|
随着计算机和互联网的提高 ,各种病毒和木马也越来越多,特别是一些新型病毒和木马,常常 在杀毒软件提供有效查杀方法前就已经对用户利益形成 了严重损伤 ,而在越来越多的重要数据和信息存储在电脑当中的状况 下,电脑的安全问题就更显重要。 在win7当中,我们可以应用 系统自带的AppLocker功能进一步提升系统安全性,做到既不影响平常 的正常操作,又可以有效防御 恶意程序的运行!
启用AppLocker 别遗忘 运行服务
首先,用鼠标右键点击计算机,依次选择“管理→服务”,找到“Application Identity”服务并设为自动启动。这一步十分 重要,由于 只有设置为自动启动才能使AppLocker生效。
然后在开始菜单中的搜索框中输入“gpedit.msc”启动组策略编辑器。依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略”,就可以看到一个名为AppLocker的相关设置项目。
选择这个设置项目以后,在右侧窗口可以看到“可执行规则”、“Windows安装程序规则”和“脚本规则”三品种 型(如图[ghost win7纯净版] 1所示[win7旗舰版系统下载] )。在每一种规则上单击鼠标右键都可以创建新规则,就可以依据 自己. 的需要. ,创建相应的操作规则——
▲组策略编辑器
提示:第一次使用AppLocker,配置完成后必须重新启动电脑才能使策略生效。
牛刀小试 让闪存病毒黔驴技穷
平常 我们经常要用到闪存,应用 它传输或共享一些文件。可是现在闪存病毒非常 猖獗,也常常导致我们的系统重复 中毒。这时我们就可以应用 AppLocker创建一条相应的规则,避免闪存病毒对系统的入侵毁坏 。闪存病毒传播的一个关键文件就是“AutoRun.inf”,所以只需要. 禁止这个文件的运行就可以了。
首先我们在左侧窗口列表当选 中“脚本规则”,然后在右侧窗口单击鼠标右键选择“创建新规则”命令,这时系统就会弹出“创建脚本规则”的窗口。在窗口的“操作”当选 择“回绝 ”,然后在“用户或组”里面选择“Everyone”,再点击“下一步”按钮。接着在窗口的创建条件当选 择“路径”选项,接着点击“下一步”。然后在“路径”框中输入“?:AutoRun.inf”(如图[ghost win7纯净版] 2所示[win7旗舰版系统下载] ),再继续点击“下一步”按钮。由于后面没有其他必需的操作了,所以直接点击“创建”按钮完成规则的创建。现在再插上闪存,就不会由于 闪存的自动运行而中毒了。
▲创建脚本规则
提示:依据 上面的设置,闪存和光盘的自动运行功能都将被禁用,假如 你只想禁用闪存的自动运行功能,只需要. 指定闪存的盘符即可。此外,AppLocker除了可以设置文件或文件夹的绝对路径以外,还可以使用文件或文件夹的相对路径或系统变量。比方 “%WINDIR%”代表操作系统目录的位置,而“%TEMP%”则代表当前系统默认的暂时 目录。
进阶应用 保护系统文件安全
现在的计算机病毒可是无孔不入,就算自己. 再当心 慎重 也可能中招。而很多病毒都应用 Windows对自己. 目录当中的文件的“过分信任”来运行或感染系统文件,所以我们可以编写一条规则,禁止病毒的可执行文件在系统目录中运行。原理很简单,只需要. 禁止Windows目录当中除系统的可执行文件以外的其他程序文件即可。
同样,还是在右侧窗口中创建一条新的可执行规则。首先在窗口的“操作”当选 择“回绝 ”,在“用户或组”里面选择“Everyone”,点击“下一步”按钮,在窗口的创建条件当选 择“路径”选项,接着在“路径”框中输入“%WINDIR%*.exe”,然后在“例外”窗口当选 择“发布者”并点击“添加”按钮,在弹出的窗口里面点击“浏览”按钮。从弹出的窗口中随意选择一款微软的程序文件,再将滑块移动到“发布者”这个位置上(如图[ghost win7纯净版] 3所示[win7旗舰版系统下载] ),然后点击窗口中的“确定”按钮,确认方才 的相关设置就可以了。这时在“例外”列表中就可以看到发布者的相关信息,最后直接点击“创建”按钮完成规则的创建。
▲创建可执行规则
提示:由于已经将微软作为发布者的例外状况 ,因而 系统目录当中一切 系统自带的软件都可以正常运行,而病毒或木马即使 “潜入”了系统目录也无法运行,当然也就无法窜改系统文件,也就不能危害系统和用户的信息安全。同时,规则当中的路径或文件称号 还可以使用通配符,这样可以很方.便 地对某一类文件进行设置,例如“?:*.exe”,就表示任何目录下的任何可执行文件,“D:*”就表示D盘下的任何文件。不过该操作要求有一定的电脑基础,新手慎用!
扩展应用 限制已知程序运行
其实AppLocker除了具有病毒主动防御功能外,还可以用来限制已知程序软件的运行!
例如需要. 限制孩子运行某一款游戏,就可以通过AppLocker创建规则,阻止游戏的运行。假如 游戏不需要. 安装,那么应用 “路径”来判别 ,显然就无法避免出现孩子将游戏移动到其他目录就可以运行的问题,不过没关系,只需 创建“文件哈希”类型的规则即可。这样不管 游戏移动到什么位置,规则只需 发现文件哈希是一样的值,就会毫不留情地阻止其运行。
此外,我们的电脑当中都会保存 一些重要的文件,为了避免 别人 随意修改,就可以用AppLocker创建规则将这些文件保护起来。方法十分 简单,只需要. 暂时禁用打开这些文件的软件程序即可。
通过前面的介绍我们可以理解 到,应用 AppLocker可以很好地保护系统文件,从而避免计算机病毒对系统文件形成 损伤 。只需 系统文件完好无损,即使 病毒感染了某些应用程序也无法影响系统的正常运行,在这样的状况 下,应用 杀毒软件就可以将病毒轻松完成 。怎么样?赶紧试试看吧!
点评:AppLocker是Win7当中新增的一项功能,并且在控制面板当中没有该功能的选项,因而 很多用户都不理解 它的功能,甚至不知道它的存在。其实灵活运用AppLocker,可以有效管理用户如何运行一切 类型的应用程序文件,包括可执行文件、脚本文件、程序安装文件和动态链接库文件等,并可以很好地保护系统文件安全,不怕未知病毒的毁坏 。此外,灵活应用 AppLocker的规则组合还可以实现更多的功能。例如只允许具有 一定权限的用户运行某一个程序,只允许某个用户运行某个目录下的某几款软件或者现有软件等。
AppLocker Q & A
问:假如 我的主要程序没有安装在系统目录,但又想给它们也加上保护怎样处理 ?
答:很简单,创建规则,将你的程序或程序安装目录添加进来,然后在“回绝 ”的“例外”列表当中依据 需要. 进行具体的设置即可。
问:一些软件没有在允许的目录当中,或者不在例外的列表当中该怎样处理 ?
答:同样很简单,用鼠标右键点击并以管理员身份运行即可。
问:一些软件本身 需要. 一些文件的写权限,或者会产生新的文件(例如下载),怎样处理 ?
