防火牆與殺毒軟件一直是用戶計算機中不可缺少的一部分,很多網民的網絡安全全靠此兩點在支撐,而如何用好殺毒軟件、防火牆及策略的安全設置才是關鍵問題。雖然普通的殺毒軟件只需按默認設置再加入當前的用戶安全理念即可開始工作,但是設置一個功能良好的安全策略卻不是那麼簡單,尤其是計算機中自帶的軟件防火牆,如果不配備有力的策略支持,那麼阻敵率只能占到7成左右。
使用現狀 在當今計算機木馬病毒流行的時代,網絡安全尤為重要。高手對此卻不屑一顧,依然在不安裝殺軟與防火牆的網絡中“裸奔,雖然高手們沒有安裝殺軟與第三方防火牆,但其卻用系統中自帶的防火牆功能,構建策略將來敵抵御在警戒線之外。很多門外漢一直以為Windows防火牆並不可靠,其實那是因為不了解該防火牆策略是如何配制的,所以才無法讓其發揮出因有的特性,以至於四方奔走到處求醫問藥來保護系統安全。
防火牆整體設置 對於普通網民與服務器管理人員來說,配置系統自帶的防火牆安全策略與殺毒軟件同等重要。打開控制面板,在防火牆的普通設置中,用戶可根據例外列表中的數據,對當前通往外界的程序是否於是放行,作出勾選,並可以在其中進行相應的編輯與添加程序和端口。在高級選項中用戶可以指定windows防火牆日志的配置, 是否記錄數據包的丟棄與成功連接並指定日志文件的名稱和位置(默認設置為systemrootpfirewall.log)及其最大容量。
而由於icmp消息用於診斷、報告錯誤情況和配置的作用,用戶可以在其設置項中自行設置,以達啟用和禁用windows防火牆允許在高級選項卡上選擇的所有連接傳入的icmp消息的類型,而在默認情況下,該列表中不允許任何icmp消息。設置好了以上項目後,即可啟用該自帶防火牆進行日常工作,並在其後建立下列軟件策略。
軟件限制策略 設置好此點可以保證在計算機中所運行軟件的安全性。首先在開始運行菜單中輸入gpedit.msc調出組策略配置窗口,在其下的:計算機安全配置-windows設置-安全設置-軟件限制策略中的其它設置內,用戶可以看到這裡以配的四條軟件策略,(小提示:如果以前未設置過安全策略,那麼在軟件限制策略上右鍵新建策略後將會出現菜單)而這4條規則是正是為了保證Windows運行所必須的程序不會被禁用而配置的。
一、環境變量與優先級 隨後用戶可以在其它規則上右擊,新建新路徑規則,常用通配符有:“*和“?,*表示任意個字符,?表示任意一個字符。常見文件夾環境變量有(以下以XP默認裝在C盤例舉):
%SYSTEMDRIVE% 表示 C:
%ProgramFiles% 表示 C:\Program Files
%SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS
%USERPROFILE% 表示 C:\Documents and Settings\當前用戶名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\當前用戶名\Application Data
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\當前用戶名\Local Settings\Temp
用戶在這裡也可以指定要禁止運行的程序名,但要注意優先級問題,微軟規定為:絕對路徑>使用通配符的路徑>文件名。以禁止病毒模仿系統文件svchost.exe運行為例,由於該系統文件位於system32文件夾下,是系統文件所以病毒不可能替換它。偽裝後的病毒文件將位於windows其他位目錄下,此時可以通過建立兩條策略即:svchost.exe 不允許的,%windir%\system32\svchost.exe 不受限的,來禁止運行。該配置是利用優先級中第二條使用絕對路徑的規則優先級高於第一條基於文件名的路徑關系,來達到讓真正的系統文件運行,而病毒文件無法運行的效果。
二、禁止雙擴展名與U盤運行文件 由於多數用戶都使用XP的默認設置,包含系統隱藏已知擴展名的。為了不被病毒多擴展名迷惑用戶,這裡需建立*.jpg.exe 不允許和*.txt.exe 不允許策略。然後加入h:\*.exe 不允許,h\*.com 不允許的兩條,讓U盤中的可執行文件無法啟動。(注:這裡筆者的U盤盤符為h盤)
三、禁止四地運行 目前潛入用戶計算機中的病毒木馬很多都會自行隱蔽行蹤,從而躲開管理人員的目光。這裡要建立策略,防止木馬從回收站、System Volume Information(系統還原文件夾)、C:\Windows\system文件夾、C:\WINDOWS\system32\Drivers文件夾四地啟動。如下:
