安全設定策略及自帶防火牆介紹
防火牆與防毒軟體一直是使用者計算機中不可缺少的一部分,很多網民的網路安全全靠此兩點在支撐,而如何用好防毒軟體、防火牆及策略的安全設定才是關鍵問題。雖然普通的防毒軟體只需按預設設定再加入當前的使用者安全理念即可開始工作,但是設定一個功能良好的安全策略卻不是那麼簡單,尤其是計算機中自帶的軟體防火牆,如果不配備有力的策略支援,那麼阻敵率只能佔到7成左右。
使用現狀
很顯然在當今計算機木馬病毒流行的時代,網路安全尤為重要。高手對此卻不屑一顧,依然在不安裝殺軟與防火牆的網路中“裸奔”,雖然高手們沒有安裝殺軟與第三方防火牆,但其卻用系統中自帶的防火牆功能,構建策略將來敵抵禦在警戒線之外。很多門外漢一直以為windows防火牆並不可靠,其實那是因為不瞭解該防火牆策略是如何配製的,所以才無法讓其發揮出因有的特性,以至於四方奔走到處求醫問藥來保護系統安全。
防火牆整體設定
對於普通網民與伺服器管理人員來說,配置系統自帶的防火牆安全策略與防毒軟體同等重要。開啟控制面板,在防火牆的普通設定中,使用者可根據例外列表中的資料,對當前通往外界的程式是否於是放行,作出勾選,並可以在其中進行相應的編輯與新增程式和埠。在高階選項中使用者可以指定windows防火牆日誌的配置, 是否記錄資料包的丟棄與成功連線並指定日誌檔案的名稱和位置***預設設定為systemrootpfirewall.log***及其最大容量。
而由於icmp訊息用於診斷、報告錯誤情況和配置的作用,使用者可以在其設定項中自行設定,以達啟用和禁用windows防火牆允許在高階選項卡上選擇的所有連線傳入的icmp訊息的型別,而在預設情況下,該列表中不允許任何icmp訊息。設定好了以上專案後,即可啟用該自帶防火牆進行日常工作,並在其後建立下列軟體策略。
軟體限制策略
設定好此點可以保證在計算機中所執行軟體的安全性。首先在開始執行選單中輸入gpedit.msc調出組策略配置視窗,在其下的:電腦保安配置-windows設定-安全設定-軟體限制策略中的其它設定內,使用者可以看到這裡以配的四條軟體策略,***小提示:如果以前未設定過安全策略,那麼在軟體限制策略上右鍵新建策略後將會出現選單***而這4條規則是正是為了保證Windows執行所必須的程式不會被禁用而配置的。
一、環境變數與優先順序
隨後使用者可以在其它規則上右擊,新建新路徑規則,常用萬用字元有:“*”和“?”,*表示任意個字元,?表示一個字元。常見資料夾環境變數有***以下以XP預設裝在C盤例舉***:
%SYSTEMDRIVE% 表示 C:
%ProgramFiles% 表示 C:\Program Files
%SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS
%USERPROFILE% 表示 C:\Documents and Settings\當前使用者名稱
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\當前使用者名稱\Application Data
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\當前使用者名稱\Local Settings\Temp
使用者在這裡也可以指定要禁止執行的程式名,但要注意優先順序問題,微軟規定為:絕對路徑>使用萬用字元的路徑>檔名。以禁止病毒模仿系統檔案 svchost.exe執行為例,由於該系統檔案位於system32資料夾下,是系統檔案所以病毒不可能替換它。偽裝後的病毒檔案將位於windows 其他位目錄下,此時可以通過建立兩條策略即:svchost.exe 不允許的,%windir%\system32\svchost.exe 不受限的,來禁止執行。該配置是利用優先順序中第二條使用絕對路徑的規則優先順序高於第一條基於檔名的路徑關係,來達到讓真正的系統檔案執行,而病毒檔案無法執行的效果
二、禁止雙副檔名與U盤執行檔案
由於多數使用者都使用XP的預設設定,包含系統隱藏已知副檔名的。為了不被病毒多副檔名迷惑使用者,這裡需建立*.jpg.exe 不允許和*.txt.exe 不允許策略。然後加入h:\*.exe 不允許,h\* 不允許的兩條,讓U盤中的可執行檔案無法啟動。***注:這裡筆者的U盤碟符為h盤***
三、禁止四地執行
目前潛入使用者計算機中的病毒木馬很多都會自行隱蔽行蹤,從而躲開管理人員的目光。這裡要建立策略,防止木馬從回收站、System Volume Information***系統還原資料夾***、C:\WINDOWS\system資料夾、C:\WINDOWS\system32\Drivers資料夾四地啟動。如下:
?:\Recycled\*.* 不允許的
%windir%\system\*.* 不允許的
%windir%\system32\Drivers\*.* 不允許的
?:\System Volume Information\*.* 不允許的
注:使用*.*格式時不會遮蔽掉可執行程式以外的的程式,如:txt、jpg等。
四、禁止偽裝程序
隨著病毒會自行將檔名改為與系統程序接近的名稱時,如:explorer.exe、sp00lsv.exe等,其大小寫及O與0的問題讓使用者無法識別,所以這裡需建立如下策略讓其無法啟動。
*.pif 不允許
sp0olsv.exe 不充許
spo0lsv.exe 不充許
sp00lsv.exe 不充許
svch0st.exe 不充許
expl0rer.exe 不允許
explorer 不允許
注:有些病毒會用pif字尾,即explorer.pif.pif 和exe、com,都屬於可執行檔案,並且在XP系統中預設的com的優先順序要高於exe可執行程式,其後綴具有極強的隱蔽性。如果使用者在開啟顯視副檔名的情況下無法看到程式字尾時,即可以通過WinRAR或第三方瀏覽器進行檢視。
埠組策略
當軟體策略完成後,使用者即可進入到最後一關,計算機埠策略的配置。眾所皆知,設定好埠策略很大程式中可以對入侵攻擊及木馬病毒常用埠起到阻止作用,設定過程也很簡單,只分四步走如下:
第一步、依次開啟:控制面板-管理工具-本地安全策略-IP安全策略,在嚮導中下一步,填寫安全策略名-安全通訊請求,並將啟用預設相應規則的鉤去掉,點完成建立新的IP安全策略。
第二步、右擊該IP安全策略,在屬性對話方塊中,將使用新增嚮導左邊的鉤去掉,然後單擊新增加入新規則,並在彈出的新規則屬性對話方塊點選新增,在隨後彈出的IP篩選器列表視窗中,把使用新增嚮導左邊的鉤去掉,然後新增新的篩選器。
第三步、進入篩選器屬性對話方塊,在源地址中選擇任何IP地址,目標地址選我的IP地址,點協議選項,在選擇協議型別下拉表中選TCP,然後在到此埠下文字框中輸入“XXXX”***XXXX為要關閉的埠號,如3389、139等***,確定退出即可。***注:詳細的關閉埠設定方案請使用者根據埠列表大全及自身需求量身而定,埠列表可以各大搜索引擎中自行查詢***
第四步、隨後在新規則屬性對話方塊中,選新IP篩選器列表,啟用後點篩選器操作選項,將使用新增嚮導左邊鉤去掉,新增阻止操作,在新篩選器操作屬性的安全措施選項裡選阻止,確定即可回到新IP安全策略屬性”對話方塊,在新的IP篩選器列表左邊打鉤,確定。在本地安全策略視窗中右擊滑鼠指派剛才建立的IP安全策略即可。
防火牆種類和工作原理介紹