利用WINXP组策略实现HIPS的功能

1、【原创】利用WINXP组策略实现HIPS的功能一一文教程管理提醒：本帖被企小三Y执行提前操作(2007-11-26)很早就像写关于WINXP的组策略相关教程的一直没有时间今天周末，顺手写了一下其实WINXP组策略中的软件限制策略完全可以实现HIPS的功能设置得当的话，完全可以防御大部分的网络威胁要设置组策略，先来了解一下系统环境变量和通配符环境变量%USERPROFILE% 表示 C:Documents and Settings当前用户名%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users%APPDATA% 表示 C:Documents

2、and Settings当前用户名Application Data%ALLAPPDATA% 表示 C:Documents and SettingsAll UsersApplication Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:WINDOWS%WINDIR% 表示 C:WINDOWS%TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsT emp%ProgramFiles% 表示 C:Program Files%CommonProgramFiles%

3、表示 C:Program FilesCommon Files通配符?表示任意单个字符*表示任意多个字符或*?表示零个或多个含有反斜杠的字符，即包含子文件夹接下来开始设置软件限制策略”依次展开计算机配置一Windows置一件限制策略 其他规则,这里WINXP内置了4条规则，不用动它。文件旧瑾作叵）查看四）魅助凹名称安不受限的 不受限的 不爰阪的 不爰眼的丹.塑,ip安全策骆.在:+ 密鼬-盗用户1B置+ 口拗牛设置+ 二Windows 没置臀径贸径笛径兽径 %H KEY_LOCAL_MACHI N ES 0 FTWARE, 9&H KEY_LO CAL_MACHIN ES O FTWARE. H

4、 KEY.LOC AL_M AC HI N ES 0 FT WAR E. H KEY_LO CAL_MACHI N ESO FTWARE.胃本地计算机策站-副计算机堑置.软件典-O Windows 没置|= | 1-0脚本 启动津机）-中安全典+ &娠户策骆十宜本地策略+二公钥策暗-口软件限制策帝 二麦文件心藻作胃Sm(tDs也国团密氛本地计算机策带名称 |鲤安描述夺蒯计常痕僵%HKEY_LOCAL_MACHINESOFTWARE.跨径不到醐软件设置%HKEY_LOCAL_MACHINESOFTWARE.笋径不凳限的仕 O Windows没詈 %H KEY_LOCAL_MACHIN ESO F

5、TWARE.溶径不受限的劫脚本启动/关肛） HKEY_LOCAL_MACHINESOFTWARE.踌径不麹辰的B 铮崖全设+ .苫概户策招右健单击k其他规则”,选择“新路径规则二J+莒本地策蒂+ 公钥策略-口软件限制策弟其他的“证书规则”“散列规则”等，就不讲了,另外土如 lililrci,注意一下“Intelnet区域规则”，忌以屏蔽所有木+奥【P安竺5恭Edt 15跳则U.信任的站点，首先在IE设置轧 选项一安全一, q密魅ri7?JOJ(Hj.受限站点，单击站点，添加想屏蔽的网址，-虚用户配置新建Internet区疫规则Q），如?o 是浦配符，可以代, 口软件曜.忌篷经规.则E，.表任宣

6、字符.然后在这里新建Intelnet区域规则， _J Windows 没宣的在区城里选择“受限制的站点”，在安全级别中选+ Ji 蔑择“不允许的七确定。这里不详述，有兴趣的朋友可以自己研究.今天的重点的新路径规则.剧新0导出列表但,.，4 .川翘助Cti) !川 yimh3?h 土 囱画 g B l刻牛co 魂作心 bw（v）智助凹至“太地计算机”策希-厕计算机至置|；21蝮件第-口 Windows 没置a脚本窟动/关机）_ ：率尝设m+为a策珞十甘本地策帝+ 公钥策濡-口软件制暗帝S其它规则+龛亦麦全镀暗.在，+白管垣模板言虚用户郭置+ 蒙件典卜 口 Windows -B亩口管垣模板文件藻作

7、座i查卷菩助（HJ匡函 团B g覃本地计笄机策骆-闻计算睥置IQ炊件iS置白:疆Windows璟置| 倒鲫本昭动/关机） 一争室全i殖停帐户策笔+遢本地策胳-：_J公钥策骆-软件限制策珞 安3其它顾+奥iP盅全策略, + 密鼬-虚用户尊僵 口软件设置由偷Windows设置+ 云瓢f:I麒径规则常规用规则替代默队安全缴别。路径口:安全缀别（0:I不允许的描述但）:F X ：|帝还浏览.在定曳规则的时候我们可以使用绝对路径 ，也可以用通猷符或者环境变量，甚至可 以直接使用要禁止运行的程序的程序名。而这里就涉及到一个就先级的问题r,按 微软的规定：绝对路径使用逋配符的路 径 文件名。绝对路径可以通过

