计算机的组策略设置好了可否代替hips？

jzh100

计算机的组策略设置好了可否代替hips？计算机本地的安全策略设置好了，可否不用毛豆等hips？

jpzy

其实，用Vista以上的windows系统，开启UAC，禁用administrator账户，不用专门设置组策略的。

UAC比较不好的有两点：1，无记忆，触发UAC的程序运行的话每次都会触发。但是无记忆也防止有恶意程序利用已经记忆的程序来获取高权限。2，一旦用户点错，后果就不好说了，不像专门的HIPS，即使点错了，如果底层规则做得足够强壮，也可能可以防护住（注意是可能）。

但是，对于不太折腾的人，UAC已经够了！

XP的话，其实不建议继续使用。建议换win7。实在想用XP，可以考虑建立一个基本用户账户，平时用基本用户权限的账户登录，基本用户权限下，恶意程序能做的事儿不多。

以上的表述未涉及反病毒，反间谍，防火墙等部分。建议任何用户都选择一个反病毒软件，实在不想装，win7及以上的系统可以用系统自带的windows defender，防火墙可以用系统墙。任何一部分防护都不可或缺。

gk123

完全不能，组策略太死板了需要每项添加规则工程浩大而且不具备控制功能只能阻止！

zgy3073

禁用administrator账户对于很多用户来说，根本不可能，有些软件不是管理员根本就没法运行

jpzy

zgy3073 发表于 2014-2-25 22:24
禁用administrator账户对于很多用户来说，根本不可能，有些软件不是管理员根本就没法运行

XP的话，建立一个基本用户权限的账户，然后在需要管理员权限才能运行的程序上点右键，使用管理员账户和密码就可以运行。变相的UAC，只是比UAC麻烦些罢了。

另外，很多软件其实限制权限以后并不影响它的主要功能，除了安软以外，大部分应用软件其实不需要太高的系统权限。

jpzy

gk123 发表于 2014-2-25 18:37
完全不能，组策略太死板了需要每项添加规则工程浩大而且不具备控制功能只能阻止！

组策略细分了很多级别啊。不是只有允许和阻止两个级别的。

羽扇纶巾

做过组策略，辛苦呀。远不如HIPS省事。

gk123

jpzy 发表于 2014-2-26 11:01
组策略细分了很多级别啊。不是只有允许和阻止两个级别的。

我只会阻止的意思是他是被动执行的和hips主动交互区别很大。难道组策略会提示一个操作是允许还是阻止让你选择么？组策略有优先级我知道不过我还真是只会允许和阻止。。因为工程量太大而且软件出问题也很难找到哪条规则导致的吧所以出了阻止一些危险操作以外还真没弄过全局规则生怕出问题。图方便当时就用ssm eq之类的！

jpzy

gk123 发表于 2014-2-26 18:00
我只会阻止的意思是他是被动执行的和hips主动交互区别很大。难道组策略会提示一个操作是允许还是阻止让你 ...

。。。
组策略可以对一个程序赋予权限。比如赋予IE基本用户的权限，那么IE和IE所调用的任何进程都只工作在基本用户权限下。在这样的规则下面，比如你调用迅雷，你会发现迅雷对系统盘没有写入权限。
所以，其实组策略不需要太复杂的规则，只要对一些进程（主要是常用的软件和入口程序）做限制就行了。
当然，组策略还可以配合NTFS权限做一些FD的规则，这相对比较复杂了。

gk123

jpzy 发表于 2014-2-26 18:27
。。。
组策略可以对一个程序赋予权限。比如赋予IE基本用户的权限，那么IE和IE所调用的任何进程都只工 ...

大家测试hips拦截到了多少个动作而又漏掉多少，主要是交互式体现出来，那组策略要用什么方式来检测？组策略会漏掉哪些动作又是在哪一步哪一个规则上漏掉的如何得知？