软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防
目前,涉及VBS、VBE、JSE类的恶意程序比较流行。
为防止这些恶意程序搞鬼,我又想到了WINDOWS的“软件限制策略”。
基本思路是:通过设置“软件限制策略”,区别对待系统/正常程序的VBS、VBE、JSE与其它(恶意)程序的VBS、VBE、JSE。允许前者运行;禁止后者运行。
我的系统是WIN7。基本步骤如下:
1、先了解一下自己系统的基本情况(用系统自带的搜索工具搜索系统及正常应用程序的相关程序)
(1)涉及系统及正常应用程序的VBS有不少(图1),
但可简单地归为以下几种(类):
F:\Program Files\Microsoft Office\Office14\OSPP.VBS
F:\Windows\System32\gatherNetworkInfo.vbs
F:\Windows\System32\Printing_Admin_Scripts\zh-CN\*.VBS
F:\Windows\System32\slmgr.vbs
F:\Windows\System32\wimrm.vbs
(2)VBE:没有(图2)
(3)JSE:没有(图3)
2、在摸清系统相关程序的前提下,通过组策略编辑设置“软件限制策略”,区别对待系统及正常应用程序与其它程序涉及的VBS、VBE、JSE。
(1)在“软件限制策略”的“指定的文件类型”中添加VBS、VBE、JSE(图4-图5)
(2)在“软件限制策略”中 设置路径规则:涉及系统及正常应用程序VBS————允许;其它的VBS——不允许(图6)
(3)至于VBE、JSE类,一般用户根本就用不着。“软件限制策略”一律设置为“不允许”。(图6)
3、至于如何防止恶意程序删除已经设置好的“软件限制策略”,完全可以通过安全软件(RIS2010 等),设置相应规则,予以保护。以前已经谈过。不再赘述。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.24 Version/10.53
