AVAST配过组策略就足够安全了

cy6266812

这几天俺就搞了个组策略配AVAST，这用起来也算轻松，配上AVAST的拦截器，应该很安全了。


以下为XP组策略规则.内容:
%ALLAPPDATA%\**\*.* 路径 不允许的 禁止从程序文件夹子目录执行文件
%ALLAPPDATA%\*.* 路径 不允许的 禁止从程序文件夹执行文件
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 路径 不允许的 禁止从启动文件夹执行文件
%ALLUSERSPROFILE%\*.* 路径 不允许的 禁止从所有用户目录执行文件
%APPDATA%\**\*.* 路径 不允许的 禁止从程序文件夹子目录执行文件
%APPDATA%\*.* 路径 不允许的 禁止从程序文件夹执行文件
%CommonProgramFiles%\**\*.* 路径 不允许的 禁止从安装目录子目录执行文件
%CommonProgramFiles%\*.* 路径 不允许的 禁止从安装目录执行文件
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径 不受限的
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 路径 不受限的
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 路径 不受限的
  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 路径 不受限的
%ProgramFiles%\*.* 路径 不允许的 禁止从安装目录执行文件
%ProgramFiles%\Internet Explorer\*.* 路径 不允许的 禁止从IE的安装文件夹执行文件
%SYSTEMROOT%\*.* 路径 不允许的 禁止从WINDOWS文件夹下执行文件
%SYSTEMROOT%\Config\*.* 路径 不允许的 禁止从config目录执行文件
%SYSTEMROOT%\Downloaded Program Files\*.* 路径 不允许的 禁止从IE临时下载文件夹执行文件
%SYSTEMROOT%\Fonts\*.* 路径 不允许的 禁止从字体文件夹执行文件
%SYSTEMROOT%\Offline Web Pages\*.* 路径 不允许的 禁止从脱机目录执行文件

%SYSTEMROOT%\system\*.* 路径 不允许的 禁止从system文件夹执行文件
%SYSTEMROOT%\system32\config\*.* 路径 不允许的 禁止从注册表文件夹执行文件
%SYSTEMROOT%\system32\drivers\*.* 路径 不允许的 禁止从驱动目录执行文件

