天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧系统 >> 正文

防狗微略之利用系统组策略防狗

2008-7-9天下网盟yngjlx

 

另外演示两条禁止从回收站和备份文件夹执行文件的规则
?:\Recycler\**\*.* 不允许的
?:\System Volume Information\**\*.* 不允许的

5、如何防止U盘病毒的入侵
这个简单,两条规则就可以彻底搞定
?:\autorun.inf 不允许的
?:\*.* 不允许的

6、预防双后缀名的典型恶意软件
许多恶意软件,他有双后缀,比如 mm.jpg.exe
由于很多人默认不显示后缀名,所以你看到的文件名是 mm.jpg
对于这类恶意,我本来想以一条规则彻底免疫
*.*.* 不允许的
可是这样做了之后,却发现我的ACDSee 3.1 无法运行
于是改成
*.???.bat 不允许的
*.???.cmd 不允许的
*.???.com 不允许的
*.???.exe 不允许的
*.???.pif 不允许的
这样5条规则,ACDSEE没有问题了。我现在还没搞清楚,我的ACDSEE并没有双后缀,为何不能运行

7、其他规则
注意 %USERPROFILE%\Local Settings\**\*.* 这条规则设置后,禁止了从临时文件夹执行文件,那么一些自解压的单文件就无法运行了,因为这类文件是首先解压到临时文件夹,然后从临时文件夹运行的。如果你的电脑中有自解压的单文件,那么,删除这条规则,增加3条:
%USERPROFILE%\Local Settings\Application Data\**\*.* 不允许的
%USERPROFILE%\Local Settings\History\**\*.* 不允许的
%USERPROFILE%\Local Settings\Temporary Internet Files\**\*.* 不允许的

威金的预防,很简单三条
logo?.* 不允许的
logo??.* 不允许的
_desktop.ini 不允许的
小浩病毒的预防
xiaohao.exe 不允许的
禁止conimi.exe进程
c?nime.* 不允许的
禁止QQ自动更新
QQUpdateCenter.exe 不允许的
TIMPlatform.exe 不允许的
禁止遨游自动更新
maxupdate.exe 不允许的
禁止小红伞C版的广告
avnotify.exe 不允许的
………………………………

就不一一列举了
大家根据自己的实际情况来设置吧

最后附上我自己精简后的规则,比较大众化,下载解压后直接运行即可
运行前,先备份C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol 这个文件
如果导入规则出现不良反应,可以用原文件替换回去
有兴趣的朋友可以深入研究,不良反应究竟是触发了哪一条规则,如何设置能达到最佳效果
附带啰嗦一句,现在很多病毒采用劫持IFEO的方法,致使杀毒软件无法启动。解决方法如下:
打开注册表编辑器,找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
右击——权限,取消所有用户的写入、修改权限,仅保留读取和删除权限

规则导入完成之后,利用NTFS格式的安全设定,设置Registry.pol 的权限,取消所有用户的修改、写入和删除权限,这样恶意软件便不能修改或删除这个规则了

同理,可以利用NTFS的权限设置,保护任意文件不被修改和删除,和软件限制策略相辅相成,达到HIPS的FD功能。
这个是FAT格式无法享有的优越性
另外本人写了一份防机器狗的软件策略,经最新样本测试,不能穿透。里面有导入导出工具,只要放在同一文件夹下就可以导入了,看了一定要顶,不然的话下次不发了。

本文来源:天下网盟 作者:yngjlx

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行