MSE的HIPS功能在哪里？

显示全部楼层 · 发表于 2013-4-17 23:13:38

本帖最后由 ELOHIM 于 2013-4-18 21:40 编辑

MSE并不弱，因为他依托在自家系统上，可以完美集成，无缝运行，并可以完美的借助于系统安全选项，而不用像其他第三方杀软那样增加自己的HIPS功能以体现自身的功能强大而导致一个臃肿的体积。

那，MSE的HIPS功能在哪里呢？
win + r ,
enter "secpol.msc".

就是这么简单。

高级网络防火墙，
IP安全策略，
软件限制策略，
应用程序控制策略，
系统审核策略，等。。

现在有筒靴可能会问，第三方杀软也可以使用这些功能啊？
问题在于，第三方杀软的HIPS在开启系统本地安全策略后是否继续有效？第三方杀软是否认可本地安全策略？是否会解锁相应安全措施（比如某些卫士就会解锁组策略中关于IE主页不可更改的选项）。

好了，现在你要做的就是设置好这些选项，然后继续享受MSE的独特之美。

#####################################################################

WEI.ER 发表于 2013-4-18 00:56
AppLocker不是一般人能玩的东西，而且日志需要自己分析，开关都要重启，只能说AppLocker只适合小部分人群、 ...

时间关系只补充applocker 一些简单规则。其他大家自行搜索一下！~~

三项全部默认规则，这是第一，必须开启application identity服务并设置为自动。所有选项设置完毕需要重启生效，或者执行gpupdate /force 。

【可执行规则里面】第二，排除自定义安装程序文件夹。

然后，不允许%windir%文件夹下所有可执行文件执行。重点在这：只允许微软，和例外驱动（你也可以选择运行adobe 家的程序，否则在线视频无法观看~）。就OK了。

PS：你甚至可以使用applocker 来管理不允许哪个用户来允许哪个文件（夹），甚至可以设置UAC直接否定没有签名的程序运行。

至此，我们心里都有数了，现在能在我计算机上跑起来的程序文件夹所在地为：
x:\program files\*
%windir% >microsoft.sighed +drivers.sighed
而其他任何位置的可执行文件则无法运行，除非右键以管理员模式人工授权。

下图：桌面微软签名程序无法运行。

并不复杂。但是非常有用。相比三方HIPS，更有那种操纵赶脚。
非常可惜的是：小于windows 7 的系统都没有那个applocker 功能。

显示全部楼层 · 发表于 2013-4-17 23:55:30

这个隐藏的太深了。定制性虽然强大，但是操作较为繁琐，适合计算机操作熟练的人。

显示全部楼层 · 发表于 2013-4-17 23:58:47

本帖最后由 ELOHIM 于 2013-4-18 00:01 编辑

ccsfuture 发表于 2013-4-17 23:55
这个隐藏的太深了。定制性虽然强大，但是操作较为繁琐，适合计算机操作熟练的人。

可是，是一个一劳永逸的活~

设置好，测试好，排除好就都OK。

都是一些经验放进去的。

差点忘了，这个可以导出的。

显示全部楼层 · 发表于 2013-4-18 00:28:57

ELOHIM 发表于 2013-4-17 23:58
可是，是一个一劳永逸的活~

设置好，测试好，排除好就都OK。

看起来很NB的样子，我是小白看不懂！

显示全部楼层 · 发表于 2013-4-18 00:56:47

支持了！！

显示全部楼层 · 发表于 2013-4-18 00:56:47

AppLocker不是一般人能玩的东西，而且日志需要自己分析，开关都要重启，只能说AppLocker只适合小部分人群、企业统一部署或者域管理的人群使用，自带的Firewall就不一样了，自定义，随意开关，很方便。

显示全部楼层 · 发表于 2013-4-18 01:09:12

本帖最后由 ELOHIM 于 2013-4-18 01:13 编辑

WEI.ER 发表于 2013-4-18 00:56
AppLocker不是一般人能玩的东西，而且日志需要自己分析，开关都要重启，只能说AppLocker只适合小部分人群、 ...

三项全部默认规则，这是第一。

第二，排除自定义安装程序文件夹。

然后，不允许%windir%文件夹下所有可执行文件执行。重点在这：只允许微软，和例外驱动（你也可以选择运行adobe 家的程序，否则在线视频无法观看~）。就OK了。

PS：你甚至可以使用applocker 来管理不允许哪个用户来允许哪个文件（夹），甚至可以设置UAC直接否定没有签名的程序运行。

至此，我们心里都有数了，现在能在我计算机上跑起来的程序文件夹所在地为：
x:\program files\*
%windir% >microsoft.sighed +drivers.sighed
而其他任何位置的可执行文件则无法运行，除非右键以管理员模式人工授权。
下图：桌面微软签名程序无法运行。

并不复杂。先睡觉了。。

显示全部楼层 · 发表于 2013-4-18 14:13:29

本帖最后由 ELOHIM 于 2013-4-18 14:25 编辑

仅仅是强词夺理，完全非真HIPS也，何必吹嘘

@驭龙你来参与讨论，不要在那里放下一句就走。

或许你就是放不下。

本地安全策略至于4D，那个做不到呢？@驭龙

AD(Application Defend）---------应用程序防御体系
RD(Registry Defend）------------注册表防御体系
FD(File Defend）-------------------文件防御体系
ND(Network Defend）------------网络防御体系

显示全部楼层 · 发表于 2013-4-18 16:35:18

好东西啊，强悍。学习先

[一般话题] MSE的HIPS功能在哪里？

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分