系统安全配置的方案[有点大杂烩，请指教]

SmallFlag

[以下为广告链接]
不好意思无意义顶问题贴，故写一份新贴顺便链接过去……
高手们有空帮偶去看看偶的问题贴…感谢…感谢…
http://bbs.kafan.cn/thread-360035-1-1.html

[以下为本贴正文]

第一步，用注册表编辑器添加隐藏的三个权限级别(基本/受限/不信任)，将"Cmd /c RunAs"类命令：以不受限/基本用户/受限用户模式运行 添加到资源管理器右键菜单

第二步，组策略设置：
[非软件限制策略的设置]
阻止所有程序运行，配置例外列表（仅添加必要的系统程序和自启动项，cmd.exe记得一定要放例外，这是唯一可以绕过阻止的办法…不然到时候设置都改不回来了）
替换Shell为"Cmd /c RunAs /TrustLevel:0x20000 Explorer.exe"（用于将管理员帐号下的Explorer降权至基本用户，这样默认从shell启动的程序都是基本用户权限）
锁定对应设置在注册表中键支的写删权限[这样一来组策略的设置相当于一个开关，不用反复编写例外列表，需要的时候切换一下就可以了]
第三步，锁定注册表MountPoint2权限，
禁用Shell Hardware Detection服务，
禁用WindowsDefender，
打开UAC，安装COMODO Firewall&D+
配置CFP较严格规则
如果考虑阻止他人动电脑的问题，还可以把组策略和注册表都禁用掉[当然…记得留后门…]
思路如下：
第一道防线，阻止除例外程序的所有程序运行，有意识地给小部份被认为是安全的软件放行[组策略不阻止从cmd来启动的程序，所以用刚才配置右键菜单来启动即可]。
第二道防线，通过RunAs给执行软件适当的权限，如果问题程序被无意运行了，由UAC来拦截具有威胁的请求。
第三道防线，如果权限设置不合理，UAC没拦截住，以及从网络上来的攻击，那么由CFP拦截威胁请求。
第四道防线，如果万一仍然不幸中招，由高查杀率的杀毒软件来善后…
第五道防线，系统全盘恢复…


P.S.本来是想装个小红伞监控的…进程太多，写白名单太累了，干脆不装了…第四防线放弃……
还有个设想是安装沙盘搭配D+最高模式来检查某个软件的行为[当然最极端就是ODbg+IDA32反汇编下该程序……寒……]，由于太过复杂，而且操作性不强，放弃…

[ 本帖最后由 SmallFlag 于 2008-11-6 15:41 编辑 ]

Magis

组策略没仔细研究过，lz太强大了，其实个人觉得d+已经足够了，group policy 的确和系统结合得够好，但是调试起来不太方便。