【www.gbppp.com--传统节日】
存在安全风险进程Top榜
存在安全风险进程Top榜
系统进程列表
应用程序进程列表
简单辅助杀软 增强防毒效果组策略
这里沿用系统自带,不添加基本用户权限,简单设置一下,以满足传统杀软+防火墙使用者的增强防毒效果的使用要求。该方案是xp上的,以XP为例。
一、软件限制策略
这个是主要部分,所谓的AD部分,需要注意一下路径问题:
1、支持系统环境变量,但不是全支持,有效没效,最好自己检验下
2、组策略使用通配符时,不支持无限穿越,也就是说
**\*.EXE = *\*.EXE = ?:\*.EXE 仅代表磁盘根目录下的exe文件
**\**\* = *\*\* =?:\*\* 任何磁盘根目录下的下一层目录 比如 D:\音乐\新建文件夹
3、表示计算机内任意位置的某文件时,有两种写法
a、带通配符 *.EXE 表示任意位置的exe文件
b、直接写文件名 QQ.EXE 表示任意位置名为QQ.EXE的文件
具体设置,看各人的实际需要进行取舍,以下示例只是简单设置下以满足“辅助加强”的需要:
A、主要病毒藏身所
留意一下病毒测试报告的话,可以发现,病毒最爱藏身之处有
磁盘根目录:
?:\*.* 路径 不允许的 【使用光盘上的安装文件时,有阻挡,自己排除】
备份文件夹:
?:\System Volume Information\*.* 路径 不允许的
?:\System Volume Information\*\*.* 路径 不允许的
?:\System Volume Information\*\*\*.* 路径 不允许的
回收站:
?:\RECYCLE?\*\*.* 路径 不允许的
windows目录:
按照绝对路径优先于通配符路径的关系,先把windows目录下的正常程序放行【根据你的实情写】 C:\WINDOWS\_default.pif 路径 不受限的
C:\WINDOWS\Alcrmv.exe 路径 不受限的
C:\WINDOWS\alcupd.exe 路径 不受限的
C:\WINDOWS\explorer.exe 路径 不受限的
C:\WINDOWS\hh.exe 路径 不受限的
C:\WINDOWS\notepad.exe 路径 不受限的
C:\WINDOWS\regedit.exe 路径 不受限的
C:\WINDOWS\setdebug.exe 路径 不受限的
C:\WINDOWS\slrundll.exe 路径 不受限的
C:\WINDOWS\soundman.exe 路径 不受限的
C:\WINDOWS\TASKMAN.EXE 路径 不受限的
C:\WINDOWS\winhelp.exe 路径 不受限的
C:\WINDOWS\winhlp32.exe 路径 不受限的
然后阻止所有恶意及不明程序从windows目录下运行
%windir%\*.* 路径 不允许的
B、阻止一些正常情况下不可能存在可执行文件而有可能被病毒利用的目录:【lass.exe】
%CommonProgramFiles%\*.* 路径 不允许的
%ProgramFiles%\*.* 路径 不允许的
%ProgramFiles%\Internet Explorer\PLUGINS\*.* 路径 不允许的
%ProgramFiles%\Internet Explorer\PLUGINS\*\*.* 路径 不允许的
%windir%\Debug\*.* 路径 不允许的
%windir%\Debug\*\*.* 路径 不允许的
%windir%\Downloaded Program Files\*.* 路径 不允许的
%windir%\Downloaded Program Files\*\*.* 路径 不允许的
%windir%\Downloaded Program Files\*\*\*.* 路径 不允许的
?:\Documents and Settings\*\「开始」菜单\程序\启动\*.* 路径 不允许的
?:\Documents and Settings\*\Local Settings\Application Data\*\*.* 路径 不允许的 ?:\Documents and Settings\*\Local Settings\History\*\*.* 路径 不允许的
?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.* 路径 不允许的 ?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*\*.* 路径 不允许的 ?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*\*\*.* 路径 不允许的
C、防止病毒假冒系统主要进程
首先高优先允许系统进程:
C:\WINDOWS\system32\csrss.exe 路径 不受限的
C:\WINDOWS\system32\ctfmon.exe 路径 不受限的
C:\WINDOWS\system32\lsass.exe 路径 不受限的
C:\WINDOWS\system32\notepad.exe 路径 不受限的