答:赋予相关目录和文件“Authenticated Users”用户完全控制权限即可。
Applocker的关键特性
方.便 高效,例如您可以轻松配置一个程序高于其某个版本都能运行,对于IT人员来说,这可以节省大量的策略维护时间。应用 AppLocker管理员可以十分 方.便 地进行配置,以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的,因而 我们可以十分 方.便 地将其部署到整个网络环境中,可谓一劳永逸。Applocker使得企业IT管理员可以十分 方.便 的配置用户可以在计算机上运行哪些应用:包括程序,安装文件与脚本。还可以通过公司名来限制某个公司的产品运行,比方 限制tencent公司的应用程序,那么qq,qqgame等等,都不可以 被运行。
Applocker使用方法
一、这第一步十分 重要,它决定了你的AppLocker是否能生效,计算机上右键→管理→服务,找到Application Identity服务,设为自动启动;
二、执行“开始”→ “运行”,输入gpedit.msc打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”,可以看到AppLocker组策略配置项。
三、在“可执行程序规则”、“安装程序规则”、“脚本规则”上分别右键,创建默认规则,即可。
四、大部份人的程序都不装在C:ProgramFiles*下,怎样处理 ?在“可执行程序规则”、“脚本规则”(安装程序规则保持默认即可)分别右键→新建规则,选择允许或回绝 ,用户保持默认的Everyone(即任意用户)→下一步,路径处浏览到你的程序或目录(最好是目录,只需一条规则就完成 ,比方 d:ProgramFiles*)→创建。
五、第一次使用AppLocker,设置完以上后,必须重启机器(注销不行),才能使策略生效。
六、大功告成,现在用IE上任意挂马网站,双击任意病毒吧,只需 不要把病毒放在以上所允许过的路径就可以。
七、疑问:网马复制自已到系统目录?没有可能。在UAC开启的状态下,当前用户及其所运行的程序,不能读取HIPS中所谓的AD行为中的底层磁盘,不能除USER外的注册表项,不可写除USER目录外的系统盘,可以说,UAC就是一个规则紧密 的HIPS。
八、疑问:我有一些不常用的绿色软件比方 注册机,MD5验证程序等,不是放在程序安装目录,我也没有在AppLocker中创建过允许规则,那我想用它时会不会很费事 ?答案是:一点也不费事 ,右键以管理员运行就可以了。
Applocker 更多常见问题
问:我可以实机运行一些病毒样本吗?
答:完全可以,只需像下面这样设置,病毒就只能修改用户暂时 目录USER了。
非系统盘,右键,属性,安全,编辑,把Authenticated Users用户组的修改、写入、完全控制、特殊权限等去掉勾,只保留 读取和执行。
这样,你可以运行任意一个不需要. 提权(UAC没有提示)的毒,但是毒无法毁坏 系统,也无法删改你的重要材料 。
注意,不要随意 对生疏 程序提权,除非你完全确信这个软件安全。
问:我用迅雷下载文件到D盘,但无法保存,怎样处理 ?
答:没关系,新建一个目录特地 用来下载东西,该目录给予Authenticated Users修改、写入、完全控制就可以了。
记得下载完转移到安全目录。
其他问题同理,比方 有的人把电驴的配置文件放到电驴安装目录下,电驴需要. 写本身 目录,怎样处理 ?
请对电驴的配置目录config及电驴安装根目录前几个DAT及INI文件允许Authenticated Users修改、写入、完全控制就可以了。
问:我复制一个文件到D盘是不是也无法复制?
答:可以复制。不过复制前UAC会有一个提示,允许,确定,即可。
或许 有人问:火狐可以 进行升级吗?它不是不能修改本身 目录?答案是可以升级,由于 在升级前,UAC会提示,允许,确定,即可。
假如 你不经常安装软件,一个月只装一两个软件,你还可以:
先安装好你的常用软件。
开始菜单,运行,输入:gpedit.msc,回车。
展开:本地计算机策略——计算机配置——WINDOWS设置——安全设置——本地策略——安全选项,在右面找到:用户帐户控制(只提升签名并验证的可执行文件),选中“已启用”(默认是已禁用),应用,确定,重启或注销。
这样:你能正常运行你的常用软件,就算是运行了一个提权的病毒也没有事了,由于 它基本 提不了权。 |
|
|
|
|
|
|