12   1  /  2  页   跳转

[讨论] 组策略合理限制VBS文件

点击关闭鉴定图章

组策略合理限制VBS文件

刚看到猫叔的文章戏弄.vbs类病毒 ,里面是通过HIPS对wscript.exe做出限制。

谈到如何限制VBS而不影响正常的vbs运行,猫叔说“组策略无法做到“区别对待”(要么限死,要么留下隐患)”

其实我个人认为不然。

完全可以用组策略办到而不需用到第三方安软。

如果禁止?script.exe(指wscript.exe,cscript.exe)运行,这很好办,在软件限制策略里添加%windir%\system32\?script.exe  不允许即可

但这样就没法运行我们需要运行的vbs了

这里有多种方法解决这个矛盾

可以不限制他们安全级别为允许,而限制他们为“基本用户"

XP系统默认的安全级别为“不受限的”与“不允许的”(Vista默认开启了基本用户级别)可以通过修改注册表添加“基本用户”这个级别:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers下添加RG_Dword类型的名为Levels的值,数值数据为20000(十六进制)

刷新后就能显示增加的这个安全级别了。可以将?script.exe设置为“基本用户”

这需要NTFS分区的磁盘辅助,即使运行个vbs病毒了,也没权限向系统文件夹及HKLM下写东西了.....一定程度上可以防范病毒的入侵.....

当然这也有缺陷的,Vista相对来说更安全,其引入了完整性级别机制.......

下面的做法应该效果更佳吧:

在上面把?script.exe设置为“基本用户”的前提下(也可以不对?script.exe做任何限制),对VBS再做限制。
毕竟系统里需要的(一般是第三方程序需要的)VBS文件很少,可以在软件限制策略里特定的vbs排除(比如正常的有%windir%\a.vbs),其他vbs一律不允许运行:
首先运行secpol.msc打开本地安全策略,点击“软件限制策略”,在右边窗口中指派的文件类型中添加vbs文件:





然后选择软件限制策略下的其他规则,右键之,选择“新建路径规则”

添加规则:%windir%\a.vbs不受限的
然后添加 *.vb?不允许的

可以看下试验效果:

双击排除的vbs之外的vbs时:



事件查看器里的:



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; CIBA; MAXTHON 2.0)
本帖被评分 1 次
最后编辑backway 最后编辑于 2009-05-27 23:00:27
分享到:
gototop
 

回复: 组策略合理限制VBS文件

实际上上面运行vbs之前没对?script.exe做任何限制

上面执行过程也就是explorer.exe运行wscript.exe(系统默认调用的是wscript.exe,也可以更改成cscript.exe),然后wscript.exe运行a.vbs,可以看下记录日志:



引用:


explorer.exe (PID = 328) identified C:\Windows\System32\WScript.exe as Unrestricted (不受限的)using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}
wscript.exe (PID = 160) identified C:\Users\backway\Desktop\a.vbs as Disallowed (不允许的)using path rule, Guid = {5f445d61-5b24-4f8a-9d98-582ede3f22ab}


也可以这样试下:



运行排除的vbs时可以正常运行,因为没对它限制。


仅作抛砖引入.......
gototop
 

回复:组策略合理限制VBS文件

嗯...组策略原来有排除的 ....我现在才知道..
gototop
 

回复:组策略合理限制VBS文件

还不错,配合着真可以做到一些需求

但是我发现现在的木马群病毒的部分文件,是应该考虑了组策略以及部分安全软件的防御规则的。

不少是没扩展名就启动为进程,或以字体文件扩展名加载到系统部分进程内。

呵呵!!!

看来安全类软件或一些安全设置靠扩展名来维持安全,也不是很有效的了。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 4F 天月来了 的帖子

其实这也可以配合基本用户以及访问权限来防范.....

比如禁止某文件夹(非windows),可以在权限里不分配给允许“读取和执行”的权限,这样不影响读取权限,对无扩展名程序也管用
gototop
 

回复 5F backway 的帖子

我是没本事设置了

百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:组策略合理限制VBS文件

是啊,仅限制特定扩展名确实不靠谱,一个txt,tmp都可能是可执行文件,靠组策略防范也有缺陷......
gototop
 

回复: 组策略合理限制VBS文件



引用:
原帖由 backway 于 2009-5-28 16:36:00 发表
是啊,仅限制特定扩展名确实不靠谱,一个txt,tmp都可能是可执行文件,靠组策略防范也有缺陷......


散列规则。与文件名后缀无关。
gototop
 

回复 8F baohe 的帖子

嗯,但这只对特定的某个文件,文件夹都不行.....
防范作用不强.....
gototop
 

回复: 组策略合理限制VBS文件



引用:
原帖由 backway 于 2009-5-28 22:09:00 发表
嗯,但这只对特定的某个文件,文件夹都不行.....
防范作用不强.....

不能靠组策略搞掂病毒问题。微软都承认这点。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT