安全“例外” 效率兼顧

隔離“例外”讓共享高效

單位局域網(wǎng)某臺(tái)計(jì)算機(jī)中存儲(chǔ)有非常重要的數(shù)據(jù)，為了防止普通用戶隨意通過(guò)共享方式，偷窺到單位的隱私內(nèi)容，網(wǎng)絡(luò)管理員在這臺(tái)計(jì)算機(jī)系統(tǒng)中啟用了Windows系統(tǒng)內(nèi)置防火墻，以實(shí)現(xiàn)與其他終端計(jì)算機(jī)的軟式隔離。但這么一來(lái)，單位領(lǐng)導(dǎo)就無(wú)法通過(guò)網(wǎng)絡(luò)共享方式，訪問(wèn)到這些重要的數(shù)據(jù)內(nèi)容，每次到重要計(jì)算機(jī)現(xiàn)場(chǎng)去訪問(wèn)，又會(huì)影響工作效率，這該如何是好呢？

圖1 選擇“自定義列表”

很簡(jiǎn)單！巧妙利用Windows系統(tǒng)防火墻的“例外”功能，就可以僅讓單位領(lǐng)導(dǎo)的計(jì)算機(jī)能夠共享訪問(wèn)重要計(jì)算機(jī)系統(tǒng)，而其他計(jì)算機(jī)則無(wú)權(quán)訪問(wèn)。以系統(tǒng)管理員登錄進(jìn)入重要計(jì)算機(jī)系統(tǒng)，依次單擊“開(kāi)始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊其中的“Windows防火墻”圖標(biāo)，展開(kāi)系統(tǒng)防火墻配置對(duì)話框。選擇“常規(guī)”標(biāo)簽，選中該標(biāo)簽設(shè)置頁(yè)面中的“啟用”選項(xiàng)，開(kāi)啟防火墻的運(yùn)行狀態(tài)。之后點(diǎn)選“例外”標(biāo)簽，選中該標(biāo)簽頁(yè)面中的“文件和打印共享”復(fù)選項(xiàng)，單擊“編輯”按鈕，切換到編輯服務(wù)設(shè)置框中，將“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口選項(xiàng)同時(shí)選中，再按下“更改范圍”按鈕，進(jìn)入如圖1所示的設(shè)置界面。選中“自定義列表”選項(xiàng)，在對(duì)應(yīng)選項(xiàng)文本框中，輸入單位領(lǐng)導(dǎo)計(jì)算機(jī)的IP地址，如果要輸入多臺(tái)計(jì)算機(jī)地址，必須要注意每個(gè)地址之間用逗號(hào)隔開(kāi)，同時(shí)添加子網(wǎng)掩碼255.255.255.0地址。例如，可以輸入“10.176.0.131，10.176.0.132，10.176.0.133,10.176.0.134/255.255.255.0”，單擊“確定”按鈕保存設(shè)置操作。

這個(gè)時(shí)候，因?yàn)榫钟蚓W(wǎng)中的其他計(jì)算機(jī)受到了防火墻軟式隔離，將不能正常共享訪問(wèn)那臺(tái)保存有重要數(shù)據(jù)的新計(jì)算機(jī)了，但是具有防火墻例外功能的領(lǐng)導(dǎo)計(jì)算機(jī)是能夠訪問(wèn)到它的。

虛擬“例外”讓升級(jí)高效

為了防范病毒木馬的攻擊，不少用戶安裝使用了虛擬系統(tǒng)，這樣日后遭遇到的病毒木馬不管破壞性有多么強(qiáng)大（例如修改IE瀏覽器設(shè)置、偷偷創(chuàng)建陌生帳戶等），只要簡(jiǎn)單地重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，所有破壞性操作都會(huì)被強(qiáng)制還原，Windows系統(tǒng)的工作狀態(tài)也將毫發(fā)無(wú)損。

然而，虛擬系統(tǒng)常常一股腦地將所有發(fā)生變化的數(shù)據(jù)自動(dòng)刪除掉，對(duì)安全工具的升級(jí)數(shù)據(jù)也會(huì)毫不手軟，這顯然會(huì)影響殺毒軟件的升級(jí)效率。

