瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » NTFS权限,组策略----------应用教程【图文】【090701更新】
天云一剑 - 2008-7-27 12:05:00
2    使用NTPS权限    权限免疫AUTORUN.INF  中毒时另一个临时免疫方法

3     组策略笔记知识点

环境变量,通配符,路径规则优先级

4     组策略应用笔记-----路径规则,散列规则

路径规则模板,实用规则

5    应用程序权限的继承 (父子进程的权限继承)

IE浏览器的组策略设置

6     一个狠人的组策略设置分析,据说可以运行病毒不中病毒

7 楼  安全工具被限制的解决方法

8楼  组策略中如何增加文件类型(INF等)
    SYSTEM32目录禁止新建文件与文件夹(能防绝大部分)
    利用NTFS权限获取感染样本(20090701)




查漏补缺:
58-64楼 :ie等的问题以及权限继承

原帖由 rstgl 于 2009-1-6 14:30:00 发表
大家可以试试,将services,winlogon,lsass.csrss,smss设为不允许,重启看看这些进程受影响吗?告诉你不会受影响的。这些进程是在组策略加载之前加载的。





 
天云一剑 - 2008-7-27 12:12:00
使用NTPS权限    彻底免疫AUTORUN.INF
很长一段时间了,自从U盘病毒搬到了硬盘
很多病毒都会在我们磁盘的根目录生成AUTORUN.inf文件,指向病毒自己的程序,我们双击盘符就会运行病毒,就算病毒被杀了,我们还可能出现双击盘符打不开的现象

这是让人很郁闷的情况,那么我在这里拿AUTO病毒彻底免疫,讲一下NTFS权限的实用功能,

我们先看看,对于AUTORUN.INF免疫的历史,以及缺陷:


1.建立AUTORUN.INF文件夹,加上属性


批处理为



c:


md autorun.inf


attrib autorun.inf +s +h +r +a


缺陷:很容易被去掉属性删除目录,然后再创建文件



2.建立AUTORUN.INF文件夹,在里面再建立不可删除的文件夹


批处理为


c:


md autorun.inf


cd autorun.inf


md 免疫目录不要删..\


缺陷:删除不掉的是AUTORUN.INF目录里的“免疫目录不要删..\”目录,删除提示路径错误

样的目录只有在CMD才可建立,这样病毒删除AUTORUN.INF时会删不掉,创建不了AUTORUN.INF 文件。
但是,AUTORUN.INF可以重命名为AUTORUN.INF22这样的,这样病毒又可以创建文件了
UNLOCKER的技术也能删,

现在,得想出一个完美的方案出来,彻底解决AUTO病毒

2000,XP,以及更新的操作系统都可以修改文件权限

(分区为NTFS才可以,不要忽略了这里,建议大家装新机时,把其它分区也都格式化NTFS吧)
对于右键属性里没有“安全”的用户

选择“工具--文件夹选项”,“查看”选项卡,把“使用简单文件共享”前的点勾去掉,就可以了

我的只有C盘是NTFS,所以只好在桌面建立一个AUTORUN.INF的文件夹给大家示范



下面右键-属性,点击“安全”标签



再点击高级,弹出下面的窗口



去掉这个勾(权限继承的资料,大家可以网上学习)



这样,没有任何人可以访问这个文件夹了,重命名和双击,都打不开了,删不掉,如果自己想访问,再把勾勾上即可
病毒暂时不会智能到去添加相应用户权限。。。







现在我们可以在每个盘去建立免疫文件夹啦


以上是对于NTFS格式的免疫文件夹的操作,对于现在安全软件建立的文件夹,一般都是上面提到的第二种,

们也可以按此方法,修改其他免疫文件夹的权限(我相信大家不会没事去访问这些文件夹的,hehe
配合组策略设置,就可以让根目录的程序都不可运行了
最后,有个极端的设置,就是在安装完所有要用的软件后,不准所有用户写入system32“该文件夹,子文件及文件(见8楼)


中毒后的临时免疫

结束病毒进程和其它可疑进程(冰刃,RKU,PSNULL等,如果需要,可以尝试用RKU,PSNULL等恢复钩子),多个进程可以同时结束
在该病毒可执行文件所在目录下,建立批处理123.BAT并运行
123.bat内容如下
attrib XXX.exe -s -h -r
del XXX.exe
md XXX.exe
cacls XXX.exe /d administrators


xxx.exe看情况修改
最后一句命令的意思是 拒绝管理员组对“XXX.exe”的访问,(因为怕有守护啥的,批处理比较快,效果和8楼图形操作差不多)
命令帮助http://baike.baidu.com/view/1051462.htm
天云一剑 - 2008-7-27 12:15:00
==============================================================================
组策略的应用笔记