?:\Recycled\*.* 不允許的
%windir%\system\*.* 不允許的
%windir%\system32\Drivers\*.* 不允許的
?:\System Volume Information\*.* 不允許的
注:使用*.*格式時不會屏蔽掉可執行程序以外的的程序,如:txt、jpg等。
四、禁止偽裝進程 隨著病毒會自行將文件名改為與系統進程接近的名稱時,如:explorer.exe、sp00lsv.exe等,其大小寫及O與0的問題讓用戶無法識別,所以這裡需建立如下策略讓其無法啟動。
*.pif 不允許
sp0olsv.exe 不允許
spo0lsv.exe 不允許
sp00lsv.exe 不允許
svch0st.exe 不允許
expl0rer.exe 不允許
explorer.com 不允許
注:有些病毒會用pif後綴,即explorer.pif.pif 和exe、com,都屬於可執行文件,並且在XP系統中默認的com的優先級要高於exe可執行程序,其後綴具有極強的隱蔽性。如果用戶在開啟顯視文件擴展名的情況下無法看到程序後綴時,即可以通過WinRAR或第三方浏覽器進行查看。
端口組策略 當軟件策略完成後,用戶即可進入到最後一關,計算機端口策略的配置。眾所皆知,設置好端口策略很大程序中可以對入侵攻擊及木馬病毒常用端口起到阻止作用,設置過程也很簡單,只分四步走如下:
第一步、依次打開:控制面板-管理工具-本地安全策略-IP安全策略,在向導中下一步,填寫安全策略名-安全通信請求,並將激活默認相應規則的鉤去掉,點完成創建新的IP安全策略。
第二步、右擊該IP安全策略,在屬性對話框中,將使用添加向導左邊的鉤去掉,然後單擊添加加入新規則,並在彈出的新規則屬性對話框點擊添加,在隨後彈出的IP篩選器列表窗口中,把使用添加向導左邊的鉤去掉,然後添加新的篩選器。
第三步、進入篩選器屬性對話框,在源地址中選擇任何IP地址,目標地址選我的IP地址,點協議選項,在選擇協議類型下拉表中選TCP,然後在到此端口下文本框中輸入“XXXX(XXXX為要關閉的端口號,如3389、139等),確定退出即可。(注:詳細的關閉端口設置方案請用戶根據端口列表大全及自身需求量身而定,端口列表可以各大搜索引擎中自行查找)
第四步、隨後在新規則屬性對話框中,選新IP篩選器列表,激活後點篩選器操作選項,將使用添加向導左邊鉤去掉,添加阻止操作,在新篩選器操作屬性的安全措施選項裡選阻止,確定即可回到新IP安全策略屬性對話框,在新的IP篩選器列表左邊打鉤,確定。在本地安全策略窗口中右擊鼠標指派剛才建立的IP安全策略即可。
三、禁止四地運行 目前潛入用戶計算機中的病毒木馬很多都會自行隱蔽行蹤,從而躲開管理人員的目光。這裡要建立策略,防止木馬從回收站、System Volume Information(系統還原文件夾)、C:\Windows\system文件夾、C:\WINDOWS\system32\Drivers文件夾四地啟動。如下:
?:\Recycled\*.* 不允許的
%windir%\system\*.* 不允許的
%windir%\system32\Drivers\*.* 不允許的
?:\System Volume Information\*.* 不允許的
注:使用*.*格式時不會屏蔽掉可執行程序以外的的程序,如:txt、jpg等。
四、禁止偽裝進程 隨著病毒會自行將文件名改為與系統進程接近的名稱時,如:explorer.exe、sp00lsv.exe等,其大小寫及O與0的問題讓用戶無法識別,所以這裡需建立如下策略讓其無法啟動。
*.pif 不允許
sp0olsv.exe 不允許
spo0lsv.exe 不允許
sp00lsv.exe 不允許
svch0st.exe 不允許
expl0rer.exe 不允許
explorer.com 不允許
注:有些病毒會用pif後綴,即explorer.pif.pif 和exe、com,都屬於可執行文件,並且在XP系統中默認的com的優先級要高於exe可執行程序,其後綴具有極強的隱蔽性。如果用戶在開啟顯視文件擴展名的情況下無法看到程序後綴時,即可以通過WinRAR或第三方浏覽器進行查看。
端口組策略 當軟件策略完成後,用戶即可進入到最