為了既能保護(hù)Windows系統(tǒng)的工作狀態(tài)，又能不影響殺毒軟件的病毒更新效率，我們可以利用一些虛擬系統(tǒng)的“例外”功能，將殺毒軟件的病毒庫(kù)更新文件夾排除在安全保護(hù)之外，讓特定位置能夠正常存儲(chǔ)數(shù)據(jù)，這就相當(dāng)于在虛擬系統(tǒng)中打開(kāi)一扇“暗門”，從而很好地解決病毒庫(kù)及時(shí)更新問(wèn)題。

例如，在“Shadow Defender”虛擬系統(tǒng)環(huán)境下，我們可以利用它的“例外列表”功能，來(lái)存儲(chǔ)病毒庫(kù)所在的文件夾，讓還原操作不影響到病毒更新操作。首先退出虛擬系統(tǒng)狀態(tài)，讓計(jì)算機(jī)系統(tǒng)進(jìn)入正常工作狀態(tài)，在該狀態(tài)下打開(kāi)“Shadow Defender”程序主操作界面，單擊“模式設(shè)置”按鈕，進(jìn)入模式設(shè)置頁(yè)面，選中該頁(yè)面中的所有磁盤分區(qū)，點(diǎn)擊“啟動(dòng)影子模式”按鈕，讓所有磁盤分區(qū)都能受到“Shadow Defender”工具的還原保護(hù)。

圖2 例外列表選項(xiàng)

圖3 注冊(cè)表編輯器

接著返回到主程序界面，選擇并點(diǎn)擊“例外列表”選項(xiàng)（如圖2所示），按下其后界面中的“添加文件夾”按鈕，點(diǎn)擊文件夾選擇對(duì)話框中的“瀏覽”按鈕，將病毒庫(kù)的文件夾選擇并導(dǎo)入進(jìn)來(lái)，當(dāng)然也可以將其他需要排除在安全保護(hù)之外的文件夾添加進(jìn)來(lái)，確認(rèn)后執(zhí)行重新啟動(dòng)操作，強(qiáng)制系統(tǒng)進(jìn)入虛擬系統(tǒng)狀態(tài)。

這時(shí)候，在該狀態(tài)下執(zhí)行病毒庫(kù)更新操作時(shí)，升級(jí)數(shù)據(jù)就不會(huì)被虛擬系統(tǒng)自動(dòng)刪除了。

遇到某些虛擬系統(tǒng)沒(méi)有“例外”功能時(shí)，不妨將一些重要文件夾轉(zhuǎn)移到系統(tǒng)分區(qū)之外，因?yàn)樘摂M系統(tǒng)一般保護(hù)的多是系統(tǒng)分區(qū)。在日常辦公過(guò)程中，有些用戶經(jīng)常喜歡將工作文檔存儲(chǔ)到“我的文檔”、“桌面”等系統(tǒng)文件夾中，要將這類文件夾轉(zhuǎn)移到系統(tǒng)分區(qū)以外的位置時(shí)，可以依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit.exe”命令并回車，開(kāi)啟系統(tǒng)注冊(cè)表編輯器運(yùn)行狀態(tài)。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders”注冊(cè)表節(jié)點(diǎn)上，如圖3所示。找到目標(biāo)節(jié)點(diǎn)下與“我的文檔”、“桌面”等系統(tǒng)文件夾有關(guān)的項(xiàng)目，將它們重新指向其他的磁盤分區(qū)即可。

如果計(jì)算機(jī)安裝使用的是Windows 7系統(tǒng)，那么也可以直接打開(kāi)特定文件夾的右鍵菜單，點(diǎn)擊其中的“屬性”命令，進(jìn)入對(duì)應(yīng)文件夾屬性對(duì)話框，在其中修改該文件夾的分區(qū)路徑即可。

掃描“例外”讓殺毒高效

對(duì)付那些悄悄藏匿于移動(dòng)硬盤或優(yōu)盤中的自啟動(dòng)類型病毒，最有效、最快捷的應(yīng)對(duì)辦法，就是使用版本最新的殺毒程序，智能掃描移動(dòng)設(shè)備中的數(shù)據(jù)文件，保證這些設(shè)備中的自啟動(dòng)類型病毒在沒(méi)有發(fā)作之前，已經(jīng)被強(qiáng)制清除干凈。

只是，大家平常使用的移動(dòng)設(shè)備分區(qū)很可能多是沒(méi)有病毒的，如果讓殺毒程序每次自動(dòng)掃描用戶自己的移動(dòng)設(shè)備，需要耗費(fèi)很長(zhǎng)時(shí)間，顯然這會(huì)影響系統(tǒng)的殺毒效率。

