巧用組策略，讓程序安全運(yùn)行

郭建偉

為了讓系統(tǒng)正常運(yùn)行，就需要對各種惡意程序進(jìn)行攔截。除了使用殺軟等安全工具外，還可以利用系統(tǒng)自帶的組策略，來讓程序更加安全的運(yùn)行。在組策略中創(chuàng)建各種安全規(guī)則，就可以實(shí)現(xiàn)簡單實(shí)用的主動防御機(jī)制。這樣，即使不法程序通過各種手段侵入系統(tǒng)，但是在安全規(guī)則的攔截-使其失去活力無法運(yùn)行，自然就不會對系統(tǒng)安全造成威脅。

一、鎖定隱藏在系統(tǒng)路徑中的“害蟲”

當(dāng)病毒等不法程序侵入系統(tǒng)后，總喜歡在系統(tǒng)目錄中藏身。有時惡意程序?yàn)榱烁玫仉[藏自己，會將正常的系統(tǒng)程序刪除，之后進(jìn)行冒名頂替。使用組策略可以輕松將其攔截。實(shí)現(xiàn)的方法很簡單，因?yàn)樵凇癈：＼Windows”“C：＼Windows＼System”和“C：＼Windows＼System32”等系統(tǒng)路徑中，雖然存在系統(tǒng)自帶的程序，但是常用的系統(tǒng)程序并不多，例如注冊表編輯器、CMD命令行程序、外殼程序Explorer.exe、記事本等。只要通過創(chuàng)建安全規(guī)則，只允許這些常用的程序可以自動運(yùn)行，而禁止其它程序運(yùn)行，即可實(shí)現(xiàn)上述功能。

運(yùn)行“gpedit.msc”程序，在組策略窗口中左側(cè)點(diǎn)擊“計算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”分支，點(diǎn)擊菜單“操作”→“創(chuàng)建新的策略”項(xiàng)，在右側(cè)窗口的“其它規(guī)則”項(xiàng)的右鍵菜單中點(diǎn)擊“新建路徑規(guī)則”項(xiàng)，在彈出窗口（如圖1）的“路徑”欄中輸入“%SYST EMROOT%＼system32＼*.exe”，在“安全級別”列表中選擇“不允許”項(xiàng)，確定后完成該規(guī)則的創(chuàng)建操作，禁止運(yùn)行系統(tǒng)路徑下的所有程序。按照同樣的方法創(chuàng)建新的路徑規(guī)則，在新路徑規(guī)則窗口中的“路徑”欄中輸入“%SYSTEMROOT%＼system32＼notepad.exe”，在“安全級別”列表中選擇“不受限的”。

確定后完成該規(guī)則的創(chuàng)建操作，允許記事本程序順利啟動。按照同樣的方法，可以針對“C：＼Windows＼System32”路徑中的常用程序（例如cmd.exe、regedt32.exe、net.exe、ntbackup.exe等），分別創(chuàng)建允許運(yùn)行的路徑規(guī)則。經(jīng)過以上操作，在系統(tǒng)路徑下只有經(jīng)過我們允許的程序可以順利運(yùn)行，其它程序無法啟動。即使有病毒潛伏到了該路徑下也會因?yàn)闊o法正常啟動而失去破壞力，當(dāng)然，您還可以針對“C：＼Windows”等其它系統(tǒng)路徑創(chuàng)建相應(yīng)的路徑規(guī)則，來避免病毒隨意運(yùn)行對系統(tǒng)進(jìn)行破壞。

二、剔除進(jìn)程列表中的不速之客

有時在任務(wù)管理器中會看到一些很熟悉的系統(tǒng)進(jìn)程例如“svchost.exe”等），但是其路徑卻不是常見的系統(tǒng)路徑，而是指向其他的位置，有些進(jìn)程干脆起一個和正常的系統(tǒng)進(jìn)程“高仿”的名稱（例如“explOrer.exe”等），毫無疑問，這是一些來路不明的惡意程序。使用組策略，就可以防止其蒙混過關(guān)危害系統(tǒng)安全。對于前一類惡意程序來說，可以在任務(wù)管理器中打開“進(jìn)程”面板，勾選“顯示所有用戶的進(jìn)程”項(xiàng)，來查看所有的系統(tǒng)關(guān)鍵進(jìn)程。例如以可疑的“svchost.exe”進(jìn)程為例，按照上述方法新建一條路徑規(guī)則，在規(guī)則設(shè)置窗口（如圖2）的“路徑”欄中輸入"svchost.exe”，在“安全級別”列表中選擇“不允許”。

