文档介绍：windows 安全策略 windows 这是一个禁忌相继崩溃的时代,没人拦得着你, 只有你自己拦着自己, 你的禁忌越多成就就越少。自卑有多种档次, 最高档次的自卑表现为吹嘘自己干什么都是天才。 Windows 安全策略“软件”防火墙来源:互联网作者:无名不来发表日期: 2008-8-28 16:52:54 阅读次数: 16 在互联网越来越普及的今天, 互联网安全问题日益严重, 木马病毒横行网络。大多数人会选择安装杀毒软件和防火墙, 不过杀毒软件对病毒反应的滞后性使得他心有余而力不足, 只有在病毒已经造成破坏后才能被发现并查杀。在这种情况下, HIPS ( 主动防御系统) 软件越来越流行,依靠设定各种各样的规则来限制病毒木马的运行和传播,由于 HIPS 是基于行为分析的,这使得它对未知病毒依然有效,不过软件兼容性问题也比普通的杀毒软件要严峻的多。网络上有一种人,他们不装任何杀毒软件和防火墙,自由奔走在互联网上,称之为“裸奔”族。不过他们也分许多不同的种类, 有的是电脑不设任何防护, 也不放任何重要资料, 一旦中毒就重装系统; 而另一种则是依托 Windows 系统本身的安全机制来抵御病毒的入侵,显然这种方法要可靠的多。其实大多数人都忽略了 Windows 系统本身的功能,认为 Windows 弱不禁风。其实只要设置好, Windows 就是非常强大的安全防护软件。这篇文章的主角就是 WindowsXP Pro 里自带的安全策略功能。打开安全策略很简单, 直接双击控制面板管理工具里的本地安全策略即可,这里我们重点讲其中的软件限制策略。正如其名,这里可以限制软件的运行,至于如何限制,那就要看你的策略怎么定了。如果以前未设置过安全策略, 那么在软件限制策略上右键新建策略后会出现下级菜单: 其他地方我们都不用管, 其它规则才是由我们发挥的地方, 这里规则制定的好坏直接关系到你的电脑的安全程度。点击其他策略, 我们可以看到微软已经帮我们预设了 4 条规则(如下图) 这4 条规则是用来保证 Windows 运行所必须的程序不会被禁用而设的,如果你确定你的规则没有问题,这四条规则删掉也没有问题。接下去在其他规则上右键, [1] [2] [3] [4] [5] [6] [7] [8] 下一页在弹出的右键菜单里, 我们主要用到的是“新路径规则”, 偶尔也可以用“新散列规则”, 具体有何区别将在下面分别讲述。现在我们点击“新路径规则”,出现如下窗口: 我们主要在路径那一栏里做文章。这里允许使用通配符,常见的有“*”和“?”,* 表示任意个字符, ?表示一个字符。也允许使用环境变量,常见的文件夹环境变量有: (以下以 XP 默认装在 C 盘例举) %ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users %APPDATA% 表示 C:\Documents and Settings\ 当前用户名\Application Data %SYSTEMDRIVE% 表示 C: %SYSTEMROOT% 和%WINDIR% 表示 C:\WINDOWS %TEMP% 和%TMP% 表示 C:\Documents and Settings\ 当前用户名\Local Settings\Temp %USERPROFILE% 表示 C:\Documents and Settings\ 当前用户名%ProgramFiles% 表示 C:\Program Files 在定义规则的时候我们可以使用绝对路径, 也可以用通配符或者环境变量, 甚至可以直接使用要禁止运行的程序的程序名。而这里就涉及到一个优先级的问题了。按微软的规定:绝对路径> 使用通配符的路径> 文件名。下面我通过实例来讲规则的建立: 实例 1: 进程仿冒是木马病毒用的最多的一个手段,比如病毒文件名为 ,而这个病毒文件在 windows 文件夹下或其他任意文件夹下( 真正的 文件在 system32 文件夹下), 病毒运行时 XP 默认的任务管理器里只会显示进程名为 ,而 XP 本来就有很多个 进程,这就很好地达到了欺骗用户的目的。普通杀毒软件还是得依托单一的病毒库, 一旦换了个新病毒用同样的手法他就不认了, 安全性很差。而用本地安全策略可以很简单的永久免疫这种方式的病毒,我们建立两条规则: 不允许的%windir%\system32\ 不受限的由于优先级的关系, 第二条使用绝对路径的规则优先级高于第一条基于文件名的路径,也就是说 system32 文件夹下的 是允许运行的, 而