默认规则++（二合一）

显示全部楼层 · 发表于 2012-6-20 22:23:46

会飞的猫发表于 2012-6-20 22:09
最近你在comodo区很活跃啊，把我从md区招过来了……这个帖子不知不觉盖了5层+了

这两天空闲，灌点水，过两天忙了，可能就没时间来灌水了

MD很细致啊，话说一般都是嫌毛豆粗糙转MD，你导相反，图毛豆多个墙？

显示全部楼层 · 发表于 2012-6-20 22:26:25

会飞的猫发表于 2012-6-20 22:07
组策略什么的不会还是老老实实的红伞F+comodo吧

受限账户不是组策略，你在用户组里新建一个账户，设为受限就行了，平常用它登录，需要安装软件或更改系统设置及毛豆设置，才用系统管理员登录

显示全部楼层 · 发表于 2012-6-20 23:52:20

柯林发表于 2012-6-20 22:26
受限账户不是组策略，你在用户组里新建一个账户，设为受限就行了，平常用它登录，需要安装软件或更改系统 ...

受限有什么好处么？

显示全部楼层 · 发表于 2012-6-20 23:52:52

柯林发表于 2012-6-20 22:23
这两天空闲，灌点水，过两天忙了，可能就没时间来灌水了

MD很细致啊，话说一般都是嫌毛豆粗糙转MD，你 ...

不想折腾了，毛豆的智能不错

显示全部楼层 · 发表于 2012-6-21 01:44:51

本帖最后由柯林于 2012-6-21 01:47 编辑

会飞的猫发表于 2012-6-20 23:52
受限有什么好处么？

在AD上，不可以加驱，不可以访问物理内存，不可以访问底层磁盘，不可以更改服务及系统的重要设置，很多权限都被限制了。

在FD上，不可以改写Administrators创建的文件，通常包括windows目录和C:\Program Files目录里以Administrator身份安装的程序及其它磁盘分区上Administrator所创建的文件，只拥有对Administrator所创建的文件的读取和执行权【如果配合NTFS权限进一步设置，则连读取和执行的权利都可以被取消】

在RD上，不可以触碰系统方面的相关注册表HKEY_LOACAL_MACHINE*，只可以动用户设置的注册表HKEY_CURRENT_USER*

一言以蔽之，切换到受限账户下，就相当于自动做了一套全盘降权的3D规则且无例外，比起某些有漏洞的规则要安全得多，方便得多，可靠得多（CLT测试在受限账户下，啥都不要，就是280～300分）【当然，安全与可靠程度与你的补丁打齐程度成正比】

在受限账户下，可以安装一部分软件，很多需要提权且写入到系统设置里的程序是无法安装的（包括需要加载驱动或安装成服务的程序以及创建文件到windows目录里的程序）。一些程序需要写入一些文件到windows目录里的，比如pps需要写ini文件进windows目录，必须先在Administrator下运行，让它写入，切到受限账户下，才会承认已有事实，否则是无法写入windows目录，程序就不能正常运行了。

显示全部楼层 · 发表于 2012-6-21 01:55:07

柯林发表于 2012-6-21 01:44
在AD上，不可以加驱，不可以访问物理内存，不可以访问底层磁盘，不可以更改服务及系统的重要设置，很多 ...

我的受限用户是280分

显示全部楼层 · 发表于 2012-6-21 02:01:29

柯林发表于 2012-6-21 01:44
在AD上，不可以加驱，不可以访问物理内存，不可以访问底层磁盘，不可以更改服务及系统的重要设置，很多 ...

是不是想要有一个受限账户就要有一个超级用户一个管理员用户

显示全部楼层 · 发表于 2012-6-21 02:02:05

柯林发表于 2012-6-21 01:44
在AD上，不可以加驱，不可以访问物理内存，不可以访问底层磁盘，不可以更改服务及系统的重要设置，很多 ...

红伞F+comodo+受限用户如何？

显示全部楼层 · 发表于 2012-6-21 11:53:56

会飞的猫发表于 2012-6-21 02:02
红伞F+comodo+受限用户如何？

受限账户下，随便装个杀软就是安全到家了，不放心再加个卫士，想中毒很难，就算网马网毒控制了浏览器之类的常用程序，它想做坏事都做不起。所以说，最好而又最简单且又最严密的“HIPS规则”就是系统自身的受限账户！

一般来说，杀软+HIPS的组合，通常是适合图方便的直接以系统管理员身份运行系统的用家。玩受限账户，简单就ok，譬如杀软+系统墙，譬如EQ+系统墙之类，足够安全了，你要会玩一点组策略就更完美——譬如不玩远程桌面登录的，组策略的用户权利指派里，添上禁止Everyone从网络访问本机；软件禁运策略禁运IE缓存路径、后台智能上传程序、远程帮助和远程桌面程序、禁运U盘路径等……简单设置下，计算机的防黑防毒能力就提高了好大一个档次，都没必要去用HIPS之类的专业而又复杂的软件了。

当然，受限账户也不是完美的，譬如它防不了钩子，防不了截屏，防不了同是User用户创建的进程相互之间的内存访问——其实这些根本不是问题，习惯好点，机子干净点，根本就不需要操心病毒木马进来后的防御问题。

显示全部楼层 · 发表于 2012-6-21 11:59:28

会飞的猫发表于 2012-6-21 02:01
是不是想要有一个受限账户就要有一个超级用户一个管理员用户

一般XP系统装好后，如果是原版，那么就有了两个系统管理员账户：一个内置账户，一个你正在登录使用的账户，此时你再创建一个受限账户使用就可以了。

如果是GHOST系统，装好后，默认只有一个内置的Administrator，可能你需要另外创建一个系统管理员账户后才能创建受限账户。

超级用户，好像是win98、winme、win2000常用的，xp好像很少使用。

[规则] 默认规则++（二合一）