hips是host-based intrusion prevention system的簡稱,即基於主機的入侵防禦系統。和常規防毒軟體相比,hips是一款主動防禦系統。它以程序為核心,通過編輯特定的規則,對程序行為,如執行、訪問網路、訪問登錄檔、訪問檔案等進行監控,發現異常即給以阻止,可以更有效保護系統安全。
適合windows 7使用的hips類軟體較少。其實,根據hips原理,運用系統組策略,我們自己也可以打造乙個hips安全系統。
實戰1:阻止惡意程式在系統目錄下執行
現在很多惡意軟體都是隱藏在c:\windows和c:\windows\system32下,這樣一方面可以實現快捷啟動(系統目錄內程式可以通過命令列直接執行),另一方面則可以達到魚目混珠的目的,比如將檔名稱偽裝為系統程式,避免被使用者發現。
現在通過制定特殊規則即可有效阻止惡意程式的執行。
1.阻止木馬在c:\windows目錄下執行。
第1步:分析目錄狀況。開啟c:
\windows,點選「檢視→排序→按型別」,可以看到該目錄下可執行程式並不多,我們常用的程式則只有資源管理器)、登錄檔編輯器)和三個,因此要阻止其他惡意程式在該目錄下執行,我們只要制定乙個禁止從c:\windows下執行任何程式(除上述三個之外)規則即可。
第2步:建立限制策略。在開始搜尋框輸入按回車鍵啟動組策略後依次展開「計算機配置/windows設定/安全設定/軟體限制策略」,然後單擊選單欄的「操作→建立軟體限制策略」,新建乙個策略。
接著在「其他規則」上右擊選擇「新建路徑規則」,在彈出的視窗路徑框輸入「%systemroot%\*.exe」(即禁止該目錄下執行任何應用程式),安全級別選擇「不允許」(圖1)。
第3步:繼續新建規則,在彈出的視窗路徑框輸入「%systemroot%\安全級別選擇「不受限」,即允許執行登錄檔編輯程式。方法同上,依次新增自己允許執行程式的名稱。
通過上述設定後,以後如果有病毒程式藏身在c:\windows目錄下試圖執行,就會遭到軟體限制策略的攔截而無法執行(自己設定不受限的程式不受影響),有效保護系統目錄不再成為病毒、木馬的藏身之處(圖2)。
2.阻止木馬在c:\windows\system32下執行,同時對系統關鍵程序進行保護。
除了上述目錄外,c:\windows\system32也是病毒木馬喜愛的藏身之處。我們同樣可以使用建立規則的方法阻止木馬執行,並且可以對系統關鍵程序進行保護。
比如很多木馬是通過偽裝成系統程序的名稱藏身於此,偽裝途徑主要有兩種:
一是直接使用系統程序的名稱如但是藏身在system32下的其他子目錄(因為同乙個檔案下不允許有同名檔案)。
二是使用類似不是木馬將i替換為阿拉伯數字1))名稱藏身於system32。
對於這些木馬,我們可以首先建立一條允許規則,允許執行系統必須的正常程序如具體程序可以開啟任務管理器,切換到「顯示所有使用者程序」後檢視)。接著再使用萬用字元建立不允許執行的程序,如限制csrss.* (.