C:\WINDOWS\system32\rundll32.exe 路径 不受限的
C:\WINDOWS\system32\services.exe 路径 不受限的
C:\WINDOWS\system32\smss.exe 路径 不受限的
C:\WINDOWS\system32\spoolsv.exe 路径 不受限的
C:\WINDOWS\system32\svchost.exe 路径 不受限的
C:\WINDOWS\system32\userinit.exe 路径 不受限的
C:\WINDOWS\system32\winlogon.exe 路径 不受限的
然后禁止假冒系统进程的运行
ctfm?n.* 路径 不允许的
csrss.* 路径 不允许的
exp??rer.exe 路径 不允许的
lass.exe 路径 不允许的
lsass.* 路径 不允许的
lssas.* 路径 不允许的
n?tepad.* 路径 不允许的
rund*.* 路径 不允许的
s?vch?st.* 路径 不允许的
serv?ces.* 路径 不允许的
smss.* 路径 不允许的
sp???sv.* 路径 不允许的
user?n?t.* 路径 不允许的
win??g?n.* 路径 不允许的
如果担心病毒假冒显卡进程,也可以按以上方法进行处理。
D、阻止危险扩展名程序的运行
*.*.bat 路径 不允许的
*.*.cmd 路径 不允许的
*.*.com 路径 不允许
*.*.pif 路径 不允许的
*.com 路径 不允许的
*.reg 路径 不允许的
E、为了防止病毒捣乱破坏,禁止调用系统自带的一些危险程序
cscript.exe 路径 不允许的
wscript.exe 路径 不允许的
at.exe 路径 不允许的
cacls.exe 路径 不允许的
debug.exe 路径 不允许的
format.* 路径 不允许的
reg*.exe 路径 不允许的 【影响程序安装及文件注册】
taskkill.exe 路径 不允许的
tftp.exe 路径 不允许的
F、防止个别病毒及流氓程序
kill*.* 路径 不允许的
*Bar.exe 路径 不允许的 【可能影响个别程序安装】
*Helper.exe 路径 不允许的 【可能影响个别程序安装】
某些广告程序、流氓插件、恶意软件,自己用“散列规则”或者“路径规则”阻止一下即可。
G、可能影响程序安装的【安装程序有影响时请把它们删除,安装好程序再补上】
*.*.exe 路径 不允许的 【应该影响很多安装程序】
*.bat 路径 不允许的 【可能影响一些程序安装】
【自己日常使用某些批处理文件请排除,例如?:\Documents and Settings\awei\桌面\系统垃圾清理.bat 路径 不受限的】
net.exe 路径 不允许的 【对个别程序安装会有影响,例如CHX防火墙】【影响系统更新】
cmd.exe 路径 不允许的 【应该影响很多程序安装及卸载,安装和卸载程序时请删除】【影响系统更新】
sc.exe 路径 不允许的 【可能影响一些程序安装好后的服务注册】【可能影响系统更新】 %windir%\temp\*.* 路径 不允许的 【可能对极个别程序的安装有影响】
%windir%\temp\**\*.* 路径 不允许的 【可能对极个别的程序安装有影响】
使用过程中如果发现有影响,请及时调整处理【排除或删除】。受阻的问题可以从 控制面板-管理工具-事件查看器-应用程序 里面黄色三角警告标志:
如果要求再严密一点的话,请加上:
*.cmd 路径 不允许的
*.scr 路径 不允许的
然后自己排除系统目录下的scr及cmd文件。
二、网络威胁防御
1、用户权利指派
请将 本地策略-用户权利指派 里的“拒绝从网络访问这台计算机”添加如下用户【对象类型请选择“组”】
Administrators Everyone Guest 【有必要的话,所有的都添上,玩远程登录自己的计算机的就不要添 Guest 了,最好保持默认】
2、危险com删除
请根据自己实情,先备份以下注册表键【导出保存】,然后把它们删掉
打开HKEY_CLASSES_ROOT\CLSID,删除以下键
后台智能上传 {4991D34B-80A1-4291-83B6-3328366B9097}
{69AD4AEE-51BE-439b-A92C-86AE490E8B30}
远程桌面 {A6A6F92B-26B5-463B-AE0D-5F361B09C171}
{E423AF7C-FC2D-11d2-B126-00805FC73204}
{06290BD5-48AA-11D2-8432-006008C3FBFC} 网页恶意代码攻击可能用到的东东
回到HKEY_CLASSES_ROOT主键,删除以下键
远程帮助 RemoteHelper.RemoteHelper
危险脚本 ADODB.Stream 网页恶意代码攻击常用的东东
ADODB.Stream.6.0 网页恶意代码攻击常用的东东
WScript.Shell 网页恶意代码攻击常用的东东
WScript.Shell.1 网页恶意代码攻击常用的东东
Scripting.FileSystemObject 网页恶意代码攻击常用的东东
以上项目,xp上的,已经备份打包一个(见附件),需要的自己解压导入。
