炒冷饭-多种手段齐下加强防御之系统组策略应用

柯林

对于系统安全来说，利用一切现有资源，进行组合，打造得力的防御体系，是一般计算机用户必备的技能。
从实用主义的角度来说，不管你采用哪种方法，最终防住病毒及恶意软件的肆略，就是可喜可贺之事。
杀软自带可靠防御体系，当然是最好的；对于一般的杀软，利用系统自带的一些功能，进行补充增强，也是可取的。
比如组策略（一般爱用的就是程序禁运大法）：

以64位的win7系统为例，可以把一些常见而又不常用的可执行文件加以禁运，对于防御一般常见的病毒及恶意软件有一定的作用：
禁运常见威胁
*.bat  不允许
*.cmd  不允许
*.com  不允许
*.jse  不允许
*.pif  不允许
*.scr  不允许
*.vbe  不允许
*.vbs  不允许
*.vxd  不允许
format.exe  不允许

放行系统自带的：
C:\Windows\Boot\DVD\PCAT\etfsboot.com  不受限
C:\Windows\Sys*\Bubbles.scr  不受限
C:\Windows\Sys*\gatherNetworkInfo.vbs  不受限
C:\Windows\Sys*\Mystify.scr  不受限
C:\Windows\Sys*\PhotoScreensaver.scr  不受限
C:\Windows\Sys*\Ribbons.scr  不受限
C:\Windows\Sys*\scrnsave.scr 不受限
C:\Windows\Sys*\slmgr.vbs  不受限
C:\Windows\Sys*\ssText3d.scr 不受限
C:\Windows\Sys*\winrm.vbs  不受限
C:\Windows\System32\chcp.com  不受限
C:\Windows\System32\diskcomp.com 不受限
C:\Windows\System32\diskcopy.com 不受限
C:\Windows\System32\mode.com  不受限
C:\Windows\System32\more.com  不受限
C:\Windows\System32\onlinesetup.cmd  不受限
C:\Windows\System32\tree.com  不受限
C:\Windows\System32\winrm.cmd 不受限
C:\Windows\SysWOW64\*\*\prn*.vbs 不受限
C:\Windows\SysWOW64\*\*\pubprn.vbs 不受限
C:\Windows\SysWOW64\chcp.com  不受限
C:\Windows\SysWOW64\diskcomp.com  不受限
C:\Windows\SysWOW64\diskcopy.com  不受限
C:\Windows\SysWOW64\mode.com  不受限
C:\Windows\SysWOW64\more.com  不受限
C:\Windows\SysWOW64\tree.com  不受限
C:\Windows\SysWOW64\winrm.cmd 不受限
C:\Windows\winsxs\*\*.com 不受限
C:\Windows\winsxs\*\*.scr 不受限
C:\Windows\winsxs\*\*.vbs 不受限
C:\Windows\winsxs\*\onlinesetup.cmd 不受限
C:\Windows\winsxs\amd64*\*.cmd  不受限
C:\Windows\winsxs\amd64*\login.cmd 不受限
其它系统自己查下，看看系统自身携带哪些文件需要放行。这样设置，对日常应用一般是没什么影响的，可能有影响的大概是bat格式，个别软件安装卸载可能会使用bat文件，根据需要自己临时调整下。

其它那些软件自带的一些广告程序之类令人讨厌的东东，也可以禁运。
---------------------
U盘防御（禁运U盘程序），根据自己的磁盘情况，把U盘路径（一般是光驱之后的盘符）加以禁运，建议写两到三个（目的是防止你同时插入一个以上的移动磁盘时规则被超越，比如同时插入两块U盘，或者插入U盘+相机内存块或手机内存块）：

如上图所示，个人光驱盘符是H，则U盘盘符就是H之后的I开始，为了把稳，个人做了两个盘符的路径防御，分别是I盘与J盘。提示，如果你只想禁运U盘根目录，写成I:\*.*就行了，写I:\*就是整个I盘禁运了。

