作者:鬼王守护灵 | 来源:互联网 | 2017-08-18 20:58
今天上海IT外包服务网 www.itshanghai.net 就为大家分享Win7系统UAC+Applocker完美组合.如今我一直以来都在寻找摆脱靠杀毒软件的来保障系统安全的方法,自从微软NT6.x系统中引入UAC功能和新的安全机制后,让我看到了胜利的曙光。尤其win7系统更加人性化的UAC设置和新引入的Applocker(应用程序控制策略)功能,终于让我找到了一个近乎完美的解决方案,不敢独享,请大家指教.
先说说我的电脑分区情况(由于历史原因比较混乱,非是本人懒散):目前win7系统在C盘,而我的大部分软件都安装在F盘(没有把软件安装在C:\Program Files的习惯),下面正式开始(虽然我的叙述非常罗嗦,实则操纵起来非常简单):
1.UAC按系统默认设置不用更改,切忌用Administrator用户登录.为了安全,我已经禁用了它.我创建了两个用户x86(管理员)和user(标准账户)
2.为了让UAC对非系统盘进行保护,在非系统盘---右键---属性—安全---编辑,把Authenticated Users用户组的完全控制、修改、写入、特殊权限等去掉勾,只保留读取和执行,列出文件夹内容和读取三项,这样任何没有管理员权限的进程都无法对该盘进行写入和更改操作了!但是同时你会发现,当你打开一个Word文档另存为该盘或者用迅雷下载到该盘时,提示没有权限,无法保存(我们要的就是这个效果),此时我们可以新建一个文件夹把刚刚去掉的权限再改过来或者把你需要进行写操作的文件夹重新赋予以上权限即可!
3.其他你要保护的目录或者文件夹用同样的方法设置,而你需要进行写操作的文件夹同样要把权限改过来(不要嫌麻烦,安全向来都是麻烦的)
4.从这一步开始设置Applocker,先做一下准备工作,打开控制面板\系统和安全\管理工具\服务-----找到Application Identity这个服务---双击---启动(系统默认是手动,这里可以不做更改,只要启动它让它使我们接下来对组策略所做的更改立即生效即可,至于下次开机时它可以不用启动,如果你不放心,大可以改成自动)。
5.开始----运行---输入gpedit.msc启动组策略,打开计算机配置----Windows设置---安全设置---应用程序控制策略----Applocker,可以看到下面有三个选项:可执行规则,Windows安装程序规则和脚本规则。
6.左键单击“可执行规则”,可以看到右面是空白,接着右键—创建默认规则,可以看到默认生成了三个规则。稍微解释一下,三个规则都是允许规则,前两个规则是允许Everyone可以运行位于Program Files和Windows目录下的任何可执行文件的,第三个则是允许本地 Administrators 组的成员运行位于任何目录下的任何应用程序。这样的默认规则不是我们想要的,必须要更改!
7.右键---删除上面默认规则中的第三个.
8.同样的方法对Windows安装程序规则和脚本规则两个选项分别创建默认规则,然后删除第三个规则!然后暂时关闭组策略,让刚刚的设置生效,让我们来试验一下效果!可以看到,我位于F:\KMPlayer目录下的KMPlayer.exe已经无法运行,同时,位于H盘下的一个解压缩文件都无法执行(那是因为我的WinRAR软件也是安装在F盘的)。因为组策略把除了刚刚创建的默认规则外的任何规则都给阻止了.
9.为了能让我安装在F盘里面的软件能够运行,我必须重现创建一个新的规则,右键—创建新规则---下一步:操作—允许---用户或组---选择---高级。立即查找---选中你要允许的用户(我的是x86)---下一步。条件---选择路径---下一步
注:这里还有发布者和文件哈希两个选项,这两个选项是针对有数字签名的软件和没有签名的单个软件做限制的,也非常有用,只是这里用不着!
选择你要允许的文件或者文件夹---对我的电脑来说只好选择F:\目录了:这样设置之后,对我当前的用户(x86)来说,除了Program Files和Windows目录,还有F盘下的可执行文件可以运行外,其他任何位置的可执行文件都是不行能运行的,如图所示,我的H盘下QQ的安装软件是不能运行的:
到此为止,我们如此设置的目标是非常明确了,除了我们指定的Program Files和Windows目录以及还有F盘所有目录外,其他任何地方的可执行文件都是不能运行的,这样以来,就完美解决了来自U盘的病毒和其他盘下由于误操作而不小心让一些能逃过UAC监控的病毒运行问题了!除非你刻意把病毒拷贝到上述三个目录里面然它运行,否则是没有运行的权限的,更别说感染你的计算机了!而上述三个在我们允许之列的目录又都在UAC的监控之下,向里写入都是要经过我们允许的!
10.同样的方法在Windows安装程序规则和脚本规则进行设置一下,这两个规则是针对安装程序和一些脚本文件的!
至此,个人认为如此设置已经足够安全了,如果你还不放心,大不了再安装一个MSE吧!当然,安全的最终因素还是决定于使用计算机的人-----养成良好的习惯,比任何安全设置或者杀毒软件更加有效!
上海IT外包服务网 www.itshanghai.net