再谈WINDOWS 7的 applocker的防毒设置 bbs.ikaka.com

baohe - 2009-11-24 20:25:00

注：此帖仅供WIN7 爱好者动手实践，还有潜台词没明确交代。抄袭者请留神。乱抄、乱散导致的后果————你自己去向别人解释。

————————————————分割线以下是本帖内容
http://bbs.ikaka.com/showtopic-8673856.aspx

上面这个帖子已初步讨论的applocker与病毒预防的相关设置。其主旨是：规范可执行文件、微软安装安装程序、脚本程序的运行，防止病毒滥用系统程序；防止%windows%和%program files%及它们各级子目录以外的可执行文件、安装程序以及脚本程序的运行。

至于试图进入%windows%和%program files%及它们各级子目录的恶意程序，WIN7的UAC会随时报警。当然，今后可能会出现绕过UAC的恶意程序。这是后话。目前还未见到绕过UAC的恶意程序。

剩下的一个问题是：恶意程序利用“内置管理员账户提权”运行咋办？因为下面这种设置中允许“内置管理员账户提权”在任何位置运行程序：

尝试一下按上图所示删除允许“内置管理员账户提权运行程序”规则，使我们的applocker规则变成这样：

然后，将工具程序autoruns.exe放在桌面，双击运行。程序被applocker规则阻止（意料之中的事）：

尝试“以管理员身份运行”autoruns.exe

哦耶！autoruns.exe依然被applocker阻止了：

尝试将autoruns.exe移入%windows%目录。UAC阻截并报警。点击“继续”（允许）：

这样，autoruns.exe才能运行：

结论：删除允许“内置管理员账户提权运行程序”规则，安全性更高。但有一点要注意：用户若像我这样设置applocker，应用程序务必安装在%program files%目录下，否则，应用程序无法使用。例如：若将迅雷安装在下图这个目录下，你的迅雷就别用了。除非你不用applocker规则，或者保留“允许内置管理员账户提权规则”。

用户系统信息：Opera/9.64 (Windows NT 6.1; U; Edition IBIS; zh-cn) Presto/2.1.1

梦幻の星oо - 2009-11-24 20:31:00

支持猫叔好好看一下谢谢:kaka11:

BAGGIO·18 - 2009-11-24 20:34:00

:kaka9: :kaka9:

前排就坐学习....

BAGGIO·18 - 2009-11-24 20:44:00

突然想起来了个问题

如果程序不是放在Program Files 下 (如迅雷)

我预先加入如图 E:\

这样安全性能是否有所变化?? (有点HIPS味道?:kaka9: )

附件: 1.jpg

UFO不幸外人 - 2009-11-24 20:54:00

再见猫叔，

还是一样的牛

前排坐下慢慢阅读

aaccbbdd - 2009-11-24 20:58:00

猫叔很强大

baohe - 2009-11-24 21:15:00

引用:

原帖由 BAGGIO·18 于 2009-11-24 20:44:00 发表
突然想起来了个问题

如果程序不是放在Program Files 下 (如迅雷)

我预先加入如图 E:\

这样安全性能是否有所变化?? (有点HIPS味道?:kaka9: )

迅雷以及其它类似的应用程序，最好安装在%program files%目录下。

既然WIN7 为我们的安全防护搭建好了基本框架，我们就尽量使用它。

你这样做，自己是方便了；恐怕病毒也方便了:kaka12:

?:\*.* 允许——————这样的规则最好别设。

注：?代表任意硬盘分区盘符

BAGGIO·18 - 2009-11-24 21:20:00

:kaka9: :kaka9:

昂..我很多应用应用程序没经过 Program Files 这个文件夹

直接放在E 根目录里了

昂..那个?的我不用... 嘿嘿..我就是安全和懒取个平衡点....不会所有盘都开放..只会开放一个如果开放E..⊙﹏⊙b汗

还有一个问题..Program Files 病毒也可以进来啊...只是相对病毒的发作空间给它压缩了能这样理解么?

郁闷...

提点要求嘿嘿
猫叔能不能写点有关系 Autoruns的教程..

刚百度了一下.好像都挺老的...:kaka12:

baohe - 2009-11-24 21:30:00

引用:

原帖由 BAGGIO·18 于 2009-11-24 21:20:00 发表

还有一个问题..Program Files 病毒也可以进

你自己往Program Files目录下拷贝个文件，试试。UAC 会报警（如果你的UAC确实是按下图设置的）。

BAGGIO·18 - 2009-11-24 21:35:00

引用:

原帖由 baohe 于 2009-11-24 21:30:00 发表

引用:

原帖由 BAGGIO·18 于 2009-11-24 21:20:00 发表

还有一个问题..Program Files 病毒也可以进

你自己往Program Files目录下拷贝个文件，试试。UAC 会报警。[/si

:kaka9: :kaka9:

这玩意.....还真报警了...

不过

怎么样可以设置...其他文件夹复制文件一样如 Program Files 有UAC报警呢?

百度了一下..没百度到..⊙﹏⊙b汗 (*猫叔...这个系统文件夹 Program Files 等式UAC内置的么?.)

baohe - 2009-11-24 21:39:00

引用:

原帖由 BAGGIO·18 于 2009-11-24 21:35:00 发表
[quote] 原帖由 baohe 于 2009-11-24 21:30:00 发表
[quote] 原帖由 BAGGIO·18 于 2009-11-24 21:20:00 发表

怎么样可以设置...其他文件夹复制文件一样如 Program Files 有UAC报警呢?

