Tiny之比较BT的防护设置
一、系统背景:
电脑是纽曼朗月A,比较低端的配置。
系统是XPSP3。系统及应用程序均安装在C盘。
安装完系统及应用程序后,用tuneup2009整理系统分区,RIS2010全盘查杀一遍。无毒,即刻开始Tiny的设置。
二、防护方案的主旨:
本机程序经过安全检验无问题,因此一律注册到Trusted组;常被病毒利用的系统程序注册到OS_Critical组。
Trusted组可以启动任何程序(包括OS_Critical组的程序),其它程序不能启动任何程序。
对Trusted组内程序的文件访问、注册表操作、DLL加载、服务操作、系统权限的获取等不加限制。
禁止其它程序的文件访问、注册表操作、DLL加载、服务操作、系统权限的获取。
三、防护方案的实现:
1、C盘中安装的应用程序:
图0
2、程序分组:
(1)Trusted(信任组):包含C盘内的所有.exe程序
(2)Os_Critical(操作系统关键程序):包括cmd.exe、cacls.exe、fsutil.exe、format.com、cscript.exe、wscript.exe等病毒常利用的系统程序。
这步操作需细致、耐心。不要搞错。需要注册的程序虽多,但Tiny支持批量注册,实际操作并不困难。
图1-图2
3、Tiny规则设置————程序启动控制
图3
4、Tiny规则设置————文件访问控制
图4
5、Tiny规则设置————注册表操作控制
图5
6、Tiny规则设置————库文件加载控制
图6
7Tiny规则设置————服务操作控制
图7
8、Tiny规则设置————系统权限控制
图8
9、Tiny规则设置————设备访问控制
图9
四、用户的使用及其防护效果:
遇到非本机程序启动,Tiny均弹出对话框询问。此时用户若对该程序的安全性不了解,可以选择“以其自身的安全特性运行”或以“追踪回滚模式”运行(为安全起见,追踪回滚运行非本机程序时,一律在全影子模式系统下进行)。这样的程序只在Tiny中注册,但不会进入任何程序组。
经过追踪回滚查清程序的安全性后,若是正常程序,可以注册到Trusted组;若是病毒木马,选择“以其自身的安全特性运行“时,基本无法运行。(测试了1个多月,各种近期流行的病毒样本近150个。)
注册为Trusted的所有程序均可正常运行。
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
