简单辅助杀软 增强防毒效果组策略文档格式.docx
- 文档编号:17188257
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:11
- 大小:297.80KB
简单辅助杀软 增强防毒效果组策略文档格式.docx
《简单辅助杀软 增强防毒效果组策略文档格式.docx》由会员分享,可在线阅读,更多相关《简单辅助杀软 增强防毒效果组策略文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
不允许的
【使用光盘上的安装文件时,有阻挡,自己排除】
备份文件夹:
\SystemVolumeInformation\*.*
路径
不允许的
\SystemVolumeInformation\*\*.*
\SystemVolumeInformation\*\*\*.*
回收站:
\RECYCLE?
\*\*.*
windows目录:
按照绝对路径优先于通配符路径的关系,先把windows目录下的正常程序放行【根据你的实情写】
C:
\WINDOWS\_default.pif
不受限的
\WINDOWS\Alcrmv.exe
\WINDOWS\alcupd.exe
\WINDOWS\explorer.exe
\WINDOWS\hh.exe
\WINDOWS\notepad.exe
\WINDOWS\regedit.exe
\WINDOWS\setdebug.exe
\WINDOWS\slrundll.exe
\WINDOWS\soundman.exe
\WINDOWS\TASKMAN.EXE
\WINDOWS\winhelp.exe
\WINDOWS\winhlp32.exe
然后阻止所有恶意及不明程序从windows目录下运行
%windir%\*.*
B、阻止一些正常情况下不可能存在可执行文件而有可能被病毒利用的目录:
%CommonProgramFiles%\*.*
%ProgramFiles%\*.*
%ProgramFiles%\InternetExplorer\PLUGINS\*.*
%ProgramFiles%\InternetExplorer\PLUGINS\*\*.*路径
%windir%\Debug\*.*
%windir%\Debug\*\*.*路径
%windir%\DownloadedProgramFiles\*.*
%windir%\DownloadedProgramFiles\*\*.*路径
%windir%\DownloadedProgramFiles\*\*\*.*路径不允许的
\DocumentsandSettings\*\「开始」菜单\程序\启动\*.*路径不允许的
\DocumentsandSettings\*\LocalSettings\ApplicationData\*\*.*
\DocumentsandSettings\*\LocalSettings\History\*\*.*
\DocumentsandSettings\*\LocalSettings\TemporaryInternetFiles\*.*
\DocumentsandSettings\*\LocalSettings\TemporaryInternetFiles\*\*.*
路径不允许的
\DocumentsandSettings\*\LocalSettings\TemporaryInternetFiles\*\*\*.*路径
C、防止病毒假冒系统主要进程
首先高优先允许系统进程:
\WINDOWS\system32\csrss.exe
\WINDOWS\system32\ctfmon.exe
\WINDOWS\system32\lsass.exe
\WINDOWS\system32\notepad.exe
\WINDOWS\system32\rundll32.exe
\WINDOWS\system32\services.exe
\WINDOWS\system32\smss.exe
\WINDOWS\system32\spoolsv.exe
\WINDOWS\system32\svchost.exe
\WINDOWS\system32\userinit.exe
\WINDOWS\system32\winlogon.exe
然后禁止假冒系统进程的运行
ctfm?
n.*
csrss.*
exp?
rer.exe
lass.exe
lsass.*
lssas.*
n?
tepad.*
rund*.*
s?
vch?
st.*
serv?
ces.*
smss.*
sp?
sv.*
user?
t.*
win?
g?
如果担心病毒假冒显卡进程,也可以按以上方法进行处理。
D、阻止危险扩展名程序的运行
*.*.bat
*.*.cmd
*.*.com
不允许
*.*.pif
*.com
*.reg
E、为了防止病毒捣乱破坏,禁止调用系统自带的一些危险程序
cscript.exe
wscript.exe
at.exe
cacls.exe
debug.exe
format.*
路径不允许的
reg*.exe
路径不允许的【影响程序安装及文件注册】
taskkill.exe路径不允许的
tftp.exe
F、防止个别病毒及流氓程序
kill*.*
*Bar.exe
【可能影响个别程序安装】
*Helper.exe路径不允许的
某些广告程序、流氓插件、恶意软件,自己用“散列规则”或者“路径规则”阻止一下即可。
G、可能影响程序安装的【安装程序有影响时请把它们删除,安装好程序再补上】
*.*.exe
【应该影响很多安装程序】
*.bat
【可能影响一些程序安装】
【自己日常使用某些批处理文件请排除,例如?
