RIS2010:“应用程序访问规则”与“系统加固”防护效果的比较
之所以做此比较,是因为与人争论一个问题:既然已经在“系统加固”中选中了“系统目录”防护,是否还有必要在“应用程序访问控制”中设置针对系统目录中某些敏感程序的防护规则。
系统是:XPSP3全补丁。
RIS2010的“系统加固”选项中有一项“系统目录”。
勾选此项,选择“触发规则时提示”。点击“应用”、“确定”。
然后,看看它防止硬连接替换系统文件userinit.exe的防护效果如何:
事先在C盘根目录下创建一个0字节的空文件0.exe。然后,通过下图所示的操作用这个0.exe替换系统目录下的userinit.exe:
整个过程RIS2010无任何提示。
看看系统目录下的userinit.exe,已经被0.exe替换成功:
此userinit.exe就是C盘根目录下事先创建的空文件0.exe:
那就再看看用户自己设置的这条“应用程序访问规则”能否拦截:
再次输入创建硬连接命令,按回车后(图中第三个命令行),RIS2010弹出询问对话框:
点击“阻止”后,看看。硬连接没创建成,防护规则生效。
由此可见:到目前为止,“系统加固”中的“系统目录”防护默认设置并不能防止通过硬连接法替换系统文件;而“应用程序访问规则”中用户自定义的针对fsutil.exe的访问规则可以弥补系统加固这一缺陷。
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
