微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 利用策略组配合微点提高系统安全  

 17  1/2  1  2  > 
作者:
标题: 利用策略组配合微点提高系统安全
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#1  利用策略组配合微点提高系统安全

近来看到不少关于木马运行而微点没有反映的报告,自己很想找个软件配合微点。试用了HIPS,大多都冲突,单纯配杀软起不到太大的作用。记得点饭的百度空间曾提供一个DLL劫持过微点的办法,看样子少部分病毒是可以过的。
我刚好在卡饭看到以前的帖子介绍策略组实现3D防御的教程,我想这应该是一个不错的东西,首先,它不会和微点冲突,还可保护微点不被干掉,相当于自定义规则吧。可是策略组这东西编辑规则太不灵活,弄的我有些抓狂,在虚拟机里弄了近一个星期总算是写好了规则         我想,这应该是不错的组合,大家看法如何

忘了提醒一下收到规则的朋友:
简单规则说明:

以基本用户限制主流浏览器
Avant.exe Brexpo.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe
miniie.exe netscape.exe opera.exe Orca.exe realplay.exe Safari.exe SeaMonkey.exe Sleipnir.exe theworld.exe
TTraveler.exe

限制或禁用一些不常用的系统程序

禁止程序从U盘启动(需要手动修改一下规则)


全局规则说明:


采用全局基本用户

并加入了数目可观的系统程序白名单

默认排除(不受限的)的目录、程序有:
1.所有分区根目录下的Program Files文件夹  请把软件安装在此目录中,或者另外进行目录排除
2.所有分区根目录下的“安装程序”文件夹   请从此目录安装程序,或者另外进行目录排除
3.所有分区根目录下的“信任目录”文件夹
4.System32下的系统运行必须的程序

以基本用户限制的主流浏览器
Avant.exe Brexpo.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe
miniie.exe netscape.exe opera.exe Orca.exe realplay.exe Safari.exe SeaMonkey.exe Sleipnir.exe theworld.exe
TTraveler.exe

[ Last edited by rockyu on 2010-4-22 at 23:01 ]

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 13:39
查看资料  发送邮件  发短消息   编辑帖子
173659857
中级用户





积分 327
发帖 330
注册 2009-5-22
#2  

内容喃?

※ ※ ※ 本文纯属【173659857】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 16:15
查看资料  发送邮件  发短消息   编辑帖子
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#3  

我自己的就不拿出来献丑了,大部分套用深红的雪的规则,加了一些自己机器上软件的规则,拿他的分享一下吧,记得先备份再导入
貌似微点论坛不支持压缩包附件上传,需要的留下邮箱

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 18:58
查看资料  发送邮件  发短消息   编辑帖子
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#4  

