1   1  /  1  页   跳转

[原创] 再谈WINDOWS 7的 applocker的防毒设置

再谈WINDOWS 7的 applocker的防毒设置

注:此帖仅供WIN7 爱好者动手实践,还有潜台词没明确交代。抄袭者请留神。乱抄、乱散导致的后果————你自己去向别人解释。

————————————————分割线以下是本帖内容
http://bbs.ikaka.com/showtopic-8673856.aspx

上面这个帖子已初步讨论的applocker与病毒预防的相关设置。其主旨是:规范可执行文件、微软安装安装程序、脚本程序的运行,防止病毒滥用系统程序;防止%windows%和%program files%及它们各级子目录以外的可执行文件、安装程序以及脚本程序的运行。

至于试图进入%windows%和%program files%及它们各级子目录的恶意程序,WIN7的UAC会随时报警。当然,今后可能会出现绕过UAC的恶意程序。这是后话。目前还未见到绕过UAC的恶意程序。

剩下的一个问题是:恶意程序利用“内置管理员账户提权”运行咋办?因为下面这种设置中允许“内置管理员账户提权”在任何位置运行程序:



尝试一下按上图所示删除允许“内置管理员账户提权运行程序”规则,使我们的applocker规则变成这样:



然后,将工具程序autoruns.exe放在桌面,双击运行。程序被applocker规则阻止(意料之中的事):




尝试“以管理员身份运行”autoruns.exe




哦耶!autoruns.exe依然被applocker阻止了:




尝试将autoruns.exe移入%windows%目录。UAC阻截并报警。点击“继续”(允许):






这样,autoruns.exe才能运行:




结论:删除允许“内置管理员账户提权运行程序”规则,安全性更高。但有一点要注意:用户若像我这样设置applocker,应用程序务必安装在%program files%目录下,否则,应用程序无法使用。例如:若将迅雷安装在下图这个目录下,你的迅雷就别用了。除非你不用applocker规则,或者保留“允许内置管理员账户提权规则”。




用户系统信息:Opera/9.64 (Windows NT 6.1; U; Edition IBIS; zh-cn) Presto/2.1.1
本帖被评分 1 次
最后编辑baohe 最后编辑于 2009-11-25 12:07:28
分享到:
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 BAGGIO·18 于 2009-11-24 20:44:00 发表
突然想起来了个问题


 如果程序不是放在Program Files  下  (如迅雷)




  我预先加入 如图 E:\


 这样安全性能 是否有所变化??  (有点HIPS味道? )





迅雷以及其它类似的应用程序,最好安装在%program files%目录下。


既然WIN7 为我们的安全防护搭建好了基本框架,我们就尽量使用它。


你这样做,自己是方便了;恐怕病毒也方便了




?:\*.*   允许——————这样的规则最好别设。


注:?代表任意硬盘分区盘符
最后编辑baohe 最后编辑于 2009-11-24 21:17:51
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 BAGGIO·18 于 2009-11-24 21:20:00 发表


 还有一个问题..Program Files 病毒也可以进



你自己往Program Files目录下拷贝个文件,试试。UAC 会报警(如果你的UAC确实是按下图设置的)。




最后编辑baohe 最后编辑于 2009-11-24 21:35:14
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 BAGGIO·18 于 2009-11-24 21:35:00 发表
[quote] 原帖由 baohe 于 2009-11-24 21:30:00 发表
[quote] 原帖由 BAGGIO·18 于 2009-11-24 21:20:00 发表


 怎么样可以设置...其他文件夹 复制文件 一样如 Program Files 有UAC报警呢?




百度了一下..没百度到..⊙﹏⊙b汗





按下图这样设置UAC,怎么鼓捣,都不报警了。但这是最危险的(相当于废掉了UAC)。




gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由BAGGIO·18 于 2009-11-24 21:42:00 发表


我设置的是最高级别...


我想问..怎么样可以 比如说我复制文件到E

.UAC也会报警呢?  找不见设置的问题...

这个UAC。和这个APP 什么关系?  





关于UAC的设置,点击这里:




UAC:监控文件对计算机的改动(改动发生时,UAC询问用户是否允许)。


APPLOCKER路径规则:规定那些地方的程序可以运行。(规则以外的程序————一律禁止运行)
最后编辑baohe 最后编辑于 2009-11-24 21:51:29
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 BAGGIO·18 于 2009-11-24 22:15:00 发表
[quote] 原帖由 baohe 于 2009-11-24 21:49:00 发表
[quote] 原帖由BAGGIO·18 于 2009-11-24 21:42:00 发表


我设置的是最高级别...


我想问..怎么样可以 比如说我复制文件到E

.UAC也会报警呢?  找不见设置的问题..

你的意思是要监控系统分区以外的文件创建?
这个,不归UAC 管。用RIS2010 或其它带文件监控的工具实现。


此外,也可尝试用WIN7  的bitlocker加密硬盘分区,见下图。(bitlocker能否使用,取决于你的电脑是否安装了受信平台模块,且版本不太旧。此外,要加密的分区必须是NTFS格式。)


一旦使用bitlocker加密硬盘分区,务必将密钥保存在电脑硬盘以外的存贮介质中(如:U盘),并妥善保管。忘记密钥并丢失或损坏了密钥存放U盘,你就郁闷了






最后编辑baohe 最后编辑于 2009-11-24 22:38:11
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 yyg747 于 2009-12-30 9:55:00 发表
是不是关了uac这个applocker就废了?



也不一定。


若关闭了UAC, 病毒往系统目录或应用程序目录下释放病毒文件,用户就得不到提示了(我说的是那种杀软尚未收录的病毒)。


如果真的发生这种情况,applocker中设置的又是“路径规则”,那用户就惨了。
gototop
 

回复: 再谈WINDOWS 7的 applocker的防毒设置



引用:
原帖由 初殇 于 2009-12-30 15:10:00 发表
UAC应该和策略没有关系的,策略比UAC更底层一些。个人见解。。。



本贴设置的恰恰是强制的“路径规则”。也就是说:在“不经用户提权”的情况下,除了规则中指定的路径(WINDOWS和PROGRAM FILES以及次级子目录) 中的程序可以运行外,其它位置的程序均无法运行。


这样的设置,须有UAC配合。防止病毒进入WINDOWS以及次级子目录和PROGRAM FILES以及次级子目录。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT