组策略合理限制VBS文件
刚看到猫叔的文章
戏弄.vbs类病毒 ,里面是通过HIPS对wscript.exe做出限制。
谈到如何限制VBS而不影响正常的vbs运行,猫叔说“组策略无法做到“区别对待”(要么限死,要么留下隐患)”
其实我个人认为不然。
完全可以用组策略办到而不需用到第三方安软。
如果禁止?script.exe(指wscript.exe,cscript.exe)运行,这很好办,在软件限制策略里添加%windir%\system32\?script.exe 不允许即可
但这样就没法运行我们需要运行的vbs了
这里有多种方法解决这个矛盾
可以不限制他们安全级别为允许,而限制他们为“基本用户"
XP系统默认的安全级别为“不受限的”与“不允许的”(Vista默认开启了基本用户级别)可以通过修改注册表添加“基本用户”这个级别:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers下添加RG_Dword类型的名为Levels的值,数值数据为20000(十六进制)
刷新后就能显示增加的这个安全级别了。可以将
?script.exe设置为“基本用户”
这需要NTFS分区的磁盘辅助,即使运行个vbs病毒了,也没权限向系统文件夹及HKLM下写东西了.....一定程度上可以防范病毒的入侵.....
当然这也有缺陷的,Vista相对来说更安全,其引入了完整性级别机制.......
下面的做法应该效果更佳吧:
在上面把?script.exe设置为“基本用户”的前提下(也可以不对?script.exe做任何限制),对VBS再做限制。
毕竟系统里需要的(一般是第三方程序需要的)VBS文件很少,可以在软件限制策略里特定的vbs排除(比如正常的有%windir%\a.vbs),其他vbs一律不允许运行:
首先运行secpol.msc打开本地安全策略,点击“软件限制策略”,在右边窗口中指派的文件类型中添加vbs文件:
然后选择软件限制策略下的其他规则,右键之,选择“新建路径规则”
添加规则:%windir%\a.vbs不受限的
然后添加
*.vb?不允许的可以看下试验效果:
双击排除的vbs之外的vbs时:
事件查看器里的:
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; CIBA; MAXTHON 2.0)