百度了一下..没百度到..⊙﹏⊙b汗

按下图这样设置UAC，怎么鼓捣，都不报警了。但这是最危险的（相当于废掉了UAC）。

BAGGIO·18 - 2009-11-24 21:42:00

:kaka12:

我设置的是最高级别...

我想问..怎么样可以比如说我复制文件到E

.UAC也会报警呢? 找不见设置的问题...

这个UAC。和这个APP 什么关系？:kaka9:

baohe - 2009-11-24 21:49:00

引用:

原帖由BAGGIO·18 于 2009-11-24 21:42:00 发表
:kaka12:

我设置的是最高级别...

我想问..怎么样可以比如说我复制文件到E

.UAC也会报警呢? 找不见设置的问题...

这个UAC。和这个APP 什么关系？:kaka9:

关于UAC的设置，点击这里：

UAC：监控文件对计算机的改动（改动发生时，UAC询问用户是否允许）。

APPLOCKER路径规则：规定那些地方的程序可以运行。（规则以外的程序————一律禁止运行）

BAGGIO·18 - 2009-11-24 22:15:00

引用:

原帖由 baohe 于 2009-11-24 21:49:00 发表

引用:

原帖由BAGGIO·18 于 2009-11-24 21:42:00 发表
:kaka12:

我设置的是最高级别...

我想问..怎么样可以比如说我复制文件到E

.UAC也会报警呢? 找不见设置的问题...

这个UAC。和这个APP 什么关系？:kaka9:

猫叔....

我试了试...

好像只有复制到系统盘的 Program Files 下才会警告

我复制到E 盘的 Program Files 下没有警告....

baohe - 2009-11-24 22:22:00

引用:

原帖由 BAGGIO·18 于 2009-11-24 22:15:00 发表
[quote] 原帖由 baohe 于 2009-11-24 21:49:00 发表
[quote] 原帖由BAGGIO·18 于 2009-11-24 21:42:00 发表
:kaka12:

我设置的是最高级别...

我想问..怎么样可以比如说我复制文件到E

.UAC也会报警呢? 找不见设置的问题..

你的意思是要监控系统分区以外的文件创建？
这个，不归UAC 管。用RIS2010 或其它带文件监控的工具实现。

此外，也可尝试用WIN7 的bitlocker加密硬盘分区，见下图。（bitlocker能否使用，取决于你的电脑是否安装了受信平台模块，且版本不太旧。此外，要加密的分区必须是NTFS格式。）

一旦使用bitlocker加密硬盘分区，务必将密钥保存在电脑硬盘以外的存贮介质中（如：U盘），并妥善保管。忘记密钥并丢失或损坏了密钥存放U盘，你就郁闷了:kaka16:

BAGGIO·18 - 2009-11-24 22:30:00

噢````````````````

原来.....

学习了.....学习了...

学习去了...:kaka9: :kaka9:

西丁宁国 - 2009-12-1 15:53:00

认真看下猫叔提供的好资料，先学习再去实践。

sinoer - 2009-12-1 16:30:00

一直都是吧uac关掉用的，要不uac老是提示，太烦淫了

四脚蝌蚪 - 2009-12-6 11:07:00

我也赶紧试一试

西丁宁国 - 2009-12-16 22:05:00

可以一试了。

sheepherder - 2009-12-26 2:07:00

已学习，楼主辛苦!

yyg747 - 2009-12-30 9:55:00

是不是关了uac这个applocker就废了？

baohe - 2009-12-30 14:52:00

引用:

原帖由 yyg747 于 2009-12-30 9:55:00 发表
是不是关了uac这个applocker就废了？

也不一定。

若关闭了UAC，病毒往系统目录或应用程序目录下释放病毒文件，用户就得不到提示了（我说的是那种杀软尚未收录的病毒）。

如果真的发生这种情况，applocker中设置的又是“路径规则”，那用户就惨了。

初殇 - 2009-12-30 15:10:00

引用:

原帖由 baohe 于 2009-12-30 14:52:00 发表

引用:

原帖由 yyg747 于 2009-12-30 9:55:00 发表
是不是关了uac这个applocker就废了？

也不一定。

若关闭了UAC，病毒往系统目录或应用程序目录下释放病毒文件，用户就得不到提示了（我说的是那种杀软尚未收录的病毒）。

如果真的发生这种情况，applocker中设置的又是“路径规则”，那用户

UAC应该和策略没有关系的，策略比UAC更底层一些。个人见解。。。

baohe - 2009-12-30 15:19:00

引用:

原帖由初殇于 2009-12-30 15:10:00 发表
UAC应该和策略没有关系的，策略比UAC更底层一些。个人见解。。。

本贴设置的恰恰是强制的“路径规则”。也就是说：在“不经用户提权”的情况下，除了规则中指定的路径（WINDOWS和PROGRAM FILES以及次级子目录）中的程序可以运行外，其它位置的程序均无法运行。

这样的设置，须有UAC配合。防止病毒进入WINDOWS以及次级子目录和PROGRAM FILES以及次级子目录。

xuebao2009 - 2010-1-15 10:07:00

能不能告诉我一些有关于win7适用的批处理命令，很期待版主的回复

xuebao2009 - 2010-1-15 10:08:00

楼主辛苦，我们理解，期待与您一起努力

瑞星卡卡安全论坛