部分规则如下
%APPDATA% 路径 不允许的 禁止从当前用户下的Application Data根目录启动文件
%APPDATA%\*\ 路径 不受限的 允许从Application Data的子目录中启动文件
%CommonProgramFiles%\*.* 路径 不允许的 CommonProgramFiles根目录文件管制
%CommonProgramFiles%\DESIGNER 路径 不允许的
%CommonProgramFiles%\Microsoft Shared\*.* 路径 不允许的  
%CommonProgramFiles%\Microsoft Shared\MSInfo 路径 不允许的  
%CommonProgramFiles%\MSSoap 路径 不允许的  
%CommonProgramFiles%\ODBC 路径 不允许的
%CommonProgramFiles%\Services 路径 不允许的
%CommonProgramFiles%\SpeechEngines 路径 不允许的
%CommonProgramFiles%\System 路径 不允许的
%ComSpec% 路径 基本用户 Cmd.exe基本用户限制
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径 不受限的 默认的规则,相当于 “%Windir% ”
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 路径 不受限的 默认的规则,相当于 “%Windir%\*.exe ”
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 路径 不受限的 默认的规则,相当于 “%ProgramFiles%”
%ProgramFiles% 路径 不允许的 禁止程序从ProgramFiles根目录启动
%ProgramFiles%\*\ 路径 不受限的 允许程序从ProgramFiles的子目录启动
%ProgramFiles%\Internet Explorer 路径 基本用户 管制IE策略
%ProgramFiles%\NetMeeting 路径 基本用户
%ProgramFiles%\Outlook Express 路径 基本用户
%ProgramFiles%\Windows Media Player 路径 基本用户
%ProgramFiles%\Windows NT 路径 基本用户
%ProgramFiles%\xerox 路径 不允许的
%SYSTEMDRIVE%\*.* 路径 不允许的 禁止从系统盘根目录启动程序
%SYSTEMROOT%\tasks 路径 不允许的 禁止程序从计划任务文件夹中启动
%Temp% 路径 不受限的 用户变量不受限,保证软件的正常安装
%TMP% 路径 不受限的 临时文件存放目录不受限,保证软件的正常安装
%USERPROFILE%\*.* 路径 不允许的 用户文档根目录管制
%USERPROFILE%\Cookies 路径 不允许的 Cookies目录管制
%USERPROFILE%\Local Settings\Temporary Internet Files 路径 不允许的 禁止程序从IE缓存中启动
%WinDir%\Debug 路径 不允许的
%WinDir%\Downloaded Program Files 路径 不允许的 防止浏览器插件的安装
%WinDir%\ehome 路径 不允许的
%WinDir%\explorer.exe 路径 不受限的 正常系统进程
%Windir%\Fonts 路径 不允许的
%WinDir%\hh.exe 路径 受限的 CHM阅读器管制
%WinDir%\system32\?script.exe 路径 受限的 脚本宿主管制
%WinDir%\system32\alg.exe 路径 不受限的 正常系统进程
%WinDir%\system32\at.exe 路径 不允许的 计划任务,禁用  19:36:14
%windir%\system32\autoconv.exe 路径 不允许的 禁止“在启动过程中自动转化系统”
%windir%\system32\autofmt.exe 路径 不允许的 禁止“在启动过程中自动格式化”
%Windir%\system32\cacls.exe 路径 不允许
%WinDir%\system32\conime.exe 路径 不受限的 正常系统进程
%WinDir%\system32\csrss.exe 路径 不受限的 正常系统进程
%WinDir%\system32\ctfmon.exe 路径 不受限的 正常系统
%WinDir%\system32\dllhost.exe 路径 不受限的 正常系统进程
%windir%\system32\dos*.exe 路径 不允许的  
%WinDir%\system32\drivers 路径 不允许的
%WinDir%\system32\drivers\*.sys 路径 不受限的
%WinDir%\system32\format.com 路径 不允许的 防止恶意格式化
%windir%\system32\Fsutil.exe 路径 不允许的
%WinDir%\system32\ftp.exe 路径 不允许的
%WinDir%\system32\lsass.exe 路径 不受限的 正常系统进程
%Windir%\system32\net.exe 路径 受限的 能提供很多管理命令的程序,很少用到,限制
%Windir%\system32\net1.exe 路径 受限的 同上
%WinDir%\system32\ntsd.exe 路径 不允许的 结束进程工具。一般很少用到
%Windir%\system32\ntvdm.exe 路径 基本用户 十六位虚拟机
%WinDir%\system32\reg.exe 路径 不受限的
%windir%\system32\regini.exe 路径 不允许的 通过此程序允许修改注册表权限,禁之
%WinDir%\system32\replace.exe 路径 不允许的 危险的东东,禁之
%Windir%\system32\Restore\rstrui.exe 路径 不受限的
%Windir%\system32\Restore\srdiag.exe 路径 不受限的
%WinDir%\system32\rundll32.exe 路径 不受限的 正常系统进程
%WinDir%\system32\sc.exe 路径 受限的 sc.exe能提供各种命令配置服务,禁之
%WinDir%\system32\services.exe 路径 不受限的 正常系统进程
%WinDir%\system32\smss.exe 路径 不受限的 正常系统进程
%WinDir%\system32\spoolsv.exe 路径 不受限的 正常系统进程
%windir%\system32\subst.exe 路径 不允许的 虚拟磁盘映射工具,禁之
%WinDir%\system32\svchost.exe 路径 不受限的 正常系统进程
%WinDir%\system32\t*kill.exe 路径 不允许的 命令行下结束进程的工具,禁之
%WinDir%\system32\taskmgr.exe 路径 不受限的 正常系统进程
%windir%\system32\telnet.exe 路径 不允许的 不多说了,禁之
powerpnt.exe 路径 基本用户 PPT、POT文件 2
qq.exe 路径 基本用户 QQ限制,不过QQ医生可能不能正常工作
realplay.exe 路径 基本用户 Real播放器限制
rundict.exe 路径 基本用户  
Safari.exe 路径 基本用户 浏览器限制
SeaMonkey.exe 路径 基本用户 浏览器限制
services.exe 路径 不允许的 禁止伪装Windows进程
Sleipnir.exe 路径 基本用户 浏览器限制
smss.exe 路径 不允许的 禁止伪装Windows进程
spoolsv.exe 路径 不允许的 禁止伪装Windows进程
ssreader.exe 路径 基本用户 超星阅读器
svchost.exe 路径 不允许的 禁止伪装Windows进程
taskmgr.exe 路径 不允许的 禁止伪装Wind
theworld.exe 路径 基本用户 浏览器
TTraveler.exe 路径 基本用户 浏览器限制
userinit.exe 路径 不允许的 禁止伪装Windows进程
U盘:\ 路径 不允许的 禁止程序从U盘启动,需将“U盘”换成实际的U盘盘符
winlogon.exe 路径 不允许的 禁止伪装Windows进程
Winrar.exe 路径 基本用户 管制Winrar
winword.exe 路径 基本用户 Word
yodaodict.exe 路径 基本用户
光驱:\ 路径 不受限的 允许从光驱运行程序,需将“光驱”换成实际的光驱盘符

