123   1  /  3  页   跳转

[原创] 再谈WINDOWS 7的 applocker的防毒设置

再谈WINDOWS 7的 applocker的防毒设置

注:此帖仅供WIN7 爱好者动手实践,还有潜台词没明确交代。抄袭者请留神。乱抄、乱散导致的后果————你自己去向别人解释。

————————————————分割线以下是本帖内容
http://bbs.ikaka.com/showtopic-8673856.aspx

上面这个帖子已初步讨论的applocker与病毒预防的相关设置。其主旨是:规范可执行文件、微软安装安装程序、脚本程序的运行,防止病毒滥用系统程序;防止%windows%和%program files%及它们各级子目录以外的可执行文件、安装程序以及脚本程序的运行。

至于试图进入%windows%和%program files%及它们各级子目录的恶意程序,WIN7的UAC会随时报警。当然,今后可能会出现绕过UAC的恶意程序。这是后话。目前还未见到绕过UAC的恶意程序。

剩下的一个问题是:恶意程序利用“内置管理员账户提权”运行咋办?因为下面这种设置中允许“内置管理员账户提权”在任何位置运行程序:



尝试一下按上图所示删除允许“内置管理员账户提权运行程序”规则,使我们的applocker规则变成这样:



然后,将工具程序autoruns.exe放在桌面,双击运行。程序被applocker规则阻止(意料之中的事):




尝试“以管理员身份运行”autoruns.exe




哦耶!autoruns.exe依然被applocker阻止了:




尝试将autoruns.exe移入%windows%目录。UAC阻截并报警。点击“继续”(允许):






这样,autoruns.exe才能运行:




结论:删除允许“内置管理员账户提权运行程序”规则,安全性更高。但有一点要注意:用户若像我这样设置applocker,应用程序务必安装在%program files%目录下,否则,应用程序无法使用。例如:若将迅雷安装在下图这个目录下,你的迅雷就别用了。除非你不用applocker规则,或者保留“允许内置管理员账户提权规则”。




用户系统信息:Opera/9.64 (Windows NT 6.1; U; Edition IBIS; zh-cn) Presto/2.1.1
本帖被评分 1 次
最后编辑baohe 最后编辑于 2009-11-25 12:07:28
分享到:
gototop
 

回复:再谈WINDOWS7 applocker的防毒设置

支持猫叔 好好看一下 谢谢
多抽出一分钟时间回帖,让你的卡卡生活更加精彩~
SREng工具http://bbs.ikaka.com/showtopic-8442813.aspx
gototop
 

回复:再谈WINDOWS7 applocker的防毒设置




前排就坐学习....
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置

突然想起来了个问题


 如果程序不是放在Program Files  下  (如迅雷)




  我预先加入 如图 E:\


 这样安全性能 是否有所变化??  (有点HIPS味道? )

附件附件:

文件名:1.jpg
下载次数:4416
文件类型:image/jpeg
文件大小:
上传时间:2009-11-24 20:44:22
描述:jpg



最后编辑BAGGIO·18 最后编辑于 2009-11-24 21:02:23
gototop
 

回复:再谈WINDOWS 7的 applocker的防毒设置

再见猫叔,

还是一样的牛

前排坐下 慢慢阅读
如果有病毒问题,请大家与我联系邮箱是1987noodle0158@sina.com
我的博客是http://blog.sina.com.cn/ufovirus
gototop
 

回复:再谈WINDOWS 7的 applocker的防毒设置

猫叔很强大
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 BAGGIO·18 于 2009-11-24 20:44:00 发表
突然想起来了个问题


 如果程序不是放在Program Files  下  (如迅雷)




  我预先加入 如图 E:\


 这样安全性能 是否有所变化??  (有点HIPS味道? )





迅雷以及其它类似的应用程序,最好安装在%program files%目录下。


既然WIN7 为我们的安全防护搭建好了基本框架,我们就尽量使用它。


你这样做,自己是方便了;恐怕病毒也方便了




?:\*.*   允许——————这样的规则最好别设。


注:?代表任意硬盘分区盘符
最后编辑baohe 最后编辑于 2009-11-24 21:17:51
gototop
 

回复 7F baohe 的帖子



昂..我很多应用应用程序 没经过 Program Files 这个文件夹

直接放在E 根目录里了


昂..那个?的我不用... 嘿嘿..我就是安全和懒 取个平衡点....不会所有盘都开放..只会开放一个 如果开放E..⊙﹏⊙b汗



 还有一个问题..Program Files 病毒也可以进来啊...只是相对病毒的发作空间给它压缩了 能这样理解么? 


郁闷...

提点要求 嘿嘿
猫叔  能不能写点 有关系 Autoruns的教程..

刚百度了一下.好像都挺老的...
最后编辑BAGGIO·18 最后编辑于 2009-11-24 21:23:51
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 BAGGIO·18 于 2009-11-24 21:20:00 发表


 还有一个问题..Program Files 病毒也可以进



你自己往Program Files目录下拷贝个文件,试试。UAC 会报警(如果你的UAC确实是按下图设置的)。




最后编辑baohe 最后编辑于 2009-11-24 21:35:14
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 baohe 于 2009-11-24 21:30:00 发表


引用:
原帖由 BAGGIO·18 于 2009-11-24 21:20:00 发表


 还有一个问题..Program Files 病毒也可以进



你自己往Program Files目录下拷贝个文件,试试。UAC 会报警。[/si









 这玩意.....还真报警了...


 不过


怎么样可以设置...其他文件夹 复制文件 一样如 Program Files 有UAC报警呢?




 百度了一下..没百度到..⊙﹏⊙b汗  (*猫叔...这个 系统文件夹  Program Files 等式UAC内置的么?.)
最后编辑BAGGIO·18 最后编辑于 2009-11-24 21:36:04
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT