|
前提必须是NTFS分区
方法为,先改注册表
去注册表
运行栏输入REGEDIT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个DOWRD,命名为Levels,值为0x31000
即可
然后去组策略中。
把C:\WINDOWS\explorer.exe设置为受限的,然后运行病毒就可以了,大都不会中病毒
注:命令设置好后.需要重启,或结束正在运行的C:\WINDOWS\explorer.exe,然后在重启explorer.exe
然后点击病毒样本试试.
安装用任务管理器安装就可以正常安装了,这就实现了能运行病毒不中病毒,又能安装了.
只是运行别的程序时要用任务管理器运行.如现在俺正在用的浏览器,就是用任务管理器运行的.
这个方法可以看出了受限用户的权限是如此低的,也看出了组策略强大的继承性
如果实际这样使用很不方便,玩玩还可以.
其实WINDOWS很强大,只是平时大家不去用它的功能而已,如果用好组策略及权限配合一下杀软,那么即解决了安全又解决了易用性。
这方面可去微软官方听讲座,
http://www.microsoft.com/china/t ... /security_2008.mspx
PS:俺一直认为,组策略是杀软最好的搭配之一。
当然如果不在需要安装软件,只需很少的策略规则防进入途径就够了。也不在需要开杀软监控了。只需补丁打好,策略防住病毒入侵途径。结合NTFS权限,日常使用极难中病毒,《因为目前国内常见的病毒,极少有突破权限的》
其实XP很强大,只是大家平时都没去利用它的功能。
基于易用性和安全性的平衡,俺做了个策略防护的例子,《如果不安装软件,应该比较安全,如结合杀软使用就更好了》
首先,
安全方案,易用性是最大的基本原则,要让最大限度保护客户的同时还要让客户不会感觉它的存在,这是安全方案的最终目的。
基于这一理论,做出来的策略规则就简单多了,防进入途径就可以了。日常用的途径就两条,网络及优盘。〈ARP功击不包含在这儿〉
防住网页,QQ,BT P2P,优盘。就防住了99%以上的病毒了
打开组策略的方法:运行栏中输入gpedit.msc.〈注:第一次写完策略规则后需,再开始——运行——gpupdate /force,(/前有一个空格)
刷新一下策略然后重启电脑才开始启作用了〉
如果导入规则出现不良反应,可以用原文件替换回去
安装前备份C:\WINDOWS\system32\GroupPolicy\Machine
若要卸载规则包,删除C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol 这个文件
再开始——运行——gpupdate /force,(/前有一个空格)
刷新一下策略即可。
C:\Documents and Settings\Administrator\Application Data\Opera\Opera\profile\cache4 不允许的 OPER浏览器临时文件夹
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files 不允许的 浏览器临时文件夹
C:\Documents and Settings\All Users\Application Data\thunder_vod_cache 不允许的 迅雷看看
C:\Documents and Settings\All Users\Documents\My BoBoTurbo 不允许的 BOBO电影临时文件夹
C:\Program Files\Internet Explorer\iexplore.exe 受限的
C:\WINDOWS\Downloaded Program Files 不允许的
C:\WINDOWS\ie7updates 不允许的
C:\WINDOWS\Offline Web Pages 不允许的
C:\WINDOWS\Temp 不允许的
---------------------------------------------------------------
以下盘符为你自己所有安装盘,
D:\Program Files\Opera\Opera.exe 基本用户
D:\Program Files\Tencent\QQ\****<QQ号>\CustomFace 不允许的 QQ表情图片临时文件夹
D:\Program Files\Tencent\QQ\******<QQ号>\image 不允许的 QQ表情图片临时文件夹
D:\Program Files\Tencent\TT\TTraveler.exe 基本用户 TT浏览器规则
--------------------------------------------------------------------
以下为个人情况而定.
F:\BT 不允许的 BT下载文件夹
F:\QQ传输的文件夹 不允许的
F:\电影临时文件夹 不允许的 在线电影播放器临时文件夹
注意《每人的优盘符不同,需自己更改,如你是L盘,就是L:\ 不允许的
H:\ 不允许的 防优盘
启动文件夹NTFS权限锁死.另外CMD可以是受限的,《也可以去锁死CMD》 如用IE可以把IE改为基本用户
如想在加一把锁。《其实没什么必要了,因为防了进入口》
在来个NTFS权限,不准所有用户写入system32“该文件夹,子文件及文件”
不准写入Program Files下,只有“该文件夹”
这两条就把很多国内常见的鸽子类弄死了
因大家的使用环境不是一样的,千人千软件,千个入口.所以这个规则只是一个参考而已
微软官方有很好的资料。大家如对策略感兴趣可以去看看 |
|