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 19:26
查看资料  发送邮件  发短消息   编辑帖子
雄视王者
高级用户




积分 598
发帖 595
注册 2009-5-2
#5  

695637958@qq.com
麻烦楼主给发一个过来。感谢了。

※ ※ ※ 本文纯属【雄视王者】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 20:43
查看资料  发短消息   编辑帖子
nange463499510
新手上路





积分 49
发帖 49
注册 2009-10-7
#6  

463499510@qq.com
谢了!

※ ※ ※ 本文纯属【nange463499510】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 20:50
查看资料  发送邮件  发短消息   编辑帖子
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#7  

已发送,请查收

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 20:53
查看资料  发送邮件  发短消息   编辑帖子
美丽明天
注册用户




积分 155
发帖 153
注册 2010-2-28
来自 乌托邦
#8  

pzlichangyu@163.com  楼主给塞一个。。。再给一个怎么弄进去的解说,
俺是小鸟

※ ※ ※ 本文纯属【美丽明天】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

来吧来吧
2010-4-22 21:37
查看资料  发送邮件  发短消息   编辑帖子
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#9  



  Quote:
Originally posted by 美丽明天 at 2010-4-22 21:37:
pzlichangyu@163.com  楼主给塞一个。。。再给一个怎么弄进去的解说,
俺是小鸟

已发送,请查收

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 21:45
查看资料  发送邮件  发短消息   编辑帖子
jackybaby
中级用户





积分 330
发帖 321
注册 2006-12-31
来自 sz
#10  

有微点哪里还需要这么复杂的组策略,只要自己写五条就够了,深雪的策略是裸奔用的,不要折腾自己。

※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点+组策略,不知毒滋味。
2010-4-22 22:09
查看资料  发送邮件  发短消息   编辑帖子
 17  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号