簡(jiǎn)單技巧加固本本安全

郭建偉

對(duì)于一些本本用戶來說，有時(shí)會(huì)出于各種原因?qū)⒈颈窘杞o別人使用。而別人在使用的時(shí)候，多半會(huì)“隨心所欲”的進(jìn)行各種操作，往往給您的本本帶來各種麻煩。輕則將您精心配置的操作系統(tǒng)搞的面目全非，重則招致病毒的侵襲，讓本本徹底罷工。為了保護(hù)本本安全，為了防止病毒木馬等惡意程序潛人系統(tǒng)興風(fēng)作浪，大家一般都會(huì)使用專業(yè)的防病毒軟件等安全工具加以應(yīng)對(duì)。不過，在很多情況下，僅依靠安全軟件，是無法徹底保護(hù)系統(tǒng)安全的。其實(shí)，在系統(tǒng)中已經(jīng)內(nèi)置了可靠有效的安全工具，無須執(zhí)行復(fù)雜的設(shè)置，就可以有效提高本本的安全性。

使用組策略保護(hù)本本安全

當(dāng)木馬、病毒等惡意程序侵入系統(tǒng)后，大多喜歡在系統(tǒng)文件夾中安身。這樣不僅可以方便快捷地啟動(dòng)，而且和眾多的系統(tǒng)文件混在一起更好地隱藏。更有甚者，病毒還會(huì)將原有的系統(tǒng)程序刪除，并冒名頂替將自身偽裝成合法的程序?？磥?，我們必須設(shè)定嚴(yán)格的安全規(guī)則，不給這些不法之徒以任何可乘之機(jī)。在“cAwindows”“c：＼windows＼system”和”c：＼windows＼system32”等系統(tǒng)路徑中，可以看到到很多系統(tǒng)自帶的程序。一般來說，我們常用的系統(tǒng)程序并不多，例如注冊(cè)表編輯器、CMD命令行程序、外殼程序Explorer.exe、記事本等。因此，我們可以通過創(chuàng)建安全規(guī)則，只允許這些常用的程序可以自動(dòng)運(yùn)行，而禁止其他程序運(yùn)行，就可以巧妙地解決上述問題。

運(yùn)行“gpedit.msc”程序，在組策略窗口中左側(cè)點(diǎn)擊“計(jì)算機(jī)配置”?！癢indows設(shè)置”→“安全設(shè)置”→“軟件限制策略”分支，點(diǎn)擊菜單“操作”→“創(chuàng)建新的策略”項(xiàng)，在右側(cè)窗口的“其他規(guī)則”項(xiàng)的右鍵菜單電點(diǎn)擊“新建路徑規(guī)則”項(xiàng)，在彈出窗口（圖1）的“路徑”欄中輸入“%SYSTEMROOT%＼system32＼*.exe”，在“安全級(jí)別”列表中選擇“不允許”項(xiàng)，確定后完成該規(guī)則的創(chuàng)建操作，禁止運(yùn)行系統(tǒng)路徑下的所有程序。按照同樣的方法創(chuàng)建新的路徑規(guī)則，在新路徑規(guī)則窗口中的“路徑”欄中輸入“%SYSTEMROOT%＼system32＼notepad.exe”，在“安全級(jí)別”列表中選擇“不受限的”。確定后完成該規(guī)則的創(chuàng)建操作，允許記事本程序順利啟動(dòng)。

按照同樣的方法，可以針對(duì)“c八windows＼system32”路徑中的常用程序（例如cmd.exe，regedt32.exe，net.exe，ntbackup.exe等）分別創(chuàng)建允許運(yùn)行的路徑規(guī)則。經(jīng)過以上操作，在系統(tǒng)路徑下只有經(jīng)過我們?cè)士傻某绦虿趴梢皂樌\(yùn)行，其他程序無法啟動(dòng)。即使有病毒潛伏到了該路徑下，也因?yàn)闊o法正常啟動(dòng)而失去破壞力，當(dāng)然，您還可以針對(duì)c：＼windows”等其他系統(tǒng)路徑創(chuàng)建相應(yīng)的路徑規(guī)則，來避免病毒隨意運(yùn)行對(duì)系統(tǒng)進(jìn)行破壞。

使用路徑規(guī)則保護(hù)本本安全

當(dāng)病毒潛人系統(tǒng)后，為了防止用戶在任務(wù)管理器中發(fā)現(xiàn)其行蹤，往往會(huì)對(duì)自身進(jìn)行偽裝，來避開用戶的追查。例如，病毒等不法進(jìn)程往往會(huì)將自身偽裝成系統(tǒng)進(jìn)程，試圖以看似合法的身份活動(dòng)。常見的偽裝手法是取一個(gè)和系統(tǒng)進(jìn)程完全相同的名字（例如“svchost.exe”等），但是病毒程序卻藏身在其他路徑中，例如“C：＼Windows＼AppPatch”等。而正常的系統(tǒng)程序是保存在“c：＼windows＼system32”文件夾中。此外，病毒還會(huì)將其名稱修改的和正常的程序相差無幾，例如“service.exe”“spoolsv.exe”等，使其看起來和系統(tǒng)進(jìn)程很相似，如果不仔細(xì)查看，很容易被其蒙混過關(guān)。為了制服病毒上述伎倆，我們可以通過設(shè)置相應(yīng)的安全規(guī)則來應(yīng)對(duì)。