希望大家重视组策略和权限的应用,我们用好权限和组策略,就可以更好地配合杀毒软件,HIPS,防御未知病毒和已知病毒
这里我们以限制系统盘根目录的可执行文件为例子
当然了,如果你有U盘,移动硬盘,根据盘符添加“路径规则”就好了

HOME版,参看猫叔贴子http://bbs.ikaka.com/showtopic-8427987.aspx

开始之前,我们
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,值设成0x31000

这样我们就可以更好得使用组策略了(增加了几个限制类型)



要设置组策略,先了解下系统环境变量和通配符,以及优先级

环境变量
C盘为系统盘的情况下:
%USERPROFILE%
表示 C:\Documents and Settings\当前用户名 这个文件夹
%ALLUSERSPROFILE%
表示 C:\Documents and Settings\All Users
%APPDATA%
表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%
表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%
表示C:\
%SYSTEMROOT%
表示 C:\WINDOWS
%WINDIR%
表示 C:\WINDOWS
%TEMP% %TMP%
表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%
表示 C:\Program Files
%CommonProgramFiles%
表示 C:\Program Files\Common Files

通配符
?
---------------
表示任意单个字符
*
---------------
任意个字符(包括0个),但不包括斜杠
***?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹

这里是网上的例子:
*\Windows 匹配 C:\WindowsD:\WindowsE:\Windows 以及每个目录下的所有子文件夹。
C:\win*
匹配 C:\winntC:\windowsC:\windir 以及每个目录下的所有子文件夹。
*.vbs
匹配
具有此扩展名的任何应用程序。
C:\Application Files\*.*
匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录

路径规则优先级:
1.绝对路径 > 通配符相对路径
C:\Windows\explorer.exe > *\Windows\explorer.exe 

2.
文件型规则 > 目录型规则     
如若a.exeWindows目录中,那么  a.exe > C:\Windows
注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”
例如, *.* 就比 C:\WINDOWS 的优先级要高,如果要排除WINDOWS根目录下的程序,就需要这样做 C:\WINDOWS\*.*
而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。

3.
环境变量 = 相应的实际路径 = 注册表键值路径
%ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.
若两条规则路径等效,那么合成的结果是:从严处理,以最低的权限为准。
“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的结果为“C:\Windows\explorer.exe 不允许的

总的来说,就是路径越明显详细,该规则就越优先
天云一剑 - 2008-7-27 12:23:00
======================================================================================================================
上面这些了解了以后,我们打开组策略编辑器



4条默认规则说明

  整个Windows目录不受限
  Windows
下的exe文件不受限
  System32下的exe文件不受限
 
整个ProgramFiles目录不受限


我们右键新建





图中使用系统变量,而且是绝对路径,这样的规则优先于下面的这种基于文件名的规则

这里举个例子说明绝对路径的优先性

如果我们只想运行系统盘SYSTEM32下的SVCHOST.exe(防止病毒从其它位置启动一个名为SVCHOST.exe的文件)

就需要添加下面的两个路径规则


规则1
%SYSTEMROOT%\system32\svchost.exe 或
C:\WINDOWS \system32\svchost.exe
不受限的  (绝对路径,优先于下面的规则)

规则2
Svchost.exe
不允许的  (基于文件名)

简单理解,规则1是规则2的例外,对于Explorer.exe, lsass.exe 也需要这样对应设置,主要是路径,千万不要没有例外哦



这样,我们可以利用基于文件名的规则,限制一些仿冒的东西,如下图



注意不要限制*.*.exe这样的因为有些软件带有版本号,比如srengLDR2.0.exe这样就会导致正常软件不能运行
限制双后缀的程序,要更加明确才行,最好是 *.jpg.exe这样添加或者 *.???.exe
当然这样碰见这样的ice2.014.exe的正常程序也会限制
小的我图省事,就把正常程序版本号的点去了。。。我用的就是*.*.exe

路径规则模板:
若要阻止程序从某个文件夹及所有子目录中启动,需要添加的规则应为
某目录\** 不允许的
某目录\*  不允许的
某目录不允许的
某目录  不允许的

只限制某文件夹,不限制子目录,规则为:

某目录  不允许的
某目录\*\  不受限的





实用规则
计划任务禁止:

