MSE的好搭档，Applocker + Windows Firewall打造安全系统

显示全部楼层 · 发表于 2015-4-16 04:24:48

本帖最后由 Love=卡巴+费尔于 2015-4-16 20:37 编辑

首先确认你的Windows支持Applocker，包含Windows7、Windows8、Windows8.1的各个旗舰版和企业版。

Application Identity 服务是否启动，并设置启动类型为自动。

打开组策略（运行 -- gpedit.msc），选择 -- 计算机配置 -- Windows设置 -- 安全设置 -- 应用程序控制策略 -- Applocker，就可以开始根据需要编写自己的规则了。

首先右键选择所要创建的分类，比如右键选择 "可执行规则" 创建默认规则

删除 Program Files 和 Windows 文件夹中的应用程序两条规则（因为我们要自定义）

首先右键选择所要创建的分类，比如右键选择 "可执行规则" 创建默认规则，删除 Program Files 和 Windows 文件夹中的应用程序两条规则（因为我们要自定义），现在我们可以自定义我们的“可执行规则”了，右键选择 ”创建新规则“ 点击 ”下一步“

这里我们选择 “拒绝" (拒绝规则优先率最大） ,用户和组默认”Everyone“,点击 ”下一步“

选择你希望创建的主要条件的类型，（这个规则是全局禁运加例外排除所以这里选择路径）选择 ”路径“ ，点击下一步

这里在路径中敲入 * 号（代表全部路径），点击 ”下一步“

这时候就到了例外排除了，因为我们这个规则是全局禁运的，所以我们首先要排除系统文件，”添加例外“选择 ”发布者“ 点击 ”添加“

点击 ”浏览“

可以选择任意一个Windows系统可执行文件，比如 C:\Program Files\Internet Explorer\iexplore.exe 。

将左边的滑块移至 ”发布者“ ，点击 “确定”

这时我们看见排除规则了，所有Microsoft公司发布的可执行文件，还可以继续添加其它所需要的文件

示例
如迅雷在我的D:\Program Files\Thunder文件夹，我新建一条路径规则，允许D:\Program Files\*目录下所有可执行文件运行

“例外” 选择D:\Program Files\Thunder\Program\XLServicePlatform.exe，就是禁止运行XLServicePlatform.exe文件

这样迅雷无法再偷偷安装我们根本不需要的服务了。

打磨好规则，其实Windows还是很安全的

Windows防火墙的设置
首先确认你所使用的网络，查看网络和共享中心，比如我的Tenda_18F490是专用网络，那就编写专用配置文件

点击控制面板 -- 系统和安全 -- Windows防火墙 -- 还原默认值（新系统可省略这步）

再点击“高级设置”、右键 “本地计算机上的高级安全Windows防火墙”导出策略

打开组策略（运行 -- gpedit.msc），选择 -- 计算机配置 -- Windows设置 -- 安全设置 -- 高级安全Windows防火墙

右键“高级安全Windows防火墙 - 本地组策略对象”导入刚才的默认策略

右键选择 ”高级安全Windows防火墙 - 本地组策略对象“ - ”属性“，我使用的专用网络，所以选择 ”专用配置文件“

防火墙状态 - ”启用“ 、入站连接”阻止“ 、出站连接 ”阻止“、设置选项选择自定义。

显示通知 -- 是、允许单播响应 -- 是、应用本地防火墙规则 -- 否（可防止软件自动添加防火墙例外），点击确定。

由于入站连接会有弹窗提示，所以直接编写出站规则即可，首先建立 svchost.exe 出站规则（系统文件的网络服务需要它，Windows更新，WD等无需再写规则）右键选择 ”出站规则” -- “新建规则” -- “程序”点击下一步

“此程序路径” %SystemRoot%\System32\svchost.exe 、点击下一步

选择“允许连接”点击“下一步”

何时应用该规则，我的网络是专用网络，所以选择 “专用”

名称完全感觉个人要求自定义，点击“下一步”

弹窗点 “是”

规则完成，其它程序可参照建立规则，未允许的程序将无法使用网络。

无需第三方安全类软件，节能又环保

写的不足和错误之处，希望各位不吝赐教

显示全部楼层 · 发表于 2015-4-16 07:49:25

终于抢到沙发了，前来学习

显示全部楼层 · 发表于 2015-4-16 09:55:57

感觉好高端的样子

显示全部楼层 · 发表于 2015-4-16 10:33:04

适合折腾党，像我这样的懒人就适合用kis

显示全部楼层 · 发表于 2015-4-16 10:46:51

我还是用防火墙软件吧……

显示全部楼层 · 发表于 2015-4-16 12:40:15

测试下样本看看

显示全部楼层 · 发表于 2015-4-16 13:46:59

好好学习一下，

显示全部楼层 · 发表于 2015-4-16 14:37:19

楼主，为什么我创建了ie的联网后ie还是无法联网了“{%ProgramFiles%\Internet Explorer\iexplore.exe”

显示全部楼层 · 发表于 2015-4-16 20:39:49

黑沙子发表于 2015-4-16 14:37
楼主，为什么我创建了ie的联网后ie还是无法联网了“{%ProgramFiles%\Internet Explorer\iexplore.exe”

防火墙设置部分，忘写组策略导入默认规则了，Sorry，已补齐

显示全部楼层 · 发表于 2015-4-16 20:47:50

本帖最后由 Love=卡巴+费尔于 2015-4-16 20:49 编辑

YSJ 发表于 2015-4-16 12:40
测试下样本看看

这个不适合测试，因为我是排除规则，没有经过排除的样本根本无法运行

，所以规则打磨好，Windows还是很安全的！

[教程] MSE的好搭档，Applocker + Windows Firewall打造安全系统