其實(shí)，通過(guò)正確定義殺毒程序有關(guān)參數(shù)，僅讓其自動(dòng)掃描陌生用戶的移動(dòng)設(shè)備分區(qū)，既能有效預(yù)防藏身于陌生移動(dòng)設(shè)備中的自啟動(dòng)類病毒，又能大大提升殺毒軟件的查殺效率。

例如，筆者自己的計(jì)算機(jī)系統(tǒng)中事先已安裝了NOD32殺毒程序，要想讓該殺毒程序自動(dòng)掃描陌生用戶使用的移動(dòng)設(shè)備分區(qū)，而不掃描自己的移動(dòng)設(shè)備分區(qū)時(shí)，可以先打開(kāi)對(duì)應(yīng)殺毒程序界面中的“ESET Smart Security”設(shè)置框，在“文件系統(tǒng)實(shí)時(shí)防護(hù)”位置處，點(diǎn)擊“高級(jí)設(shè)置”按鈕，切換到殺毒程序高級(jí)設(shè)置對(duì)話框，之后按下“可移動(dòng)磁盤上的文件時(shí)采用高級(jí)啟發(fā)式掃描”處的“例外”按鈕，彈出文件夾瀏覽對(duì)話框，從中將移動(dòng)設(shè)備所使用的磁盤分區(qū)符號(hào)逐一選中并導(dǎo)入進(jìn)來(lái)。經(jīng)過(guò)之前的設(shè)置操作，平時(shí)頻繁使用的移動(dòng)設(shè)備插入到本地計(jì)算機(jī)系統(tǒng)后，殺毒程序是不會(huì)對(duì)它進(jìn)行掃描查殺的，而有陌生用戶的移動(dòng)設(shè)備插入到本地計(jì)算機(jī)系統(tǒng)時(shí)，殺毒程序就會(huì)對(duì)它自動(dòng)掃描查殺了，這樣就能很高效地預(yù)防自啟動(dòng)類型病毒程序的惡意攻擊了。

圖4 “其他規(guī)則”子項(xiàng)

阻斷“例外”讓瀏覽高效

大家知道，通過(guò)Windows系統(tǒng)的軟件限制策略，可以輕松阻斷已知文件名稱類型病毒的運(yùn)行，但這種阻斷操作容易影響一些正常程序的運(yùn)行，例如一些“iexp*.exe”類型的病毒，與IE瀏覽器的應(yīng)用程序名稱“iexplorer.exe”十分相近，如果簡(jiǎn)單地利用軟件限制策略，定義“iexp*.exe”程序不能自動(dòng)運(yùn)行的策略時(shí)，就會(huì)同時(shí)阻斷IE瀏覽器程序的運(yùn)行，從而影響用戶的正常上網(wǎng)瀏覽操作。

要想在成功阻斷病毒的前提下，讓上網(wǎng)瀏覽更高效，可以在自由定義特定程序不允許自動(dòng)運(yùn)行的情況下，通過(guò)創(chuàng)建新散列規(guī)則來(lái)對(duì)特殊類型的文件實(shí)現(xiàn)阻斷“例外”。例如，要阻斷“iexplerer”病毒程序自動(dòng)運(yùn)行時(shí)，可以依次單擊“開(kāi)始”、“運(yùn)行”選項(xiàng)，展開(kāi)系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)顯示列表中，逐一展開(kāi)“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè) 置”、“安全設(shè)置”、“軟件限制策略”選項(xiàng)，在目標(biāo)選項(xiàng)下面新建路徑規(guī)則，在其后彈出的新建路徑對(duì)話框中，將路徑設(shè)置為“iexp*.exe”，從安全級(jí)別下拉列表中選擇“不允許”，確認(rèn)后執(zhí)行設(shè)置保存操作。

這個(gè)時(shí)候，啟動(dòng)運(yùn)行IE瀏覽器程序時(shí)，系統(tǒng)會(huì)彈出禁止運(yùn)行的提示，這說(shuō)明之前設(shè)置的路徑規(guī)則已經(jīng)生效，因?yàn)镮E瀏覽器程序名稱為“iexplorer.exe”，所以該程序會(huì)被強(qiáng)行禁止運(yùn)行。