8、上面的,浏览这个按钮 来选择，这里就不讲了。下面主要以通配 符路径和文件名作为实例讲解常规用规则替代默认安全级别。路径(I):EvchuEt. exe洌览.一安全级别: 不允许的件夹了或其他任意文件夹另(真正的svchost.eKe文件进程仿冒是木马病毒用的最多的一个手段，比如病、 毒女祥名为svchost.exe,币I这个病毒文件荏windows文 在system32文件天下)，病毒运行时XP默认的任务管 通嚣里只会豆不进程名wchost.exe,而XP禾来靛有 很多个svchosr.exeat程，这就很好地达到了欺骗用户 的目的。普通杀毒软件还是得依托单一的病毒库， -旦换了个新病毒用同样

9、的手法他就不认了，安全 性很差“而用本地安全策略可以很简单的永久免疫 这制方式的病毒，我们建立两条规则二确定WWW 114I1GDE取消新路径规则常规用规则替代默认安全铤别。路径史）:氟 indir%system32svchost.exe洌览一安全级别:由于优先级的关系，第二条使用箜对路径的规则优先级高于第一条基于文件名的路径，也就是说system32文件夹下的svchost-exe是允许运行的，而其他任意文件夹的名字为svchost-exe的程序都无法运行。由于svchost.exe是系统文件，病毒不可能替板它。可以看 到，这两条规则完美地解决了这个问题，以后只要是 使用相同手法的病毒或木马

10、都无法运行，达到了防毒的效果。洒ir常规很多病毒木马为逃过用尸的追杀都会藏在很隐蔽 的地方，比如回收站，System Volume Information ( 系统途原文件夹) C:WIND0WSsystem32-Brive 律夹.C:，WINDOWS system文件夹等等，并且加上凄 藏属性使用户不易发觉而事实上，这些文件夹 正常情况下是没有任何可执行程序的，所以我们 可以建立以下规则用规则替代默诙安全加酉条祝则?: Recycled .不允许的?:System Volume Imformation?1.1.1不扼许的也训以写成勺路竺(1)： 叵 Recycled*, *|安全缀别用这种貉

11、式并不会屏蔽掉txt彖者jpg之类的其恤非可执行程序 而只会禁止可推行的程序远行.不允许的确定职消 应用(A)?:，iRecycle(r.t 不允许的?: System Volume liifonnationV/不如叶的%wiii(lir%.systeni32 Driver s 不允许的%wiii(lir% system W1 不允许的systemroot%.system 32drivers etcJiostsW*不充许的?:，i.(iocunieirts andsettii igs /jcookiesW不允许的 %syemroot%lasks VL.不允 许的%ProgramFiles%Co

12、mmon Files?/不允许的%ProgramFiles%.CommonFiles-SystemW* 不免许的%systeniroot%iDownloa(le(lProgram Files 1 不允许的%wiiHiir% system32oi ifig1.* 不 允许的不一一列举,有建的自行研登 HYPERLINK 新路常规安全以别魇）:不允许的俄根目录禁止座行常见的可执行文件，所有盘 根目录禁止运行,inf.exe .cdiii .htn等文件，可以 有效预防U盘病毒ewe .com%systei ndrive%V.bat 不允许的 systemdrive/.cmd 不允许的 system

13、driveoWcom 不允讦的 %sy5tem(li ive% .(III 不允许的 %system(lr iveWexe 不允许的 %system(lr iveWjar 不允许的 %system(lrive%V.li ik 不允许的 %systein(lrive%V.|)if 不允许的 %systemdrive%1 .sys 不it许的 systemdriveWscr 不允许的 ?:,aiitoriiii.iiif 不允许的 ?：.exe不允许的 ?：.bat不允许的?：xom不允许的大家可以根据自己的实际凿况DIY 更多更严密的燃则常规用规则替代默认安全级别。路径(I):.avi. ex

14、e洌览但).安全缀别任)：不允许的用双扩展名迷惑用户的病毒也不在少数。比如MM.jpg.exe,免费得QD会员的方法.txt.exe等等， 然后园标改成前一个扩展名的图标，由于大多教用 户都是XP的默认设置，隐藏已知扩展名的，所以这 些病毒文件是很有诱惑力的，防御他们也不难.avi.exebmp.exe a.(Ioc.exe a.(lll.exe .yif.exe .jpy.exe *.mp3.exe *.mpg.exe png.exe rar.exe*.rm.eKeswf.exetorrent.exetxt.exeJ .wm?.exe xls.exe .zip.exe确定取消应用(A)om设置