在任務(wù)管理器中打開“進(jìn)程”面板，勾選“顯示所有用戶的進(jìn)程”項(xiàng)，來查看所有的系統(tǒng)關(guān)鍵進(jìn)程。這里以“svchost.exe”進(jìn)程為例進(jìn)行說明。首先按照上述方法新建一條路徑規(guī)則，在規(guī)則設(shè)置窗口的“路徑”欄中輸入“svchost.exe”，在“安全級(jí)別”列表中選擇“不允許”。之后再創(chuàng)建一個(gè)路徑規(guī)則（圖2），在路徑欄中輸入“%windir%＼system32＼scvhost.exe”，使之指向真正的“svchost.exe”程序，在“安全級(jí)別”欄中選擇“不受限”項(xiàng)。這樣，我們就針對(duì)“scvhost.exe”程序創(chuàng)建了兩條規(guī)則。按照優(yōu)先級(jí)的關(guān)系，第二條使用絕對(duì)路徑的規(guī)則，其優(yōu)先級(jí)大于第一條基于文件名的規(guī)則，這樣，只有系統(tǒng)路徑下的“svchost.exe”程序可以順利運(yùn)行，其他路徑下的假冒“scvhost.exe”程序時(shí)無法運(yùn)行的。按照同樣的方法，對(duì)其他系統(tǒng)關(guān)鍵進(jìn)程分別創(chuàng)建與之類似的安全規(guī)則，就可以確保系統(tǒng)進(jìn)程的純潔性。

使用認(rèn)證策略保護(hù)本本安全

病毒木馬等惡意程序的入侵手法可謂花樣百出，其偽裝的技術(shù)也讓用戶防不勝防。僅‘開常規(guī)的安全技術(shù)，顯然無法對(duì)其進(jìn)行嚴(yán)格有效的控制。對(duì)于很多用戶來說，往往希望只運(yùn)行微軟認(rèn)證的程序，而禁用其他程序，來最大限度的保護(hù)系統(tǒng)安全。可以利用應(yīng)用程序控制策略創(chuàng)建安全規(guī)則，就可以輕松實(shí)現(xiàn)上述要求。運(yùn)行“service.msc”程序，在服務(wù)管理窗口中雙擊“Application Identity”服務(wù)，在其屬性窗口中點(diǎn)擊“啟動(dòng)”按鈕，激活該服務(wù)。

運(yùn)行“gpedit.msc”程序，在組策略窗口左側(cè)點(diǎn)擊“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“應(yīng)用程序控制策略”→“AppLocker”→“可執(zhí)行規(guī)則”項(xiàng)，在右側(cè)空白窗口的右鍵菜單中點(diǎn)擊“創(chuàng)建默認(rèn)規(guī)則”項(xiàng)，之后在窗口空白處的右鍵菜單中點(diǎn)擊“創(chuàng)建新規(guī)則”項(xiàng)，在操作向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，在下一步窗口中的“用戶或組”欄中選擇“Everyone”賬戶，在“操作”欄中選擇“拒絕”項(xiàng)，在下一步窗口（圖3）中選擇“路徑”項(xiàng)，下一步窗口中點(diǎn)擊“瀏覽文件夾”按鈕，選擇“c：＼windows”文件夾，將其作為限制規(guī)則目錄。當(dāng)然，也可以選擇其他的容易被不法程序利用的目錄。

在下一步窗口中的“添加例外”列表中選擇“發(fā)布者”項(xiàng)，在“例外”欄中點(diǎn)擊“添加”按鈕，在彈出窗口中點(diǎn)擊“瀏覽”按鈕，選擇系統(tǒng)自帶的任意一個(gè)程序，例如“c：＼windows＼system32＼verifier.exe”等，這里只是從該程序中提取例外簽名信息。在窗口左側(cè)縱向拖動(dòng)滑塊，將其移動(dòng)至“發(fā)布者”位置，即微軟發(fā)布的可以運(yùn)行的程序信息（圖4）。之后連續(xù)點(diǎn)擊「一步按鈕，按照向?qū)У奶崾就瓿刹僮?，最后點(diǎn)擊“創(chuàng)建”按鈕，返回上述組策略AppLocker可執(zhí)行規(guī)則管理窗口。點(diǎn)擊”AppLocker”節(jié)點(diǎn)，在右側(cè)窗口中點(diǎn)擊“配置規(guī)則強(qiáng)制”鏈接，在彈出窗口（圖5）中的“強(qiáng)制”面板中的“可執(zhí)行規(guī)則”欄中勾選“已配置”項(xiàng)，并選擇“強(qiáng)制規(guī)則”項(xiàng)。點(diǎn)擊確定按鈕并重啟系統(tǒng)，上述限制規(guī)則就被激活了。

之后在“c：＼windows”路徑下只能運(yùn)行微軟發(fā)布的程序，其他來歷的程序?qū)o法運(yùn)行。實(shí)際上，上述限制規(guī)則一旦起效，本機(jī)所有以管理員身份運(yùn)行的程序都會(huì)受到限制，只有“c：＼windows”中的系統(tǒng)程序可以自由運(yùn)行，其他路徑下的程序可以在其右鍵菜單上點(diǎn)擊“以管理員身份運(yùn)行”項(xiàng)，才可以順利啟動(dòng)。當(dāng)您利用組策略精心配制各種安全規(guī)則后，可以將其和好友分享，打開“c：＼windows＼system32＼grouppolicy＼machine”文件夾，將其中的所有文件掃包后發(fā)送給您的好友，對(duì)方只需將其中的所有文件覆蓋到上述文件夾中即可。當(dāng)然，您也可以將這些文件壓縮掃包妥善保存，一旦重裝系統(tǒng)后可以迅速恢復(fù)所有的安全策略，及時(shí)堵住病毒入侵的通道。