為了能讓IE瀏覽器程序不受影響，我們還需要定義散列規(guī)則，讓正常的瀏覽器程序排除在阻斷列表之外。在進(jìn)行這種定義操作時(shí)，先返回到如圖4所示的“其他規(guī)則”子項(xiàng)上，打開(kāi)它的右鍵菜單，單擊“新散列規(guī)則”命令，切換到散列規(guī)則創(chuàng)建對(duì)話框，按下“瀏覽”按鈕將“iexplorer.exe”導(dǎo)入進(jìn)來(lái)，同時(shí)從安全級(jí)別下拉列表中選擇“不受限制”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作，這樣就能實(shí)現(xiàn)阻斷“例外”讓上網(wǎng)瀏覽更高效目的了。

攔截“例外”讓運(yùn)行高效

惡意用戶成功發(fā)動(dòng)溢出攻擊，同時(shí)竊取計(jì)算機(jī)或服務(wù)器系統(tǒng)的shell后，或許會(huì)執(zhí)行類似“regedit.exe”、“del.exe”這樣危險(xiǎn)的命令或程序，來(lái)對(duì)Windows系統(tǒng)實(shí)施進(jìn)一步的非法攻擊。為了防止這樣的攻擊，很多人會(huì)簡(jiǎn)單啟用計(jì)算機(jī)系統(tǒng)的“阻止訪問(wèn)命令提示符”組策略，來(lái)禁止用戶在DOS命令行窗口執(zhí)行所有程序命令。

很明顯，這種攔截方法會(huì)影響一些日常辦公程序的運(yùn)行。為了既能攔截危險(xiǎn)命令程序，又能保證正常工作程序的高效運(yùn)行，我們可以按照如下步驟，實(shí)現(xiàn)攔截“例外”效果。

圖5 組策略屬性對(duì)話框

首先依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”選項(xiàng)，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入“gpedit.msc”命令開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到該編輯窗口左側(cè)列表中的“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“系統(tǒng)”節(jié)點(diǎn)上，用鼠標(biāo)雙擊該節(jié)點(diǎn)下的“只運(yùn)行許可的Windows應(yīng)用程序”選項(xiàng)，打開(kāi)如圖5所示的組策略屬性對(duì)話框，選中“已啟用”選項(xiàng)，激活并點(diǎn)下“顯示”按鈕，在其后界面中將那些合法的工作程序添加導(dǎo)入進(jìn)來(lái)。

接著將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“系統(tǒng)”節(jié)點(diǎn)上，找到并用鼠標(biāo)雙擊指定節(jié)點(diǎn)下的“阻止訪問(wèn)命令提示符”組策略，進(jìn)入對(duì)應(yīng)組策略屬性對(duì)話框，選中“已啟用”選項(xiàng)，單擊“確定”按鈕后，就能禁止用戶在DOS命令行窗口執(zhí)行一些危險(xiǎn)的程序或命令了。

此外，從Vista系統(tǒng)開(kāi)始，UAC功能一直在為用戶提供安全攔截功能，但該功能也會(huì)給用戶帶來(lái)麻煩：有些經(jīng)常使用的程序，明明知道是安全的，可每次運(yùn)行它時(shí)，UAC功能總會(huì)重復(fù)彈出攔截提示，讓人感覺(jué)到十分不爽。

為了實(shí)現(xiàn)攔截“例外”效果，我們可以通過(guò)“UAC Trust Shortcut”這款工具，來(lái)為安全的程序創(chuàng)建特殊快捷方式，日后通過(guò)雙擊快捷圖標(biāo)方式，就能跳過(guò)UAC功能的安全攔截了。開(kāi)啟“UAC Trust Shortcut”程序的運(yùn)行狀態(tài)，在“Name”位置處輸入安全程序的快捷圖標(biāo)名稱，按下“Browse”按鈕，彈出文件選擇對(duì)話框，選中并添加安全程序文件，之后點(diǎn)擊“Add Now”按鈕。這個(gè)時(shí)候，就會(huì)在系統(tǒng)桌面上自動(dòng)創(chuàng)建好對(duì)應(yīng)程序的新快捷圖標(biāo)，日后通過(guò)該圖標(biāo)，就能跳過(guò)UAC功能的安全攔截，實(shí)現(xiàn)高效啟動(dòng)運(yùn)行目的了，操作也十分簡(jiǎn)單。