多角度实现病毒立体防护

2015-11-30 08:27
网络安全和信息化 2015年4期
关键词:优盘组策略对话框

从写入角度着手

只有想办法将病毒文件写入藏匿到计算机的各个位置处,日后才有机会发作运行。如果我们提前预防,禁止网络病毒的写入操作,那么病毒木马连攻击我们的机会都没有。

图1 鼠标定位分支

首先,要禁止写入到系统注册表关键分支下。为了达到自启动目的,病毒木马很喜欢将自己写入到系统注册表的启动项中,所以我们只能对这些注册表中的启动分支授予只读权限,而不能授予修改权限,避免被网络病毒偷偷利用。正常情况下,网络病毒最喜欢藏身的地方,就是注册表中的Run、Winlogon、load、RunOnce、RunServices、RunServicesOnce、RunOnceEx等分支,取消这些分支项目的写入权限,就能拦截病毒的写入操作,防止病毒通过它们自动运行。

以Run分支为例,要限制普通用户向该分支下写入内容时,可以依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“regedit”命令,开启系统注册表编辑器运行状态。在该窗口的左侧列表中,将鼠标定位到如图1所 示 的“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”分支下,位于该分支下的所有程序或命令都能在系统开机启动的时候自动运行。用鼠标右键单击目标分支选项,打开它的右键菜单,点击“权限”命令,展开对应分支项目的权限编辑对话框,在“组或用户名称”列表中,删除所有陌生用户账号。之后按下“添加”按钮,导入everyone账号,同时将该账号的读取权限设置为“允许”,其他权限设置为“拒绝”,确认后保存设置即可。

当然,Run分支也会出现 在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”等位置处,我们还需要对这些路径下的Run分支权限进行严格限制,谨防网络病毒趁虚而入。

其次要禁止写入到系统分区下。一些自我复制能力极强的病毒,往往无法一次性被清除干净,只有在重启系统后,才能被彻底删除掉。不过,在重启系统的时候,残留病毒文件又会将自身复制写入到系统分区中。为了对付这类顽固病毒,我们可以通过Windows系统的“磁盘配额”程序,不让病毒将自身写入到系统分区中。

打开“计算机”或“我的电脑”窗口,找到系统分区图标,从该分区右键菜单中选择“属性”命令,在系统分区的“配额”属性页面中,逐一选中“启用配额管理”、“拒绝将磁盘空间给超过配额限制的用户”等选项,开启Windows系统内置的磁盘配额管理功能(如图2所示)。之后将“磁盘空间限制”选中,同时将允许使用的磁盘空间大小限制为“1KB”,确认后保存设置操作。这样,顽固的网络病毒日后在重启过程中,尝试将自身复制到系统分区时,会遭到“磁盘配额”功能的限制。

图2 磁盘配额管理功能

图3 手工创建路径规则

值得注意的是,在彻底清除顽固病毒后,必须及时停用磁盘配额功能,以保证计算机运行工作。

第三,要禁止写入到系统组策略中。为了避免杀毒软件“围剿”,一些病毒木马可能会将启动程序偷偷写入到系统组策略有关分支下,以实现登录启动目的。对此,我们可以依次单击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“gpedit.msc”命令,逐一展开系统组策略编辑窗口中的“本地计算机策略”、“用户配置”、“管理模板”、“系统”、“登录”分支,用鼠标双击“在用户登录时运行这些程序”选项,选中“已禁用”选项,单击“确定”按钮保存设置操作。这样,病毒木马就无法将启动程序写到组策略设置中了。

从运行角度着手

不管是哪种类型的病毒,它必须要拥有运行权限,才能发挥它的攻击破坏作用。如果我们能够想办法限制其运行,那么再“凶猛”的病毒也会变成温顺的“羔羊”。在知道病毒文件名称的情况下,我们可以通过系统软件限制策略,来限制特定病毒的发作运行。

例如,要禁止“spoo1sv.exe”病毒运行发作时,可以依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“gpedit.msc”命令,开启系统组策略编辑器运行状态。将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“软件限制策略”节点上,用鼠标右击该节点选项,单击右键菜单中的“新建软件限制策略”命令,选中“其他规则”,打开它的右键菜单,点选“新路径规则”命令,进入如图3所示的设置对话框,在这里手工创建一个新的路径规则。将“spoo*.exe”关键字填写在“路径”文本框中,在“安全级别”位置处选中“不允许”,确认后保存设置操作。

在定义好上述规则后,发现打印机无法工作,这是因为我们拒绝了以“spoo”字符开头的可执行程序的运行,而打印机后台程序名为“spoolsv.exe”,所以该规则生效,打印机程序不能执行。

图4 打开“关闭自动播放”设置框

图5 组策略属性对话框

为了不影响正常打印,我们还必须新建散列规则,让正常的打印机后台程序排除在外。在进行这种操作时,先从“其他规则”子项下面新建散列规则,切换到散列规则创建对话框,按“浏览”按钮选中并导入“spoolsv.exe”,并在“安全级别”位置处选中“不受限制”选项,确认后退出设置对话框。这样,就能达到既限制“spoo1sv.exe”病毒运行,又不影响打印机工作的目的了。同样地,我们可以对其他病毒程序进行限制运行。

从传播角度着手

当不慎感染上病毒后,切断其传播通道,防止其大面积传播、蔓延,是相当有必要的。例如,在防止常见的优盘病毒传播扩散时,可以采取如下安全措施进行预防。

1.停止自动播放功能

逐一点选“开始”、“运行”选项,展开系统运行对话框,在其中执行“gpedit.msc”命令,弹出系统组策略编辑窗口。依次展开“本地计算机策”、“计算机配置”、“管理模板”、“系统”分支,双击该分支下的“关闭自动播放”组策略,打开对应组策略属性对话框。选中“已启用”选项,再从关闭自动播放列表中,选择优盘分区,确认后保存设置操作。