三、其它策略
如果有兴趣和耐心,可以顺便再设置一下其它策略,一般可以不必理会。愿意稍微设置一点点的,请参考: 请打开 本地策略-安全选项:
“设备:防止用户安装打印机驱动程序” 如果没有打印机或已经装过打印机驱动,可以考虑“启用” “设备:未签名驱动程序的安装” 可以设成“禁止安装”【某些程序安装受影响时再改回】
“域控制器:拒绝更改机器账户密码” 可以考虑启用【自己要改时就“禁用”】
“账户:重命名来宾账户”,“账户:重命名管理员账户”,可以改下。
至于“网络访问:可匿名访问的共享”以及“网络访问:可远程访问的注册表路径”等内容,有兴趣可以尝试
【删除其内容前最好备份,以免将来抓瞎】
四、操作权限
1、文件夹权限
首先要确保磁盘文件是NTFS格式,然后到 控制面板-文件夹选项-查看 里去掉“使用简单文件共享(推荐)”的勾。自己认为重要的,不可更改的文件或文件夹,有兴趣试试系统自带的FD功能的,可以设置下权限。
个人推荐对hosts(C:\WINDOWS\system32\drivers\etc\hosts)及C:\ntldr、C:\boot.ini、C:\WINDOWS\system.ini、C:\WINDOWS\win.ini进行设置【注意,设置系统盘上的文件权限,可能会影响GHOST及一键还原,请在执行还原操作前,将所设权限去除,否则可能导致还原错误,只能重装系统。系统自带的FD操作并不好用,如非必要,尽量不使用】
对于gho文件、mp3文件需要保护防止删除的,可以设成拒绝删除;保存有重要文件、一般不进行变更的
关闭与开启危险端口.txt*一篇一篇的翻着以前的的签名,那时候的签名有多幼稚就有多么的幼稚。你连让我报复的资格都没有-〞好想某天来电显示是你的号码。好想某天你的状态是为我而写。 有些人,我们明知道是爱的,也要去放弃,因为没结局修改注册表关闭445端口:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
新建DWORD值:SMBDeviceEnabled
设为0
关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
同时也关闭了UDP137、138端口。
关闭Windows默认端口139、445等 —closeport.bat的使用说明
自从Windows2000以来,Windows系统增强了网络服务功能,这同时也降低了安全性,各种蠕虫病毒一波波的肆虐,Windows的网络安全为人们所诟病。
网络本来是一个欢乐缤纷的五彩乐园,但是安全问题使美好的网络蒙上了阴影,使人们小心翼翼如履薄冰,难以在网络上自由顺畅的呼吸,网络成为许多用户心中难舍的痛难解的结。 造成这种结果的主要原因是是windows系统默认开启了一些网络功能开启一些端口,从而置广大用户于危地。
这些功能用户一般用不到,反而成为了重要的安全隐患,给了蠕虫和骇客们可乘之机,成为他们大显身手的乐土。
人们不得求助于防火墙、助手和补丁等等莫名其妙乌七八糟的东西,把一切搞得越来越复杂,因为它们往往给你带来更多的烦恼。
其实,把Windows的一些默认端口关掉,就可以解决绝大部分的问题。
这两天,研究了一下端口的问题。写了一个脚本用来关掉这些默认端口,后面有解释,我的理解不一定正确,其中或有不当之处,欢迎各位批评指正。
这个脚本我在Windows 2003 Server上测试通过,在WinXP和Win2000上面应该也能适用。
[使用说明]
将以下代码复制下来,存为closeport.bat(注意,每个命令应该在一行中)。
运行closeport,重启计算机即可。cmd下运行netstat -an,你会发现相应的端口都已经停止了。
如果希望打开所有端口,运行closeport -o,重启计算机即可。
你可以自己将脚本中你不希望的功能命令去掉,然后再运行它。
[注意事项]
1.运行本程序前,最好手工停用DCOM。
方法如下,利用Windows NT/2000/XP标准集成的“dcomcnfg.exe”工具。从命令行执行,打开分布式COM属性窗口,取消“在这台计算机上启用分布式COM”选项即可。(Window 2000\XP\2003 的配置对话框有所不同)。
虽然,这个脚本可以停用DCOM,但是它是通过修改注册表的键值。我不知道效果是否与之相同。
2.重启计算机后,出现过TCP/IP Driver不能启动。因此无法上网的情况。
如果遇到这种情况。请在“设备管理器”中,选择显示隐藏的设备,按连接查看设备,找到TCP/IP protocol driver,在驱动程序页面设置为自动。重启计算机即可。【lass.exe】
3.本脚本完全没有任何担保,请慎重使用。最好阅读后面的解释。你可以更好的了解和定制使用它。
================================
@ echo off
rem
rem closeport.bat version 0.2
rem by Spirituel@SMTH
rem
rem This file close the default ports of Windows.
rem Why and how to use it, please conduct to the README.txt.