--------------------------
网络防御——防远程登录
有些人喜欢在防火墙规则里写禁止TCP3389端口连入的规则来防御远程桌面之类的登录以抵御网络入侵，其实用组策略就可以了：

如上设置，只是禁用了系统自带的远程登入功能，对于软件自带的无效（比如你用QQ的远程帮助，自己安装的远控软件，乃至于中了灰鸽子之类的木马）

网络防御——IE下载控制


-------------------------
像这些简单弄下，系统的防御力会有所提高。这些都是冷饭了，这里重提，需要的参考下。

ps：如果实在“怕死”，可以尝试新建一个User账户，用管理员设定该账户属性为只读账户，据说就无法下载、安装程序和改动文件了，需要的可以试试。

jiang410426

虚拟机不就行了？

柯林

jiang410426 发表于 2016-1-7 13:47
虚拟机不就行了？

虚拟机和沙盘确实是试毒玩毒的好东东

这个只是实机增强防御的一点补充措施

柯林

补充一点继续扯淡的东东
------------------------
防U盘，如果不用磁盘路径禁运，也可以尝试组策略的其它手段：

那么多可限制内容，还真叫是丰富啊！禁止“可移动磁盘的执行权限”，是不是有用呢？

U盘病毒作怪，一般都是自动播放惹的祸，禁止自播不就好啦？

或者更狠一点，干脆不执行autorun.inf指向的狗屁玩意：

只是这么一来，光盘上的自动安装程序，估计也歇菜了

---------------------------
计划任务，流氓或不流氓的软件，动辄就创建一个逗比的玩意，限制下一下有没用呢？

按说明，只有xp、2000、2003系统有戏
---------------------
广告，脚本？禁了活动脚本，会怎么样呢

不知道网页会不会开很多“天窗”？不知道网站还能不能登录，如果不能，也是远离卡饭的一剂良方

-----------------------
病毒，小程序，绝大部分都没有数字签名，禁止没数字签名的程序运行，不就凉了一大片？

禁止安装无数字签名的驱动程序，是不是有这一项呢？记不得了，有兴趣的自己找找。
管理员权限内的更新事务，加强点管理也是好 的：


--------------------------------
数据加密勒索木马，闹得凶，组策略的这些手段，有木有防范作用？玩毒的朋友试下：




玩磁盘或文件加密有风险，一般人最好不要好奇尝试，免得密匙丢失没地方哭去！
-------------------------------
组策略可玩的东东很多，有兴趣的自己折腾吧，一般“小玩怡情，大玩伤身，猛玩吐血！”自己把握吧，同志们

蓝泽祈

你这个有漏洞吧 “放行系统自带的scr vbs"，病毒有可能会替换这些文件

柯林

蓝泽祈 发表于 2016-1-9 14:07
你这个有漏洞吧 “放行系统自带的scr vbs"，病毒有可能会替换这些文件

因为是配合杀软用的，一般情况下，杀软会监控的，如果有HIPS或者VSE那样的文件控制手段，安全性就高了

这类设置，只是在保证“本机干净”的前提下，保证“本机不中毒，系统文件不被替换”的前提下，对于新出现的病毒文件（vbs  bat  scr）之类加以禁运，让它们发挥不了作用——通常这些东西是借助网络下载、邮件附件、U盘附带之类进行传播，组策略禁运是有一定的防御效果的，当然，如果中了毒，系统文件都被替换了，那这些设置也就不起作用了

所以你的提醒和疑虑是对的：任何东西或结论，都必须有个前提条件，没有前提条件，就是胡扯，而一旦前提条件变了，结论或者推论或者设定，也就不成立了。安全总是相对的，其实也就说的是这个事

qftest

禁运的话一个AG就可以搞定
免费的就用ERP 3.1+，简单方便

柯林

qftest 发表于 2016-1-9 14:47
禁运的话一个AG就可以搞定
免费的就用ERP 3.1+，简单方便

用专业软件也是一个很好的选择