NTFS权限，组策略----------应用教程【图文】【10/21更新】

版主

帖子:1438
注册: 2008-07-06
来自:知识折旧派

发表于： 2008-07-27 12:05 | 只看楼主 短消息资料

字号：小中大 1楼

NTFS权限，组策略----------应用教程【图文】【10/21更新】

2楼使用NTPS权限权限免疫AUTORUN.INF 中毒时另一个临时免疫方法

3 楼 组策略笔记知识点

环境变量，通配符，路径规则优先级

4 楼 组策略应用笔记-----路径规则，散列规则

路径规则模板，实用规则

5楼 应用程序权限的继承 （父子进程的权限继承）

IE浏览器的组策略设置

6 楼 一个狠人的组策略设置分析,据说可以运行病毒不中病毒

7 楼 安全工具被限制的解决方法

8楼组策略中如何增加文件类型（INF等） SYSTEM32目录禁止新建文件与文件夹（能防绝大部分）

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)

天云一剑最后编辑于 2008-10-21 20:39:57

有什么不明白的，请查看置顶贴

版主

帖子:1438
注册: 2008-07-06
来自:知识折旧派

发表于： 2008-07-27 12:12 | 只看楼主 短消息资料

字号：小中大 2楼

回复: NTFS权限，组策略----------应用教程[图文]

使用NTPS权限 彻底免疫AUTORUN.INF
很长一段时间了，自从U盘病毒搬到了硬盘
很多病毒都会在我们磁盘的根目录生成AUTORUN.inf文件，指向病毒自己的程序，我们双击盘符就会运行病毒,就算病毒被杀了，我们还可能出现双击盘符打不开的现象

这是让人很郁闷的情况，那么我在这里拿AUTO病毒彻底免疫，讲一下NTFS权限的实用功能，

我们先看看，对于AUTORUN.INF免疫的历史，以及缺陷:

1.建立AUTORUN.INF文件夹，加上属性

批处理为

c:

md autorun.inf

attrib autorun.inf +s +h +r +a

缺陷：很容易被去掉属性删除目录，然后再创建文件

2.建立AUTORUN.INF文件夹，在里面再建立不可删除的文件夹

批处理为

c:

md autorun.inf

cd autorun.inf

md 免疫目录不要删..\

缺陷：删除不掉的是AUTORUN.INF目录里的“免疫目录不要删..\”目录，删除提示路径错误
这样的目录只有在CMD才可建立，这样病毒删除AUTORUN.INF时会删不掉，创建不了AUTORUN.INF 文件。
但是，AUTORUN.INF可以重命名为AUTORUN.INF22这样的，这样病毒又可以创建文件了
UNLOCKER的技术也能删，

现在，得想出一个完美的方案出来，彻底解决AUTO病毒

2000,XP，以及更新的操作系统都可以修改文件权限
（分区为NTFS才可以，不要忽略了这里，建议大家装新机时，把其它分区也都格式化为NTFS吧）
对于右键属性里没有“安全”的用户

选择“工具--文件夹选项”，“查看”选项卡，把“使用简单文件共享”前的点勾去掉，就可以了

我的只有C盘是NTFS，所以只好在桌面建立一个AUTORUN.INF的文件夹给大家示范

下面右键-属性，点击“安全”标签

再点击高级,弹出下面的窗口

去掉这个勾（权限继承的资料，大家可以网上学习）

这样，没有任何人可以访问这个文件夹了，重命名和双击，都打不开了，删不掉，如果自己想访问，再把勾勾上即可
病毒暂时不会智能到去添加相应用户权限。。。

现在我们可以在每个盘去建立免疫文件夹啦

以上是对于NTFS格式的免疫文件夹的操作，对于现在安全软件建立的文件夹，一般都是上面提到的第二种，
我们也可以按此方法，修改其他免疫文件夹的权限（我相信大家不会没事去访问这些文件夹的,hehe）
配合组策略设置，就可以让根目录的程序都不可运行了
最后，有个极端的设置，就是在安装完所有要用的软件后，不准所有用户写入system32“该文件夹，子文件及文件”（见8楼）