当然,在Vista以后版本系统中,我们必须将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“自动播放策略”节点下,打开该节点下的“关闭自动播放”组策略选项设置框(如图4所示),选中“已启用”选项并保存设置即可。

2.使用同名文件阻断

优盘病毒程序大多都是通过“autorun.inf”文件,来达到传播、扩散病毒的。如果我们在优盘根目录下面,事先生成一个空白的、名称也为“autorun.inf”的文件时,那么依照Windows系统中相同目录下文件名称不能重复的规定,“autorun”类型的优盘病毒程序,自然就不能通过优盘中的“autorun.inf”文件,来进行恶意传播、扩散。

3.拒绝优盘写入权限

对于已感染了优盘病毒的计算机系统来说,只要优盘插入其中,病毒文件可能就会强行写入到优盘中。

基于这一点,我们有必要关闭优盘的写入权限,禁止病毒轻易通过优盘扩散。

依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“gpedit.msc”命令,打开系统组策略编辑界面,逐一展开“本地计算机策略”、“计算机配置”、“管理模板”、“系统”、“可移动存储访问”节点。双击该节点下的“可移动磁盘:拒绝写入权限”组策略,进入如图5所示的组策略属性对话框,选中“已启用”选项,确认后返回即可。

不过,直接切断优盘写入保存通道,将会影响合法用户的正常工作。

为了既能预防病毒传播扩散,又能保证合法用户正常使用优盘,可以为优盘设置一个写保护开关。在进行设置时,先手工创建一个批处理文件,假设该批处理文件名称为“aaa.bat”,在该文件中输入如下代码:

其中,上面的一段代码表示让系统正常显示优盘,下面的一段代码表示让用户只能读取优盘内容。用鼠标双击该批处理文件,优盘写入权限就会被禁止,那么病毒就不能通过优盘蔓延、扩散,这就相当于为优盘设置了写保护启用开关。同样地,再生成一个“bbb.bat”批处理文件,为优盘设置一个写保护取消开关,在该批处理文件中必须要包含下面的代码内容:

图6 选项设置对话框

4.防止使用隐藏共享

有的病毒会通过隐藏磁盘共享,在局域网中恣意扩散、传播。

为了阻断这条传播通道,建议大家关闭所有磁盘分区隐藏共享。

要做到这一点,可以先启动运行记事本程序,并将下面的命令代码正确输入到文本编辑界面中,同时将代码内容保存为“111.bat”批处理文件:

然后打开系统运行对话框,在其中执行“gpedit.msc”命令,弹出系统组策略编辑窗口。在该窗口左侧列表中,依次展开“本地计算机策略”、“用户配置”、“Windows设置”、“脚本(登录/注销)”节点,双击该节点下的“登录”选项,打开如图6所示的选项设置对话框,单击“添加”按钮,导入之前生成的“111.bat”批处理文件,确认后返回。

这样,日后每次开机启动计算机系统时,“111.bat”批处理文件都会被自动执行,那么计算机中的所有隐藏共享也就会被自动关闭了。

从加载角度着手

Internet网络上的病毒层出不穷,有不少是通过IE浏览器实现加载运行的。为了让本地系统远离病毒攻击,我们必须采取措施切断网络病毒的加载通道,避免其通过IE浏览器进行恶意破坏。

1.定期更新补丁

IE浏览器的安全漏洞特别多,而多数病毒都是通过漏洞来感染操作系统和应用程序的。

所以一个最新并拥有完整补丁的计算机系统,可以极大地降低病毒感染的可能性。

在为IE浏览器更新漏洞补丁程序时,只要逐一单击“开始”、“设置”、“控制面板”选项,用鼠标双击系统控制面板中的“Windows Update”图标,切换到系统更新管理界面,按下“检查更新”按钮,随后系统会自动提示是否有补丁程序可以更新,再按“安装更新”按钮即可。

图7 权限编辑对话框

图8 安全设置列表

2.拒绝BHO与IE关联

很多病毒往往通过浏览器BHO对象与IE浏览器建立关联,我们可以进行如下操作,切断它们之间的关联。先进入系统注册表编辑窗口,将鼠标定位到该窗口左侧的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects”节点上,打开目标节点选项的右键菜单,点击“权限”命令,展开权限编辑对话框(如图7所示),按下“高级”按钮,在高级对话框的“权限”页面中按“添加”按钮,选中并导入当前登录账号,再为该账号分配“查询数值”、“读取控制”等权限,确认后退出设置对话框。

按照相同的操作方法,再对 System、Local Service、Network Service等对象的访问权限进行合适设置,防止病毒通过各种对象方式潜藏到系统注册表中。

3.限制使用脚本

病毒木马程序的发作运行,一般要借助IE浏览器脚本解释功能才行,如果禁止使用IE浏览器的脚本功能,那么网络病毒将会失去威胁。要做到这一点,先打开IE浏览器窗口,逐一点 击“工 具”、“Internet选项”命令,进入Internet选项对话框,单击“安全”选项卡,切换到安全选项设置页面,按下“自定义级别”按钮,展开如图8所示的安全设置列表,将其中的“活动脚本”、“Java小程序脚本”、“运行ActiveX控件和插件”等全部选择为“禁用”,最后点击“确定”按钮退出设置对话框。

猜你喜欢
优盘组策略对话框
正常恢复虚拟机
通过PowerShell获取组策略安全报告
人脑优盘
Bootlace Worms’Secret etc.
What Is Beauty?
打造优盘系统维护盘
如何完全卸载OneDrive
妙手回春巧修优盘
浅谈VB的通用对话框《CommonDialog》控件的使用
轻松打造多功能启动型优盘