层出不穷的病毒和本马对Windows系统的安全构成了极大的威胁,我们在享受互联网的同时也深受着病毒和木马的困扰,除了安装各种各样的杀毒软件以及防火墙外,还有没有什么别的方法可以简单的达到增强系统对恶意代码的免疫能力呢?或许很多电脑使用者都不知道,其实微软为我们提供了一套基于管理控制台的安全配置工具,可以方便的配置计算机的安全策略。我们使用快捷键Win+R调出“运行”窗口,输入gpedit.msc打开本地组策略的编辑窗口,点击“Windows设置”下的“安全设置”,可以看到有很多类的安全策略,其中的“软件限制策略”对于恶意软件的免疫和防护就非常有用,本文危险漫步就重点介绍一下软件限制策略。
软件限制策略是为管理员提供的一套策略驱动机制。用于标识软件并控制该软件在本地计算机上运行的能力,即“允许”或“限制”运行。它由两部分组成:默认设置和例外清单。默认设置是指系统默认的软件安全级别,可以被设置成“不受限的”和“不允许的”。例外清单则定义了侧外的程序集,不受默认规则的限制。若是将默认设置成“不受限的”,则除了管理员定义的例外内容(一组不被允许运行的程序)外,任何软件都可以在系统中运行;反之,将默认设置成“不允许的”,那么除了管理员指定的特定程序集外,其它软件都不能运行。
在普通用户的电脑中,软件限制策略默认是不被开启的,这表示任何处在本机系统内的软件都有运行的权利,而这正是不安全因素的根源。如果我们能够根据自己使用电脑的情况来进行恰当的配置,就可以避免很多恶意软件的潜在运行了。下面我们就结合实例来说明如何进行设置。
软件限制策略中的规则可用来标识一个或多个应用程序,以指定是否允许它们运行,如果我们希望系统能达到一定的安全标准,可以先将默认的安全级别设置成“不允许的”,通过点击“安全级别”,选择右侧的“不允许的”,点击右键选择“设置成默认”即可实现。此时,为了保证系统中的应用程序能够正常运行,需要右键点击“其他规则”,将这些应用程序添加到例外清单。
可以看到,右键菜单中有四个选项:证书规则、哈希规则、网络区域规则以及路径规则。这就是用来标识软件的四个规则,证书规则使用软件发布者为可执行文件提供数据签名证书的方式来标识软件,哈希规则使用软件发布者为可执行文件提供的数字签名证书来标识,路径规则使用可执行文件位置的本地路径、通用命名约定(UNC)路径或注册表路径来标识,而网络区城规则使用可执行文件源自的Internet区域来标识,在实际的配置过程中,最常用的就是哈希规则和路径规则。 使用路径规则,则只有指定文件夹内的程序才可以运行,这有效的避免了一些存放资料的盘内所隐藏的恶意软件的潜在运行。到只有c盘内的程序可以运行,当运行D盘内的程序时,就会弹出提示框。
如果我们给所有可能的路径都创建规则,这样似乎可以保证C盘的绝对安全,但其实则不然。试想一下,如果一个QQ病毒感染QQ的主程序,这样在启动QQ的时候,病毒程序也就会随之运行,对于这种情况,使用路径规则是无法解决的,因为路径规则只检查路径是否合法,而不会检查这个要运行的程序有没有改变。这时,我们就需要使用哈希规则了,我们8/t#JQQ.exe创建了一个哈希规则,这样当它被修改时,系统就会阻止其运行。值得注意的是,QQ会进行更新,此时就需要我们及时更新哈希规则,否则系统就会根据设置的哈希规则来阻止其运行。
经过上面的学习,原本不懂的人也应该学习了如何使用软件限制策略来增强系统对恶意代码的免疫了吧。细心的你可能也会发现,打开本地组策略编辑器时,在“计算机配置”和“用户设置”下部有一个软件限制条目,到底该使用哪一个昵?如果我们希望这个策略仅对某个特定的用户或用户组生效,则使用“用户配置”下的策略;如果我们希望对本地登录到计算机的所有用户都生救,就使用“计算机”下面的策略。现在,该使用哪一个,聪明的休一定明白了吧。软件限制策略就为大家简单的介绍到这里,如果读者朋友们对其进行深入研究,可以联系危险漫步进行讨论。