中毒后的临时免疫

结束病毒进程和其它可疑进程（冰刃,RKU,PSNULL等，如果需要，可以尝试用RKU,PSNULL等恢复钩子）,多个进程可以同时结束
在该病毒可执行文件所在目录下，建立批处理123.BAT并运行
123.bat内容如下
attrib XXX.exe -s -h -r
del XXX.exe
md XXX.exe
cacls XXX.exe /d administrators

xxx.exe看情况修改
最后一句命令的意思是拒绝管理员组对“XXX.exe”的访问，（因为怕有守护啥的，批处理比较快，效果和8楼图形操作差不多）
命令帮助：http://baike.baidu.com/view/1051462.htm

本帖被评分 2 次

天云一剑最后编辑于 2008-10-21 21:08:22

有什么不明白的，请查看置顶贴

版主

帖子:1438
注册: 2008-07-06
来自:知识折旧派

发表于： 2008-07-27 12:15 | 只看楼主 短消息资料

字号：小中大 3楼

回复: NTFS权限，组策略----------应用教程[图文]

==============================================================================
组策略的应用笔记

希望大家重视组策略和权限的应用，我们用好权限和组策略，就可以更好地配合杀毒软件，HIPS，防御未知病毒和已知病毒
这里我们以限制系统盘根目录的可执行文件为例子
当然了，如果你有U盘，移动硬盘，根据盘符添加“路径规则”就好了

HOME版,参看猫叔贴子http://bbs.ikaka.com/showtopic-8427987.aspx

开始之前，我们
打开注册表编辑器，展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD，命名为Levels，值设成0x31000

这样我们就可以更好得使用组策略了（增加了几个限制类型）

要设置组策略，先了解下系统环境变量和通配符，以及优先级

环境变量
在C盘为系统盘的情况下：
%USERPROFILE%
表示 C:\Documents and Settings\当前用户名这个文件夹
%ALLUSERSPROFILE%
表示 C:\Documents and Settings\All Users
%APPDATA%
表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%
表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%
表示C:\
%SYSTEMROOT%
表示 C:\WINDOWS
%WINDIR%
表示 C:\WINDOWS
%TEMP% 和 %TMP%
表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%
表示 C:\Program Files
%CommonProgramFiles%
表示 C:\Program Files\Common Files

通配符
?
---------------表示任意单个字符
*
---------------任意个字符（包括0个），但不包括斜杠
**或*?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹

这里是网上的例子：
*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。
*.vbs 匹配
具有此扩展名的任何应用程序。
C:\Application Files\*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录

路径规则优先级:
1.绝对路径 > 通配符相对路径
如 C:\Windows\explorer.exe > *\Windows\explorer.exe

2.文件型规则 > 目录型规则
如若a.exe在Windows目录中，那么 a.exe > C:\Windows
注：如何区分文件规则和目录规则？不严格地说，其区分标志为字符“.”。
例如, *.* 就比 C:\WINDOWS 的优先级要高，如果要排除WINDOWS根目录下的程序，就需要这样做 C:\WINDOWS\*.*
而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。

3.环境变量 = 相应的实际路径 = 注册表键值路径
如 %ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.若两条规则路径等效，那么合成的结果是：从严处理，以最低的权限为准。
如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的” 结果为“C:\Windows\explorer.exe 不允许的

总的来说，就是路径越明显详细，该规则就越优先

本帖被评分 1 次

天云一剑最后编辑于 2008-08-09 14:15:59

有什么不明白的，请查看置顶贴

版主

帖子:1438
注册: 2008-07-06
来自:知识折旧派

发表于： 2008-07-27 12:23 | 只看楼主 短消息资料

字号：小中大 4楼

回复: NTFS权限，组策略----------应用教程[图文]

======================================================================================================================
上面这些了解了以后，我们打开组策略编辑器

4条默认规则说明

整个Windows目录不受限
Windows下的exe文件不受限
System32下的exe文件不受限
整个ProgramFiles目录不受限

我们右键新建

图中使用系统变量，而且是绝对路径，这样的规则优先于下面的这种基于文件名的规则

这里举个例子说明绝对路径的优先性

如果我们只想运行系统盘SYSTEM32下的SVCHOST.exe(防止病毒从其它位置启动一个名为SVCHOST.exe的文件)

就需要添加下面的两个路径规则

规则1：
%SYSTEMROOT%\system32\svchost.exe 或者C:\WINDOWS \system32\svchost.exe
不受限的（绝对路径,优先于下面的规则）