%SystemRoot%\task    不允许的



防止CHM帮助文档捆毒:

%WinDir%\hh.exe    受限的 
%WinDir%\winhelp.exe   
受限的
%WinDir%\winhlp32.exe   
受限的


 

U盘规则:
U
盘盘符:\*        不允许的或不信任的或受限的


证书规则  没用过不说了

散列规则(校验和规则) 通常用来阻止特定文件,主要原理是文件有一个散列值,通过这个,来限制病毒和木马运行
我们可以去下载样本(可别运行啊),在其它规则中,新建散列规则
点击浏览,找到病毒执行文件,设置限制即可

PS:猫叔的解释
校验和规则----根据文件MD5值识别文件的规则。一条校验和规则对N个具有相同MD5值的文件均有效。
路径规则---根据路径及文件名识别文件的规则。一般一条明确指出具体路径及文件名的路径规则只对一个特定的文件有效。
注意:
1.“不允许的级别,你可以对一个设定成不允许的文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限
2.“
不受限的级别,不等于完全不受限制,只是不受软件限制策略的附加限制(受父进程权限的限制)
3.C:\Windows\system32\GroupPolicy\Machine\Registry.pol是我们的组策略配置文件,可以备份和共享给他人
4.磁碟机会删除C:\Windows\system32\GroupPolicy\目录
5.对于用户自己安装的软件的规则,按情况添加

看了很多地方的文章,虽然这些真的有点儿复杂,但是这些体会
希望大家能明白
组策略没有防范ARP等的措施,它只是辅助
Windows本身既然有这些功能,为什么如果好好利用配合一下杀软?
那么即可以加强安全防范,又解决了易用性,毕竟瑞星主动防御界面要友好简单得多

在使用瑞星时,相信不是所有的人,对于这些“规则”是什么东西都十分清楚,学习组策略和权限,可以加深对系统的了解,提高防御未知病毒的效果
而且有些规则,简单的使用也有很好的效果
比如猫叔常演示的散列规则,配合主动防御,可以避免一些病毒因操作不当而运行起来,我们就可以冷笑地处理病毒的尸体了
希望大家学习后,更好的使用瑞星主动防御,甚至有很多组策略规则,我们可以直接在主动防御里设置使用
这样,才能真正地做到“防毒”

天云一剑 - 2008-7-27 12:25:00
应用程序权限的继承 (父子进程的权限继承)

IE浏览器的组策略设置
(与
NTFS文件权限不同):
这里的讲解默认了一个前提:假设你的用户类型是管理员。

在还没有软件限制策略的情况下,
如果a启动b,那么ab的父进程,b继承a的权限

现在把a设为基本用户,b不做限制(不对b设置规则)

然后由a启动b,那么b的权限继承于a,也是基本用户,即:
a
(基本用户)---> b(不受限的) = b(基本用户)

若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即
a
(不受限的)---> b(基本用户) = b(基本用户)

这就是说,一个程序所能获得的最终权限取决于:父进程权限它自己的最低权限等级
特别注意,复制、创建文件等操作不会构成权限的继承(仅限进程之间的启动)


若我们把IE设成基本用户等级启动,
路径规则为:
C:\Program Files\Internet Explorer\iexplore.exe 受限的
那么由IE执行的任何程序的权限都将低于基本用户级。所以就可以达到防范网马的效果——即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只有尸体没机会运行。(理论上)
关于浏览器 见此处http://bbs.ikaka.com/showtopic-8528742-3.aspx#9281804



配合下列规则
*\Documents and Settings  不允许的
程序一般不会从Documents and Settings中启动
%APPDATA%               
不允许的
当前用户的Application Data根目录限制
%APPDATA%\*\             
不受限的
允许程序从Application Data的子目录启动
%Temp%                     
不受限的
允许程序从Temp目录启动,安装软件必须
%TMP%                     
不受限的     
允许程序从Temp目录启动,安装软件必须


天云一剑 - 2008-7-27 12:26:00
一个狠人的组策略设置分析据说可以运行病毒不中病毒(限制太狠毒,操作会不方便。。。了解下就好 )
PS:裸奔测毒的,可以这样设置

全盘NTFS分区


开始-运行,输入REGEDIT
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个DOWRD,命名为Levels,值为0x31000



然后开始-运行,输入GPEDIT.MSC
找到软件限制策略-其他规则
C:\WINDOWS\explorer.exe设置为受限的,
命令设置好后.结束正在运行的C:\WINDOWS\explorer.exe,然后在重启explorer.exe(任务管理器-文件-新建任务-EXPLORER回车)
运行病毒就可以了,大都不会中病毒
然后点击病毒样本试试.