之后再創(chuàng)建一個路徑規(guī)則，在路徑欄中輸入“%windir%＼system32＼scvhost.exe”，使之指向真正的“svchost.exe”程序，在“安全級別”欄中選擇“不受限”項(xiàng)。這樣，我們就針對“scvhost.exe”程序創(chuàng)建了兩條規(guī)則。按照優(yōu)先級，第二條使用絕對路徑的規(guī)則優(yōu)先級大于第一條基于文件名的規(guī)則，這樣，只有系統(tǒng)路徑下的“svchost.exe”程序可以順利運(yùn)行其它路徑下的假冒“scvhost.exe”程序是無法運(yùn)行的。按照同樣的方法，對其它系統(tǒng)關(guān)鍵進(jìn)程分別創(chuàng)建與之類似的安全規(guī)則，就可以確保系統(tǒng)進(jìn)程的純潔性。

對于后一種惡意程序，同樣可以配置相應(yīng)安全規(guī)則加以應(yīng)對。例如，“explorer.exe”是系統(tǒng)的重要進(jìn)程之一，也就成了病毒們爭相模仿的對象。例如，病毒程序通常會用“O”來取代“o”，“1”，“i”來取代“l(fā)”等方式，變身為"explorer.exe”"explOrer.exe”的嘴臉來迷惑人。狡猾一些的病毒還會以“.pif"擴(kuò)展名來取代“.exe”擴(kuò)展名，制作出“explorer.pif，等怪異的名稱，來避開用戶的追查。因?yàn)?.pif"文件和“.exe”“.com”程序一樣是可執(zhí)行文件，而且即使您在文件夾選項(xiàng)窗口中啟用了顯示文件名后綴項(xiàng)后，“.pif"后綴名也不會顯示出來，因此頗具迷惑性。因此，必須將所有可能偽裝的程序名全部禁用，才可以杜絕病毒李代桃僵的伎倆。例如可以針對"explOrer.exe”"explorerexe""explOrer.exe""expiorer.exe"，"explorer.com""*.pif"等文件格式分別創(chuàng)建“不允許”的路徑規(guī)則，這樣就可以有效抗擊采用近似于“explorer.exe”名稱的病毒的非法活動了o當(dāng)然，對于其它的系統(tǒng)進(jìn)程，例如“rund1132.exe”“csrss.exe”"spoolsv.exe”等，也可以編寫類似的安全規(guī)則，來屏蔽冒牌貨的運(yùn)行。

三、針對“陰暗”角落，執(zhí)行打掃操作

很多惡意程序?yàn)榱颂颖茏凡椋矚g躲藏在回收站、臨時文件夾、系統(tǒng)還原文件夾（System VolumeInformation）等角落，并為自身添加了隱藏屬性，不仔細(xì)檢查的的話，是很難發(fā)現(xiàn)其落腳點(diǎn)的。在通常情況下這些不常用的系統(tǒng)文件夾是不會存在任何可執(zhí)行程序的。因此，可以針對這些不起眼的角落配置路徑規(guī)則。

例如，可以分別對“？＼Recycle＼*.*“？：＼SystemVolume Information＼*.*”“%windir%＼system32＼Drivers＼*.*”“%windir%＼system＼*.*”“%SystemRoot%＼Temp＼**＼*.exe”“%UserProfile%＼AppData＼Local＼Microsoft＼Windows＼Temporary Internet Files＼**＼*.exe”“%UserProfile%＼LocaISetting＼Temp＼*.*”等路徑對象，分別創(chuàng)建路徑規(guī)則，將其“安全級別”設(shè)置為“不允許”，或者將其設(shè)置為“基本用戶”。就可以讓藏身于其中的病毒失去活力，然后執(zhí)行“gpupdate，force”命令激活規(guī)則即可。endprint

有時惡意程序會采用雙后綴名的方式，來逃避用戶的清查。因?yàn)樵谀J(rèn)情況下，系統(tǒng)是不顯示擴(kuò)展名的，不法程序?yàn)榱烁玫仉[藏自己，會為自身添加一個頗具迷惑性的擴(kuò)展名，例如“風(fēng)景.jpg.exe”等，冒充為圖片等格式的文件。并對自身圖標(biāo)進(jìn)行更換，更換為圖片、文本等很有迷惑性的外觀。讓人誤以為它們是圖片、音樂等文件，一旦雙擊了這些假貨，自然就會中招。為此，可以創(chuàng)建相應(yīng)的路徑規(guī)則，來狙擊“雙面間諜”的入侵。例如可以創(chuàng)建兩條路徑規(guī)則，將"*.jpg.exe”和*.txt.exe”路徑的安全級別設(shè)置為“不允許”，就可以讓這兩類雙擴(kuò)展名病毒無法作惡。當(dāng)然，您可以根據(jù)實(shí)際情況，為更多的雙擴(kuò)展名病毒配置路徑規(guī)則，阻止其非法活動。