规则2：
Svchost.exe
不允许的（基于文件名）

简单理解，规则1是规则2的例外，对于Explorer.exe, lsass.exe 也需要这样对应设置，主要是路径，千万不要没有例外哦

这样，我们可以利用基于文件名的规则，限制一些仿冒的东西，如下图

注意不要限制*.*.exe这样的因为有些软件带有版本号，比如srengLDR2.0.exe这样就会导致正常软件不能运行
限制双后缀的程序，要更加明确才行，最好是 *.jpg.exe这样添加或者 *.???.exe
当然这样碰见这样的ice2.014.exe的正常程序也会限制
小的我图省事，就把正常程序版本号的点去了。。。我用的就是*.*.exe

路径规则模板：
若要阻止程序从某个文件夹及所有子目录中启动，需要添加的规则应为：
某目录\** 不允许的
某目录\* 不允许的
某目录\ 不允许的
某目录不允许的

只限制某文件夹，不限制子目录，规则为：

实用规则
计划任务禁止：

%SystemRoot%\task 不允许的

防止CHM帮助文档捆毒：

%WinDir%\hh.exe 受限的
%WinDir%\winhelp.exe 受限的
%WinDir%\winhlp32.exe 受限的

U盘规则:U盘盘符:\* 不允许的或不信任的或受限的

证书规则 没用过不说了

散列规则(校验和规则) 通常用来阻止特定文件，主要原理是文件有一个散列值，通过这个，来限制病毒和木马运行
我们可以去下载样本（可别运行啊），在其它规则中，新建散列规则
点击浏览，找到病毒执行文件，设置限制即可

PS：猫叔的解释
校验和规则－－－－根据文件MD5值识别文件的规则。一条校验和规则对N个具有相同MD5值的文件均有效。
路径规则－－－根据路径及文件名识别文件的规则。一般一条明确指出具体路径及文件名的路径规则只对一个特定的文件有效。
注意：
1.“不允许的”级别，你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限
2.“不受限的”级别，不等于完全不受限制，只是不受软件限制策略的附加限制（受父进程权限的限制）
3.C:\Windows\system32\GroupPolicy\Machine\Registry.pol是我们的组策略配置文件，可以备份和共享给他人
4.磁碟机会删除C:\Windows\system32\GroupPolicy\目录
5.对于用户自己安装的软件的规则，按情况添加

看了很多地方的文章，虽然这些真的有点儿复杂，但是这些体会
希望大家能明白
组策略没有防范ARP等的措施，它只是辅助
Windows本身既然有这些功能，为什么如果好好利用配合一下杀软？
那么即可以加强安全防范，又解决了易用性，毕竟瑞星主动防御界面要友好简单得多

在使用瑞星时，相信不是所有的人，对于这些“规则”是什么东西都十分清楚，学习组策略和权限，可以加深对系统的了解，提高防御未知病毒的效果
而且有些规则，简单的使用也有很好的效果
比如猫叔常演示的散列规则，配合主动防御，可以避免一些病毒因操作不当而运行起来，我们就可以冷笑地处理病毒的尸体了
希望大家学习后，更好的使用瑞星主动防御，甚至有很多组策略规则，我们可以直接在主动防御里设置使用
这样，才能真正地做到“防毒”

本帖被评分 1 次

天云一剑最后编辑于 2008-07-27 21:13:26

有什么不明白的，请查看置顶贴

版主

帖子:1438
注册: 2008-07-06
来自:知识折旧派

发表于： 2008-07-27 12:25 | 只看楼主 短消息资料

字号：小中大 5楼

回复: NTFS权限，组策略----------应用教程[图文]

应用程序权限的继承 （父子进程的权限继承）

IE浏览器的组策略设置
（与NTFS文件权限不同）:
这里的讲解默认了一个前提：假设你的用户类型是管理员。

在还没有软件限制策略的情况下，
如果a启动b，那么a是b的父进程，b继承a的权限

现在把a设为基本用户，b不做限制（不对b设置规则）

然后由a启动b，那么b的权限继承于a，也是基本用户，即:
a（基本用户）---> b（不受限的） = b（基本用户）

若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即
a（不受限的）---> b（基本用户） = b（基本用户）

这就是说，一个程序所能获得的最终权限取决于：父进程权限和它自己的最低权限等级
特别注意，复制、创建文件等操作不会构成权限的继承（仅限进程之间的启动）

例：
若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将低于基本用户级。所以就可以达到防范网马的效果——即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只有尸体没机会运行。（我们自己下载的当然不算IE执行的了。。。）