安装用任务管理器安装就可以正常安装了,这就实现了能运行病毒不中病毒,又能安装了.(运行别的程序时也要用任务管理器运行)
这里推荐装个VSTART,给VSTART添加规则为不受限,只要不做EXPLORER.EXE的子进程就好,我们可以
在注册表Userinit注册键
位置:HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft \Windows NT\ CurrentVersion\ Winlogon\ Userinit
修改为“userinit.exe,vstart50.exe(不含引号)


这样就解决了不方便的问题



原理:


C:\WINDOWS\explorer.exe设置为受限的,由于绝大多数程序的父进程都是C:\WINDOWS\explorer.exe,由权限继承可知

这些病毒的权限是 小于等于"受限的",它们就无法对系统进行有害修改,我们看到的都是尸体。。。。。。。。




===============================================================================================================
天云一剑 - 2008-7-27 12:31:00
安全工具被限制的解决方法
这里说下,工具的改名问题,现在很多病毒限制SRENG,冰刃等等辅助工具的运行

我们按下面操作                 

1狙剑和SRENG的文件改名,存放到SYSTEM32目录下(当然附带的文件夹和其它文件也要放进来)。

2在注册表中添加加载项,注意,可以参考其它加载项的设置,狙剑可以加上启动参数(防止窗口查询,然后启动了马上任务栏勾上防止关机重启)

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT \CurrentVersion \Windows \load
HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft \Windows NT\ CurrentVersion\ Winlogon\ Userinit
(
写在逗号后面)
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion\ Policies\ Explorer\ Run
HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft \Windows\ CurrentVersion \Policies\ Explorer\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion\ RunServicesOnce

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows \CurrentVersion \RunServicesOnce
HKEY_CURRENT_USER \Software\Microsoft \Windows \CurrentVersion \RunServices
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices
HKEY_CURRENT_USER \Software \Microsoft\Windows \CurrentVersion \RunOnce\Setup
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnce\Setup

**
这里放弃启动文件夹和RUN键,浅蓝色为仅启动一次

3重启
4使用工具开始清理




附件是修改过的SRENG





附件: SEV2-R11.rar
天云一剑 - 2008-7-27 21:28:00
测试了下,EXPLORER.EXE权限设置为受限的,配合VSTART,果然很爽,哇卡卡卡


增加新的文件类型



然后就可以在规则中使用该扩展名了


DLL、SYS、DAT、NLS  INF都添上吧



还有就是,DLL还要一步




对于大多数加载驱动的毒,如果保护好了注册表中组策略相关项,还是可以用此法限制加载的
我们把病毒的EXE,DLL,BAT,DAT,SYS啥的都放进散列规则,重启后,大部分就可以删除了



SYSTEM32文件夹限制新建文件和文件夹



还是权限

**高级中会出现两个管理员组条目,一个是阻止的,阻止优先于另一条目

我也不装软件了,装的软件也很少在SYSTEM32目录或其子目录,新建文件文件夹

就禁止了,防止下载者,下载器,到该目录生娃娃

PS:这里是考虑该装的都装完的情况

安装会在该目录释放文件的软件以及安装包时,需要删除阻止那条,装完再设置



利用NTFS权限获取感染样本

1 准备感染型病毒,以及期望获取的各类型被感染样本(PE,HTML,JSP,DOC等等),放在一个新分区(或者清空一个盘)
2 将除了系统盘(如C盘)和待感染盘以外的分区,用权限,拒绝所有操作
3 安装一款增量备份还原软件,创建系统分区的进度
4 运行感染型病毒
5 重启,增量备份还原软件将系统分区还原
6 将权限设为所有都拒绝的分区改回完全控制
7 到新分区拿被感染样本
超级游戏迷 - 2008-7-28 22:17:00
从入侵防御版块抢来一个好帖子,呵呵呵呵
古逢秋 - 2008-7-29 13:30:00
好厉害
风的风水的水 - 2008-7-29 18:23:00
厉害 学习了 多谢:default6:
tansuo - 2008-7-29 20:47:00
学习了
wysiwys - 2008-7-30 11:39:00
一剑好强啊:default7:
小九的寒 - 2008-7-31 11:34:00