rem I tested it on Windows 2003 Server. And it should work on WindowsXP and windows2000 as well.
rem If you understand it and find some error, you can describe it clearly and contact with me.
rem Corrections are welcome.
rem NOTICE: NO WARRANTY totally. Please use it carefully.
echo Close the default ports of Windows system.
echo [usage] Use the parameter -o to open the ports again.
echo You can change the file to customize them for yourself.
if "%1"=="-o" goto :open
@ rem -----------------------------------------------
@ rem disable some services, you can add "rem" on the command if you do not want it effects
echo on
@ rem disable the NetBT(NetBios over tcp/ip) device driver, close port TCP139/UDP137/UDP138/TCP445
reg add "HKLM\SYSTEM\CurrentControlSet\Services\NetBT" /v Start /t REG_DWORD /d 0x4 /f
@ rem disable the LmHosts(TCP/IP NetBIOS Helper) device driver, it depends on NetBT reg add "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /t REG_DWORD /d 0x4 /f
@ rem disable the lanmanserver(server) service, stop IPC$ net share
reg add "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver" /v Start /t REG_DWORD /d 0x4 /f
@ rem disable the dfs(Distribute File System) service, it depends on server reg add "HKLM\SYSTEM\CurrentControlSet\Services\Dfs" /v Start /t REG_DWORD /d 0x4 /f
@ rem disable the Browser(Computer Browser) service, it depends on server
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Browser" /v Start /t REG_DWORD /d 0x4 /f
@ rem disable the W32Time(Windows Timer) service, close port UDP123
reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time" /v Start /t REG_DWORD /d 0x4 /f
@ rem disable the TermService(Terminal Services) service, its default port is TCP3389 reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v Start /t REG_DWORD /d 0x4 /f
@ rem disable DCOM
reg add "HKLM\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d N /f
goto :end
:open
@ rem -----------------------------------------------
@ rem enable some services, you can add "rem" on the command if you do not want it effects
echo on
@ rem enable the NetBT(NetBios over tcp/ip) device driver, port TCP139/UDP137/UDP138/TCP445
reg add "HKLM\SYSTEM\CurrentControlSet\Services\NetBT" /v Start /t REG_DWORD /d 0x1 /f
@ rem enable the LmHosts(TCP/IP NetBIOS Helper) device driver, it depends on NetBT reg add "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /t REG_DWORD /d 0x2 /f
@ rem enable the lanmanserver(server) service, stop IPC$ net share【lass.exe】
reg add "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver" /v Start /t REG_DWORD /d 0x2 /f
@ rem enable the dfs(Distribute File System) service, it depends on server
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Dfs" /v Start /t REG_DWORD /d 0x2 /f
@ rem enable the Browser(Computer Browser) service, it depends on server
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Browser" /v Start /t REG_DWORD /d 0x2 /f
@ rem enable the W32Time(Windows Timer) service, port UDP123
reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time" /v Start /t REG_DWORD /d 0x2 /f
@ rem enable the TermService(Terminal Services) service, its default port is TCP3389 reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v Start /t REG_DWORD /d 0x2 /f
@ rem enable DCOM
reg add "HKLM\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d Y /f
:end
@ rem enable tcpip device driver
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip" /v Start /t REG_DWORD /d 0x2 /f
@echo off
pause
================================
[解释说明]
Windows问题主要来自TCP135、TCP139、TCP445等默认端口、提供的IPC$默认共享,以及没有默认开启但非常危险的终端服务(Terminial Services)。这个脚本可以把它们关掉。下面是脚本中命令的解释。
1. NetBios和IPC$的问题。
reg add "HKLM\SYSTEM\CurrentControlSet\Services\NetBT" /v Start /t REG_DWORD /d 0x4 /f
禁用NetBT的驱动程序。这可以关闭TCP139/UDP137/UDP138/TCP445。
由于IPC$是利用了这些端口,因此应该已经不能使用了,这会使你的网络打印机和网络文件共享无效。
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /t REG_DWORD /d 0x4 /f
禁用LmHosts服务,它依赖于NetBT,如果不禁用它,启动的时候会出现服务错误。
reg add "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver" /v Start /t REG_DWORD /d 0x4 /f
禁用server服务。
如果不禁用,由于NetBT已经禁用,IPC$、C$等等应该也已经不能连接了。如果该服务启动,你仍然可以在共享文件夹中看到它们。
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Dfs" /v Start /t REG_DWORD /d 0x4 /f
dfs服务依赖于server服务,禁用之。
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Browser" /v Start /t REG_DWORD /d 0x4 /f
Browser服务依赖于server服务,禁用之。
本文来源:http://www.gbppp.com/mswh/467336/
推荐访问:lass测试 lass社