发表于: 2007-01-17 11:28 | 只看楼主 短消息 资料
字号: 1楼

用软件策略阻止流氓软件和病毒

1.控制面板——管理工具——本地安全策略——软件限制策略——其他规则

2.在新建路径规则里添加下面这些规则(这些是我电脑的设置,操作系统为Windows 2003,供参考)
C:\Documents and Settings\Administrator\Local Settings\Temp\*\*.exe    路径    不允许的       
C:\windows\*.dll    路径    不允许的       
C:\WINDOWS\system32\vdll.dll    路径    不允许的       
C:\*.dll    路径    不允许的       
C:\Program Files\*.exe    路径    不允许的       
C:\Documents and Settings\Administrator\Local Settings\Temp\*.dll    路径    不允许的       
f:\*.exe    路径    不允许的       
C:\WINDOWS\*.exe    路径    不允许的       
D:\Program Files\*.exe    路径    不允许的       
C:\Documents and Settings\Administrator\Local Settings\Temp\*.com    路径    不允许的        2007-1-6  14:46:20
d:\*.exe    路径    不允许的       
c:\*.exe    路径    不允许的       
C:\Documents and Settings\Administrator\Local Settings\Temp\*.scr    路径    不允许的       
C:\Documents and Settings\Administrator\Local Settings\Temp\*.pif    路径    不允许的       
e:\*.exe    路径    不允许的       
C:\Documents and Settings\Administrator\Local Settings\Temp\*.bat    路径    不允许的       
c:\*.bat    路径    不允许的       
C:\WINDOWS\logo1_.exe    路径    不允许的       
C:\Documents and Settings\Administrator\Local Settings\Temp\*.ocx    路径    不允许的       
C:\WINDOWS\log*.exe    路径    不允许的       
C:\WINDOWS\logo1.exe    路径    不允许的       
c:\*.com    路径    不允许的       
C:\WINDOWS\system32\rundl132.exe    路径    不允许的       
C:\Documents and Settings\Administrator\Local Settings\Temp\*.exe    路径    不允许的       
C:\WINDOWS\rundl132.exe    路径    不允许的       
h:\*.exe    路径    不允许的       
g:\*.exe    路径    不允许的       
C:\WINDOWS\vdll.dll    路径    不允许的       
C:\WINDOWS\uninstall    路径    不允许的       
c:\windows\twunk_16.exe    路径    不受限的       
c:\windows\RSBDBACKUP.DLL    路径    不受限的       
C:\WINDOWS\regedit.exe    路径    不受限的       
c:\windows\winhlp32.exe    路径    不受限的       
c:\windows\jview.exe    路径    不受限的       
c:\windows\twunk_32.exe    路径    不受限的       
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe    路径    不受限的       
c:\windows\dialer.exe    路径    不受限的       
c:\windows\clspack.exe    路径    不受限的       
c:\windows\IsUninst.exe    路径    不受限的       
c:\windows\setdebug.exe    路径    不受限的       
C:\NTDETECT.COM    路径    不受限的       
c:\windows\extrac32.exe    路径    不受限的       
c:\windows\twain_32.dll    路径    不受限的       
c:\windows\vmmreg32.dll    路径    不受限的       
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%    路径    不受限的       
c:\windows\soundman.exe    路径    不受限的       
c:\windows\alcupd.exe    路径    不受限的       
c:\windows\hh.exe    路径    不受限的       
c:\windows\winhelp.exe    路径    不受限的       
c:\windows\notepad.exe    路径    不受限的       
c:\windows\twain.dll    路径    不受限的       
c:\windows\explorer.exe    路径    不受限的       
C:\WINDOWS\alcrmv.exe    路径    不受限的       
c:\windows\alcrmv.exe    路径    不受限的       
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%    路径    不受限的       
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe    路径    不受限的   
   
3.以上规则说明:
  a.网络病毒的传播通常首先装安装文件写入到C:\Documents and Settings\Administrator\Local Settings\Temp,所以我在路径中将该文件夹下的所有.exe,.bat,.com,.ocx,.dll,.scr设为不允许。
  b.通常病毒或流氓软件为了隐藏,会把安装和运行文件写入到%windows%目录下,所以我我除了将几个系统必用的.exe和.dll设为不受限外,其余全为不允许。
  c.因为受过维金的毒害,我有过不得不格式化我的硬盘的经历,所在,我在安全规则里特别加入了对维金病毒(_logo.exe,logo.exe,rundl132.exe)的限制。痛苦的经历啊。
  d.另外有些病毒通常会将执行文件直接写到磁盘根目录下,所以我将所有根目录下的.exe设为不允许。这样的话,在安装软件时,.exe文件就不能直接安装根目录下,一定要安装在根目录下的文件夹下才能运行。
  e.如果你操作系统不是win2003 server, 设置%windows%目录下的规则时要特别注意,要根据你的情况来设置,如果不小心将你的电脑锁死了,可以进入安全模式,删除该规则。
  f.如果你确定某个程序是病毒或流氓软件,你可以直接加入到限制规则里。
最后编辑2007-01-17 11:28:54.700000000