%SYSTEMROOT%\system32\spool\*.* 路径 不允许的 禁止从打印机目录执行文件
%SYSTEMROOT%\tasks\*.* 路径 不允许的 禁止从计划任务中执行文件
%SYSTEMROOT%\Temp\*.* 路径 不允许的 禁止从临时文件夹执行文件
%SYSTEMROOT%\Web\*.* 路径 不允许的 禁止从WEB目录执行文件
%USERPROFILE%\*.* 路径 不允许的 禁止从当前用户目录执行文件
%USERPROFILE%\「开始」菜单\程序\启动\*.* 路径 不允许的 禁止从启动文件夹执行文件
%USERPROFILE%\Cookies\*.* 路径 不允许的 禁止从Cookies执行文件
%USERPROFILE%\Local Settings\Application Data\*.* 路径 不允许的 禁止从临时程序文件夹执行文件
%USERPROFILE%\Local Settings\History\*.* 路径 不允许的 禁止从历史记录中执行文件
%USERPROFILE%\Local Settings\Temporary Internet Files\*.* 路径 不允许的 禁止从IE缓存中执行文件
?:\*.* 路径 不允许的 U盘病毒防御策略
?:\autorun.inf 路径 不允许的 U盘病毒防御策略
?:\Recycler\**\** 路径 不允许的 禁止从回收站子目录执行文件
?:\Recycler\*.* 路径 不允许的 禁止从回收站执行文件
?:\System Volume Information\**\** 路径 不允许的 禁止从备份文件夹子目录执行文件
?:\System Volume Information\*.* 路径 不允许的 禁止从备份文件夹执行文件
C:\Program Files\Internet Explorer\iexplore.exe 路径 不受限的 保护正常IE程序运行
C:\WINDOWS\amcap.exe 路径 不受限的 允许运行摄像头程序
C:\WINDOWS\Explorer.exe 路径 不受限的 保护正常的Explorer.exe进程运行
C:\WINDOWS\notepad.exe 路径 不受限的 保护正常的记事本程序
C:\WINDOWS\regedit.exe 路径 不受限的 允许运行注册表编辑器
C:\WINDOWS\RTHDCPL.EXE 路径 不受限的 允许运行声卡管理程序
C:\WINDOWS\RTLCPL.EXE 路径 不受限的 允许运行声卡管理程序
C:\WINDOWS\system32\csrss.exe 路径 不受限的 保护系统正常进程
C:\WINDOWS\system32\ctfmon.exe 路径 不受限的 保护正常的输入法进程
C:\WINDOWS\system32\logonui.exe 路径 不受限的 保护系统正常的注销关机
C:\WINDOWS\system32\lsass.exe 路径 不受限的 保护系统正常进程
C:\WINDOWS\system32\msconfig.exe 路径 不受限的 保护系统启动项配置程序
C:\WINDOWS\system32\notepad.exe 路径 不受限的 保护正常的记事本程序
C:\WINDOWS\system32\regsvr32.exe 路径 不受限的 保护系统组件注册程序
C:\WINDOWS\system32\rundll32.exe 路径 不受限的 允许正常rundll32.exe进程
C:\Documents and Settings\Administrator\Application Data\ppStream\update.exe 路径 不受限的。 PPS网络电视正常升级
C:\WINDOWS\system32\services.exe 路径 不受限的 保护系统正常进程
C:\WINDOWS\system32\smss.exe 路径 不受限的 保护系统正常进程
C:\WINDOWS\system32\spoolsv.exe 路径 不受限的 保护正常的打印机进程
C:\WINDOWS\system32\svchost.exe 路径 不受限的 允许正常svchost.exe进程
C:\WINDOWS\system32\taskmgr.exe 路径 不受限的 保护任务管理器进程
C:\WINDOWS\system32\winlogon.exe 路径 不受限的 允许正常winlogon.exe进程
C:\WINDOWS\system32\wuauclt.exe 路径 不受限的 保护系统自动更新进程
C:\WINDOWS\winhelp.exe 路径 不受限的 允许运行hlp格式的帮助文件
C:\WINDOWS\winhlp32.exe 路径 不受限的 允许运行hlp格式的帮助文件
c?nime.* 路径 不允许的 禁止conime及其仿冒进程加载
csrss.* 路径 不允许的 禁止csrss仿冒进程加载
ctfm?n.* 路径 不允许的 禁止任务栏输入法图标仿冒进程加载
exp??re*.* 路径 不允许的 禁止explorer仿冒进程加载
iexp??r*.* 路径 不允许的 禁止IE仿冒进程加载
inexp??r*.* 路径 不允许的 禁止IE仿冒进程加载
inte?n?t.* 路径 不允许的 禁止托盘区输入法图标及其仿冒进程加载
lass.* 路径 不允许的 禁止lsass仿冒进程加载
logo*.* 路径 不允许的 禁止系统仿冒进程加载
lssas.* 路径 不允许的 禁止lsass仿冒进程加载
msc?nfig.* 路径 不允许的 禁止系统启动项配置程序仿冒进程加载
n?tepad.* 路径 不允许的 禁止记事本仿冒进程加载
regsv*.* 路径 不允许的 禁止组件注册程序仿冒进程加载
rund*.* 路径 不允许的 禁止rundll32仿冒进程加载
s??h?st.* 路径 不允许的 禁止svchost仿冒进程加载
s?vch?st.* 路径 不允许的 禁止svchost仿冒进程加载
scrss.* 路径 不允许的 禁止csrss仿冒进程加载
sp???sv.* 路径 不允许的 禁止打印机服务仿冒进程加载
taskm*.* 路径 不允许的 禁止任务管理器仿冒进程加载
te?net.* 路径 不允许的 禁止执行远程登录
tftp.* 路径 不允许的 禁止执行远程登录
win??g?n.* 路径 不允许的 禁止winlogon仿冒进程加载
wuauc?t.* 路径 不允许的 禁止系统自动更新仿冒进程加载
                     以上参考<雨林木风论坛>
注用此策略不能在各盘根下直接远行程序,需放在文件夹下
写完策略后,启用策略的方法,运行栏中输入gpupdate /force
/线前是空格.


如果规则出现不良反应，可以用原文件替换回去
在写规则前请先备份C:\WINDOWS\system32\GroupPolicy\Machine
“Registry.pol”  这个文件





如果不知道如何打开组策略，请参考：http://bbs.kafan.cn/viewthread.php?tid=152718&;extra=page%3D3





也可以直接下附件双击：因附件是雨林木风出的原版，，附件中多了禁止QQ升级这条，大家可以删掉。

[ 本帖最后由 cy6266812 于 2007-11-21 16:46 编辑 ]

GoAhead

有时间试试，谢谢分享

verykele

谢谢了，试用一下

leafyoung

我也来试一试，谢谢楼主。

jjmyapple

试试看

谢谢楼主

cy6266812

对这个策略的说明：
这个设置不影响安装软件.不影响大多程序运用,<目前为止我还没有遇到有软件因为它不能运用.>对CAD有点问题，只是启动CAD时会出现一个警告显示，但不影响使用。

如果有不能运用的软件.可以用绝对路径排除,在策略里绝对路径规则优先通配符规则



PS:此策略主要是防止网页病毒.优盘病毒.和仿系统进程病毒,以及藏匿在回收站,和系统自带还原下的病毒

siman.yu

好主意！ 值得推广！

笛儿多

不是太懂，也怕副作用，看看吧

GBUser

配个ThreatFire多好，反正资源占用也不大
防止进程仿冒是很无聊的做法

cy6266812

回楼上
这个策略为了方便使用设置不是很严厉，如果想更加安全可以自己增加规则

组策略优势
优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用什么内存，属于系统最底层保护，保护能力远不是HIPS可以比拟的，不存在启动或关机时被病毒入侵。

[ 本帖最后由 cy6266812 于 2007-11-26 16:11 编辑 ]