四、徹底解除優(yōu)盤病毒的威脅

對于優(yōu)盤用戶來說，最討厭的事情莫過于優(yōu)盤病毒的騷擾了。優(yōu)盤病毒的一個最大特征就是在優(yōu)盤根目錄下創(chuàng)建特定的"Autorun.inf”文件，并使其指向病毒程序。一旦連接優(yōu)盤或者雙擊優(yōu)盤盤符，優(yōu)盤病毒就會發(fā)作。何止是優(yōu)盤，病毒侵入系統(tǒng)后，可能會在所有的磁盤的根目錄下創(chuàng)建這類"Autorun.inf"文件，等待用戶上當(dāng)受騙。為此，可以使用上述方法，創(chuàng)建一條路徑規(guī)則，在其"路徑"欄中輸入"？：＼Autorun.inf"，在"安全級別"欄中選擇"不允許"。這樣，就可以在用戶雙擊磁盤時寸，禁止運(yùn)行其根目錄下潛伏的"Autorun.inf"文件了為了進(jìn)一步提高安全性，還可以創(chuàng)建兩條路徑規(guī)則，分別針對"？：＼*.exe""？：＼*.com"或者"？：＼*.*等路徑設(shè)置"不允許"的安全規(guī)則，就可以有效防止?jié)摲诖疟P根目錄下的非法程序（或者任意文件）運(yùn)行了。

五、攔截非微軟程序，充分保護(hù)運(yùn)行安全

為了盡可能的提高安全性，很多用戶往往只希望運(yùn)行微軟認(rèn)證的程序，而禁用其它程序，來最大限度的保護(hù)系統(tǒng)安全。利用應(yīng)用程序控制策略創(chuàng)建安全規(guī)則，就可以輕松實(shí)現(xiàn)上述要求。運(yùn)行"service.msc"程序，在服務(wù)管理窗口中雙擊"ApplicationIdentity"服務(wù)在其屬性窗口中點(diǎn)擊"啟動"按鈕，激活該服務(wù)。運(yùn)行"gpedit.msc"程序，在組策略窗口左側(cè)點(diǎn)擊"計算機(jī)配置→Windows設(shè)置→安全設(shè)置-應(yīng)用程序控制策略→AppLocker→可執(zhí)行規(guī)則"項(xiàng)，在右側(cè)空白窗口的右鍵菜單中點(diǎn)擊"創(chuàng)建默認(rèn)規(guī)則"項(xiàng)，之后在窗口空白處的右鍵菜單中點(diǎn)擊"創(chuàng)建新規(guī)則"項(xiàng)，在操作向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，在下一步窗口中的"用戶或組"欄中選擇"Everyone"賬戶，在“操作”欄中選擇“拒絕”項(xiàng)，在下一步窗口（如圖3）中選擇“路徑”項(xiàng)，下一步窗口中點(diǎn)擊“瀏覽文件夾”按鈕，選擇"c：＼windows"文件夾，將其作為限制規(guī)則目錄。

在下一步窗口中的“添加例外”列表中選擇“發(fā)布者”項(xiàng)，在“例外”欄中點(diǎn)擊“添加”按鈕，在彈出窗口（如圖4）中點(diǎn)擊“瀏覽”按鈕，選擇系統(tǒng)自帶的任意一個程序，例如“C：＼Program Files＼lnternet Explorer＼ielowutil.exe”等，這里只是從該程序中提取例外簽名信息。在窗口左側(cè)縱向拖動滑塊，將其移動至“發(fā)布者”位置，即微軟發(fā)布的可以運(yùn)行的程序信息。之后連續(xù)點(diǎn)擊下一步按鈕，按照向?qū)У奶崾就瓿刹僮?，最后點(diǎn)擊“創(chuàng)建”按鈕，返回上述組策略AppLocker可執(zhí)行規(guī)則管理窗口。

點(diǎn)擊"AppLocker”節(jié)點(diǎn)，在右側(cè)窗口中點(diǎn)擊“配置規(guī)則強(qiáng)制”鏈接，在彈出窗口（如圖5）中的“強(qiáng)制”面板中的“可執(zhí)行規(guī)則”欄中勾選“已配置”項(xiàng)，并選擇“強(qiáng)制規(guī)則”項(xiàng)。點(diǎn)擊確定按鈕并重啟系統(tǒng)，上述限制規(guī)則就被激活了，之后在“c：＼windows”路徑下只能運(yùn)行微軟發(fā)布的程序，其它來歷的程序?qū)o法運(yùn)行。實(shí)際上，上述限制規(guī)則一旦起效，本機(jī)所有以管理員身份運(yùn)行的程序都會受到限制，只有“c：＼windows”中的系統(tǒng)程序可以自由運(yùn)行其它路徑下的程序可以在其右鍵菜單上點(diǎn)擊“以管理員身份運(yùn)行”項(xiàng)，才可以順利啟動。

當(dāng)利用組策略精心配制各種安全規(guī)則后，可以打開“c.＼windows＼system32＼grouppolicy＼machine”文件夾，將其中的所有文件打包后發(fā)送給您的好友，對方只需將其中的所有文件覆蓋到上述文件夾中即可。當(dāng)然，您也可以將這些文件壓縮打包妥善保存，一旦重裝系統(tǒng)后可以迅速恢復(fù)所有的安全策略，及時堵住病毒入侵的通道。endprint