\DocumentsandSettings\awei\桌面\系统垃圾清理.bat路径
不受限的】
net.exe
【对个别程序安装会有影响,例如CHX防火墙】【影响系统更新】
cmd.exe
【应该影响很多程序安装及卸载,安装和卸载程序时请删除】【影响系统更新】
sc.exe
【可能影响一些程序安装好后的服务注册】【可能影响系统更新】
%windir%\temp\*.*
不允许的【可能对极个别程序的安装有影响】
%windir%\temp\**\*.*路径
【可能对极个别的程序安装有影响】
使用过程中如果发现有影响,请及时调整处理【排除或删除】。
受阻的问题可以从控制面板-管理工具-事件查看器-应用程序里面黄色三角警告标志:
如果要求再严密一点的话,请加上:
*.cmd
*.scr
然后自己排除系统目录下的scr及cmd文件。
二、网络威胁防御
1、用户权利指派
请将本地策略-用户权利指派里的“拒绝从网络访问这台计算机”添加如下用户【对象类型请选择“组”】
Administrators
Everyone
Guest
【有必要的话,所有的都添上,玩远程登录自己的计算机的就不要添Guest了,最好保持默认】
2、危险com删除
请根据自己实情,先备份以下注册表键【导出保存】,然后把它们删掉
打开HKEY_CLASSES_ROOT\CLSID,删除以下键
后台智能上传
{4991D34B-80A1-4291-83B6-3328366B9097}
{69AD4AEE-51BE-439b-A92C-86AE490E8B30}
远程桌面
{A6A6F92B-26B5-463B-AE0D-5F361B09C171}
{E423AF7C-FC2D-11d2-B126-00805FC73204}
{06290BD5-48AA-11D2-8432-006008C3FBFC}
网页恶意代码攻击可能用到的东东
回到HKEY_CLASSES_ROOT主键,删除以下键
远程帮助
RemoteHelper.RemoteHelper
危险脚本
ADODB.Stream
网页恶意代码攻击常用的东东
ADODB.Stream.6.0
WScript.Shell
WScript.Shell.1
Scripting.FileSystemObject
以上项目,xp上的,已经备份打包一个(见附件),需要的自己解压导入。
三、其它策略
如果有兴趣和耐心,可以顺便再设置一下其它策略,一般可以不必理会。
愿意稍微设置一点点的,请参考:
请打开本地策略-安全选项:
“设备:
防止用户安装打印机驱动程序”
如果没有打印机或已经装过打印机驱动,可以考虑“启用”
未签名驱动程序的安装”可以设成“禁止安装”【某些程序安装受影响时再改回】
“域控制器:
拒绝更改机器账户密码”可以考虑启用【自己要改时就“禁用”】
“账户:
重命名来宾账户”,“账户:
重命名管理员账户”,可以改下。
至于“网络访问:
可匿名访问的共享”以及“网络访问:
可远程访问的注册表路径”等内容,有兴趣可以尝试【删除其内容前最好备份,以免将来抓瞎】
四、操作权限
1、文件夹权限
首先要确保磁盘文件是NTFS格式,然后到控制面板-文件夹选项-查看里去掉“使用简单文件共享(推荐)”的勾。
自己认为重要的,不可更改的文件或文件夹,有兴趣试试系统自带的FD功能的,可以设置下权限。
个人推荐对hosts(C:
\WINDOWS\system32\drivers\etc\hosts)及C:
\ntldr、C:
\boot.ini、C:
\WINDOWS\system.ini、C:
\WINDOWS\win.ini进行设置【注意,设置系统盘上的文件权限,可能会影响GHOST及一键还原,请在执行还原操作前,将所设权限去除,否则可能导致还原错误,只能重装系统。
系统自带的FD操作并不好用,如非必要,尽量不使用】
对于gho文件、mp3文件需要保护防止删除的,可以设成拒绝删除;
保存有重要文件、一般不进行变更的文件夹,也可以进行保护设置,避免病毒破坏及个人误操作,例如E:
\相册、D:
\网页收藏、F:
\软件仓库等。
此法不适宜大用。
当然,如果你觉得有必要,可以试试对system32文件夹设防【可能会影响系统更新等】:
2、注册表权限
重要项目设置下权限:
建议设置如下项目:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
很多程序运行就往该项里添加启动项,令人讨厌。
建议针对当前用户进行设置即可【个别程序安装需要添加启动项到该键的,自己临时更改——删掉设置项】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
“映像劫持”,病毒喜欢令人烦的东东。
建议所有“完全控制”的(包括system)都降权。
HKEY_CLASSES_ROOT\CLSID【可能影响系统更新】设置权限后可以防止流氓软件及恶意插件注册组件,但是安装程序时会阻止程序注册组件。
有无必要设置,自己看着办。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility建议设置该键,流氓插件最喜欢光顾之所。
其它的可以不必管了。
如果有精力的话,可以抄录HIPS里的重要注册表项进行处理。
对于可能影响系统更新的,在打大型补丁,例如xpsp3时,请删除,以免浪费时间。
这样处理一下,对于杀软的防毒能力应该有极大的辅助增强。
不管你用什么杀软防火墙,不喜欢HIPS的繁琐的话,这样设置下是有好处的。
如果这样处理后还中毒,那就没办法了,换个好点的东东用吧。
最后提醒一个与组策略无关的个人安全问题:
如果你有私人文件需要保护,一个最简单、最直接而又安全保险的办法——用rar加密压缩,最少12位复杂密码,推荐16位以上,类似m-Cu5#BH67e5231[x7]-vt这样的复杂密码;
也可以使用中文密码——自己在记事本里输入一串中文,复制到rar加密选项上做密码即可,理论上中文密码是更安全的密码。
神经:
极度隐私要求,可以将几个文件用不同的密码加密压缩后放在一个文件夹里,然后再对这个文件夹进行加密压缩。
也可以对同一文件使用不同密码进行多层加密压缩——加密压缩“压缩文件”……
注意:
密码请妥善保存,以免忘记密码而无法打开文件。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 简单辅助杀软 增强防毒效果组策略 简单 辅助 增强 防毒 效果 策略
![提示](https://static.bdocx.com/images/bang_tan.gif)