引用:
原帖由 天云一剑 于 2008-7-27 12:26:00 发表
一个狠人的组策略设置分析据说可以运行病毒不中病毒(限制太狠




我想问一下vstart50.exe这个程序是什么?为什么要在userinit后面加vstart50.exe
天云一剑 - 2008-7-31 16:04:00
VSTART是个启动其它程序的东西,可以不在USERINIT那添,想办法让它不是由EXPLORER.EXE启动就好了,这样由VSTART启动的程序不受限
其实就跟用任务管理器启动一样,只是我们老用任务管理器启动会很麻烦的
小九的寒 - 2008-7-31 16:18:00
是音速启动吧!
知道了
叶陵君 - 2008-7-31 19:46:00
:default6:  虽然都看懂了,操作起来可能有点陌生,回头试验下。感谢楼主的分享!
姑苏残月 - 2008-8-1 16:38:00
帖子很强。
个人感觉,其实微软的系统本身就可以设置的相当强大,既不影响日常应用,又可以起到安全防护的作用。只是确实操作起来太复杂了,一般的小高手都无法应用熟练。于是,有了杀软等第三方软件的市场。
地区性 - 2008-8-1 20:44:00
开始-运行,输入REGEDIT
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个DOWRD,命名为Levels,值为0x31000

这个有什么用?
天云一剑 - 2008-8-1 20:48:00


引用:
原帖由 地区性 于 2008-8-1 20:44:00 发表
开始-运行,输入REGEDIT
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个DOWRD,命名为Levels,值为0x31000

这个有什么用?



  这个增加了限制类型,正常下只有
不允许的
不受限的
这两个,仅有两个操作不太灵活
叶陵君 - 2008-8-1 23:57:00
:default6:  我感觉微软那个IP策略弄的挺复杂的,那么几步的东西绕来绕去
地区性 - 2008-8-2 21:12:00


引用:
原帖由 天云一剑 于 2008-8-1 20:48:00 发表


引用:
原帖由 地区性 于 2008-8-1 20:44:00 发表
开始-运行,输入REGEDIT
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个DOWRD,命名为Levels,值为0x31000

这个有什么用?



还可以加入什么?
happysunday2003 - 2008-8-2 22:08:00
俺来支持你
天云一剑 - 2008-8-2 22:21:00


引用:
原帖由 地区性 于 2008-8-2 21:12:00 发表
[quote] 原帖由 天云一剑 于 2008-8-1 20:48:00 发表
[quote] 原帖由 地区性 于 2008-8-1 20:44:00 发表
开始-运行,输入REGEDIT
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个



建议你新增一下注册表中此值
然后再打开组策略看一下~呵呵,这个设置没什么影响,操作实践一下
椰子比尔 - 2008-8-3 7:00:00
兄弟你那真的可以吗???
然后开始-运行,输入GPEDIT.MSC
找到软件限制策略-其他规则
把C:\WINDOWS\explorer.exe设置为受限的,
命令设置好后.结束正在运行的C:\WINDOWS\explorer.exe,然后在重启explorer.exe(任务管理器-文件-新建任务-EXPLORER回车)
运行病毒就可以了,大都不会中病毒
然后点击病毒样本试试.

????????????????????????
为什么我的机子不行呀!
等我把:c:\windows\explorer.exe
设置为不充许的了,再从任务管理器里面运行就提示不能运行了呀!
真晕死!
不知道是谁想出来的鬼招!
天云一剑 - 2008-8-3 11:17:00


引用:
原帖由 椰子比尔 于 2008-8-3 7:00:00 发表
兄弟你那真的可以吗???
然后开始-运行,输入GPEDIT.MSC
找到软件限制策略-其他规则
把C:\WINDOWS\explorer.exe设置为受限的,
命令设置好后.结束正在运行的C:\WINDOWS\explorer.exe,然后在重启explorer.exe(任务......




你没有看前头吧,先改注册表,增加“受限的”等限制类型,然后设置为受限的才行
不允许的就是运行不了。。。当然会很意外了
中分 - 2008-8-5 8:26:00
:default5: 时间,,等下来看.
【michael】 - 2008-8-6 2:56:00
可惜 我的是家庭版 哎~~~~  是该考虑换版本的时候了
123r - 2008-8-6 11:30:00
学习了
叶陵君 - 2008-8-7 22:25:00
系统自带的FD和AD要好好利用。不过有些地方的设置还是不如现在HIPS软件来的方便。
1234
查看完整版本: NTFS权限,组策略----------应用教程【图文】【090701更新】