HIPS是Host-based Intrusion Prevention System的简称,即基于主机的入侵防御系统。和常规杀毒软件相比,HIPS是一款主动防御系统。它以进程为核心,通过编辑特定的规则,对进程行为,如运行、访问网络、访问注册表、访问文件等进行监控,发现异常即予以阻止,可以更有效地保护系统安全。适合Windows 7使用的HIPS类软件较少。其实,根据HIPS原理,运用系统组策略,我们自己也可以打造一个HIPS安全系统。 阻止恶意程序运行
现在很多恶意软件都是隐藏在C:\Windows和C:\Windows\system32下,这样一方面可以实现快捷启动(系统目录内程序可以通过命令行直接运行),另一方面则可以达到鱼目混珠的目的,比如将文件名称伪装为系统程序,避免被用户发现。现在通过制定特殊规则即可有效阻止恶意程序的运行。
阻止木马在系统目录下运行
第1步:分析目录状况。打开C:\windows,点击“查看→排序→按类型”,可以看到该目录下可执行程序并不多,我们常用的程序则只有explorer.exe(资源管理器)、regedit.exe(注册表编辑器)和notepad.exe三个,因此要阻止其他恶意程序在该目录下运行,我们只要制定一个禁止从C:\windows下运行任何程序(除上述三个之外)的规则即可。
第2步:创建限制策略。在开始搜索框输入gpedit.msc,按回车键启动组策略后依次展开“计算机配置→Windows设置→安全设置→软件限制策略”,然后单击菜单栏的“操作→创建软件限制策略”,新建一个策略。接着在“其他规则”上右击选择“新建路径规则”,在弹出的窗口路径框输入“%SYSTEMROOT%\*.exe”(即禁止该目录下运行任何应用程序),安全级别选择“不允许”。
第3步:继续新建规则,在弹出的窗口路径框输入“%SYSTEMROOT%\regedit.exe”,安全级别选择“不受限”,即允许运行注册表编辑程序。方法同上,依次添加自己允许运行程序的名称。通过上述设置后,以后如果有病毒程序藏身在C:\windows目录下试图运行,就会遭到软件限制策略的拦截而无法运行(自己设置不受限的程序不受影响),有效保护系统目录不再成为病毒、木马的藏身之处。
保护系统关键进程
除了上述目录外,C:\Windows\system32也是病毒木马喜爱的藏身之处。我们同样可以使用建立规则的方法阻止木马运行,并且可以对系统关键进程进行保护。比如很多木马是通过伪装成系统进程的名称藏身于此,伪装途径主要有两种:
一是直接使用系统进程的名称如csrss.exe,但是藏身在system32下的其他子目录(因为同一个文件下不允许有同名文件)。
二是使用类似win1ogon.exe(不是winlogon.exe,木马将i替换为阿拉伯数字1))名称藏身于system32。
对于这些木马,我们可以首先建立一条允许规则,允许运行系统必需的正常进程如csrss.exe、ctfmon.exe(具体进程可以打开任务管理器,切换到“显示所有用户进程”查看)。接着再使用通配符建立不允许运行的进程,如限制csrss.* (.* 表示任意后缀名,这样就涵盖了bat、com等等可执行文件的后缀)、lass.*等不允许运行,具体设置可以参考正常进程列表程序。这样那些伪装成系统进程的木马就不会运行了。
拒绝非微软进程的运行
上述方法虽然简单,但是由于规则的限制,我们不可能将所有木马都拦截。因为木马的名称千变万化,仅靠简单的规则总是会有些新型或者变种木马漏网。对于系统安全有较高要求的用户,还可以利用应用程序控制策略创建规则,阻止所有非微软进程的启动。
第1步:右击桌面“计算机”, 依次选择“管理→服务”,找到Application Identity服务并设为自动启动。接着同上启动组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker→可执行规则”,右击“可执行规则”选择“创建默认规则”。
第2步:创建默认规则后,继续右击“可执行规则”选择“创建新规则”,在打开的创建向导选择默认Everyone账户执行权限为“拒绝”,然后在“条件”选项选择“路径”,选择系统目录C:\Windows作为限制规则目录(图3)。
第3步:继续单击“下一步”,在添加“例外”下选择“发布者”,然后单击“浏览”选择任意一个系统自带程序如C:\Program Files\DVD Maker\dvdmarker.exe(只是从从该程序提取例外签名信息),在例外设置中拉动滑块到“发布者”,也就是微软发布的程序是可以运行的。
第4步:剩下的操作按屏幕提示完成规则的创建即可,最后返回AppLocker界面,单击左侧窗格“配置规则强制”,然后在打开的窗口勾选“可执行规则”下的“已配置”,选择“强制规则”,重启后限制规则就开始生效了。创建上述限制规则后,以后在C:\Windows下运行的程序如果发布者不是微软公司,那么就无法运行,系统会提示该程序已经被系统组策略限制。
小提示
启用上述限制后,本机所有需要以管理员身份运行的程序都会受到限制(不过由于“例外”设置的存在,系统自带程序是可以正常运行的),对于非系统目录的受限程序,只要右击选择“以管理员身份运行”即可正常启动(但是系统目录的除外)。对于具体程序的限制,则可以使用文件哈希值进行限制。
保护上网安全
木马病毒一个重要入侵途径就是借助网络,在浏览恶意网页时,病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运行,造成系统染毒。这样我们只要设置一项规则阻止指定目录木马限制运行即可。操作同上,在软件限制策略添加下列目录内的程序不允许运行即可:
%SYSTEMROOT%\Temp\**\*.exe 不允许的(系统临时文件夹,病毒经常下载到此目录运行)
%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\**\*.exe 不允许的 (这个是IE缓存、历史记录、临时文件所在位置,网上下载病毒藏身位置)
更多设置
通过上述实例,相信大家知道限制策略实际上主要通过设置不受限(允许正常进程运行)和不允许(限制指定程序运行)规则来达到目的。因此大家可以根据自己的实际需要设置更多的规则来保护电脑。比如要防止U盘病毒的入侵,只要设置如下规则即可(其中问号为通配符,表示任意盘符):
?:\autorun.inf 不允许的
?:\*.* 不允许的
大家可以举一反三设置更多规则来保护自己的系统。
规则的重用与共享
软件限制策略的使用原理虽然简单,但是规则的具体设置却需要掌握一定的电脑知识,我们可以将自己电脑上设置好的规则文件和好友共享。完成规则的设置后,将C:\Windows\System32\GroupPolicy\Machine目录打包上传,使用者只要下载该文件后覆盖到上述目录替换源目录即可。其实,我们也可以保存好规则文件,如果有一天重装系统,直接调用这些文件,就无需再重新设置策略了,非常方便。
|