* 表示任意字尾名,這樣就涵蓋了bat、com 等等可執行的字尾)、lass.*等不允許執行,具體設定可以參考正常程序列表程式。這樣那些偽裝成系統程序的木馬就不會執行了。
3.拒絕所有非微軟程序在系統目錄下的執行。
上述方法雖然簡單,但是由於規則的限制,我們不可能將所有木馬都攔截。因為木馬的名稱千變萬化,僅靠簡單的規則總是會有些新型或者變種木馬漏網。對於系統安全有較高要求的使用者,還可以利用應用程式控制策略建立規則,阻止所有非微軟程序的啟動。
第1步:右擊桌面「計算機」, 依次選擇「管理→服務」,找到「application identity」服務並設為自動啟動。接著同上啟動組策略編輯器,依次展開「計算機配置→windows設定→安全設定→應用程式控制策略→applocker→可執行規則」,右擊「可執行規則」選擇「建立預設規則」。
第2步:建立預設規則後,繼續右擊「可執行規則」選擇「建立新規則」,在開啟的建立嚮導選擇預設「everyone」賬戶執行許可權為「拒絕」,然後在「條件」選項選擇「路徑」,選擇系統目錄「c:\windows」作為限制規則目錄(圖3)。
第3步:繼續單擊「下一步」,新增例外下選擇「發布者」,然後單擊「瀏覽」選擇任意乙個系統自帶程式如「c:\program files\*** maker\只是從從該程式提取例外簽名資訊),在例外設定中拉動滑塊到「發布者」,也就是微軟發布的程式是可以執行的(圖4)。
第4步:剩下的操作按螢幕提示完成規則的建立即可,最後返回「applocker」介面,單擊左側窗格「配置規則強制」,然後在開啟的視窗勾選「可執行規則」下的「已配置」,選擇「強制規則」,重啟後限制規則就開始生效了。建立上述限制規則後,以後在「c:
\windows」下執行的程式如果發布者不是微軟公司,那麼就無法執行,系統會提示該程式已經被系統組策略限制。
小提示:
啟用上述限制後,本機所有需要以管理員身份執行的程式都會受到限制(不過由於「例外」設定的存在,系統自帶程式是可以正常執行的),對於非系統目錄的受限程式,只要右擊選擇「以管理員身份執行」即可正常啟動(但是系統目錄的除外)。對於具體程式的限制,則可以使用檔案雜湊值進行限制。
實戰2:保護上網安全
木馬病毒乙個重要入侵途徑就是借助網路,在瀏覽惡意網頁時,病毒會首先**到ie快取以及系統臨時資料夾中,並自動執行,造成系統染毒。這樣我們只要設定一項規則阻止指定目錄木馬限制執行即可。操作同上,在軟體限制策略新增下列目錄內的程式不允許執行即可:
%systemroot%\temp\**\*.exe 不允許的(系統臨時資料夾,病毒經常**到此目錄執行)
%userprofile%\appdata\local\microsoft\windows\temporary internet files\**\*.exe 不允許的 (這個是ie快取、歷史記錄、臨時檔案所在位置,網上**病毒藏身位置)
更多設定
通過上述例項介紹,相信大家也知道限制策略實際上主要使用通過設定不受限(允許正常程序執行)和不允許(限制指定程式執行)規則來達到目的的。因此大家可以根據自己實際需要設定更多的規則來保護電腦。比如要預防要防止u盤病毒的入侵,只要設定如下規則即可,大家可以舉一反三設定更多規則來保護自己的系統:
?:\ 不允許的
?:\*.* 不允許的
規則的重用與共享
軟體限制策略的使用原理雖然簡單,但是規則具體設定卻需要掌握一定電腦知識,我們可以將自己電腦上設定好的規則檔案和好友共享。完成規則的設定後,將「c:\windows\system32\grouppolicy\machine」目錄打包上傳,使用者只要**該檔案後覆蓋到上述目錄替換源目錄即可。
其實,我們也可以儲存好規則檔案,如果有一天重灌系統,直接呼叫這些檔案,就無需再重新設定策略了,非常方便。
如何自己動手來修車
去維修店修車既麻煩又費錢。怎樣自己動手檢查和維修自己的愛車呢?一 修車應該注意點什麼 1 忌 汽車開鍋時貿然開引擎蓋 2 忌 將壞車停在半坡維修 3 忌 在路邊維修車輛不放警示標誌 4 忌 不通風的車庫內長時間運 動機 5 忌 油管堵塞用嘴吸油管上海駕校 二 發生汽車故障不要著急 1 如何避免鼓包現...
自己動手解決車燈暗淡
03 8 16 11 42 出處 pcauto責任編輯 firefly作者 專業汽修網 入秋以後,黑夜漸長,司機使用燈光越來越頻繁。如果燈光不全,只好去修理站修理,但是燈光也有,就是不算很亮,花很多時間精力去修理站就不划算了。黑夜燈光不亮同樣存在事故隱患,不可等閒,一些小毛病,自己動手完全可以解決。...
自己動手的「宜家效應」
有人說,宜家就像是成年人的巨大玩具城堡。為什麼我們喜歡買需要自己動手組裝的宜家家具呢?因為人們自己製作產品時,會產生對這一產品的依戀感和自豪感,這就是 宜家效應 theikeaeffect iswhenpeoplebuyandthenconstructproductsthemselves,they ...