右击桌面“计算机”,依次选择“管理→服务”,找到“ApplicationIdentity”服务并设为自动启动。接着同上启动组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker→可执行规则”,右击“可执行规则”选择“创建默认规则”。第2步:创建默认

8、规则后,继续右击“可执行规则”选择“创建新规则”,在打开的创建向导选择默认“Everyone”账户执行权限为“拒绝”,然后在“条件”选项选择“路径”,选择系统目录“C:Windows”作为限制规则目录(图3)。第3步:继续单击“下一步”,添加例外下选择“发布者”,然后单击“浏览”选择任意一个系统自带程序如“C:ProgramFilesDVDMaker

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。