路径规则为：
C:\Program Files\Internet Explorer\iexplore.exe 受限的
配合下列规则，上网更加安全
*\Documents and Settings 不允许的
程序一般不会从Documents and Settings中启动
%APPDATA% 不允许的
当前用户的Application Data根目录限制
%APPDATA%\*\ 不受限的
允许程序从Application Data的子目录启动
%Temp% 不受限的
允许程序从Temp目录启动，安装软件必须
%TMP% 不受限的
允许程序从Temp目录启动，安装软件必须

本帖被评分 1 次

天云一剑最后编辑于 2008-07-27 22:17:29

有什么不明白的，请查看置顶贴

版主

帖子:1438
注册: 2008-07-06
来自:知识折旧派

发表于： 2008-07-27 12:26 | 只看楼主 短消息资料

字号：小中大 6楼

回复: NTFS权限，组策略----------应用教程[图文]

一个狠人的组策略设置分析据说可以运行病毒不中病毒(限制太狠毒，操作会不方便。。。了解下就好 )
PS：裸奔测毒的，可以这样设置

全盘NTFS分区

开始-运行，输入REGEDIT
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
下新建一个DOWRD，命名为Levels，值为0x31000

然后开始-运行，输入GPEDIT.MSC
找到软件限制策略-其他规则
把C:\WINDOWS\explorer.exe设置为受限的,
命令设置好后.结束正在运行的C:\WINDOWS\explorer.exe,然后在重启explorer.exe（任务管理器-文件-新建任务-EXPLORER回车）
运行病毒就可以了,大都不会中病毒
然后点击病毒样本试试.

安装用任务管理器安装就可以正常安装了,这就实现了能运行病毒不中病毒,又能安装了.（运行别的程序时也要用任务管理器运行）
这里推荐装个VSTART，给VSTART添加规则为不受限，只要不做EXPLORER.EXE的子进程就好，我们可以
在注册表Userinit注册键
位置：HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft \Windows NT\ CurrentVersion\ Winlogon\ Userinit
修改为“userinit.exe,vstart50.exe”(不含引号)。

这样就解决了不方便的问题

原理：

C:\WINDOWS\explorer.exe设置为受限的，由于绝大多数程序的父进程都是C:\WINDOWS\explorer.exe，由权限继承可知

这些病毒的权限是小于等于"受限的"，它们就无法对系统进行有害修改，我们看到的都是尸体。。。。。。。。

===============================================================================================================

本帖被评分 1 次

天云一剑最后编辑于 2008-07-29 16:58:44

有什么不明白的，请查看置顶贴

版主

帖子:1438
注册: 2008-07-06
来自:知识折旧派

发表于： 2008-07-27 12:31 | 只看楼主 短消息资料

字号：小中大 7楼

回复: NTFS权限，组策略----------应用教程[图文]

安全工具被限制的解决方法
这里说下，工具的改名问题，现在很多病毒限制SRENG，冰刃等等辅助工具的运行

我们按下面操作

1把狙剑和SRENG的文件改名，存放到SYSTEM32目录下（当然附带的文件夹和其它文件也要放进来）。

2在注册表中添加加载项，注意，可以参考其它加载项的设置，狙剑可以加上启动参数（防止窗口查询，然后启动了马上任务栏勾上防止关机重启）

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT \CurrentVersion \Windows \load
HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft \Windows NT\ CurrentVersion\ Winlogon\ Userinit
(写在逗号后面)
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion\ Policies\ Explorer\ Run
HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft \Windows\ CurrentVersion \Policies\ Explorer\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion\ RunServicesOnce

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows \CurrentVersion \RunServicesOnce
HKEY_CURRENT_USER \Software\Microsoft \Windows \CurrentVersion \RunServices
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices
HKEY_CURRENT_USER \Software \Microsoft\Windows \CurrentVersion \RunOnce\Setup

瑞星卡卡安全论坛技术交流区入侵防御（HIPS） NTFS权限，组策略----------应用教程【图文】【10/21更新】

NTFS权限，组策略----------应用教程【图文】【10/21更新】

NTFS权限，组策略----------应用教程【图文】【10/21更新】

回复: NTFS权限，组策略----------应用教程[图文]

回复: NTFS权限，组策略----------应用教程[图文]

回复: NTFS权限，组策略----------应用教程[图文]

回复: NTFS权限，组策略----------应用教程[图文]

回复: NTFS权限，组策略----------应用教程[图文]

回复: NTFS权限，组策略----------应用教程[图文]