安全設(shè)置策略及自帶防火墻介紹

防火墻與殺毒軟件一直是用戶計(jì)算機(jī)中不可缺少的一部分，很多網(wǎng)民的網(wǎng)絡(luò)安全全靠此兩點(diǎn)在支撐，而如何用好殺毒軟件、防火墻及策略的安全設(shè)置才是關(guān)鍵問(wèn)題。雖然普通的殺毒軟件只需按默認(rèn)設(shè)置再加入當(dāng)前的用戶安全理念即可開(kāi)始工作，但是設(shè)置一個(gè)功能良好的安全策略卻不是那么簡(jiǎn)單，尤其是計(jì)算機(jī)中自帶的軟件防火墻，如果不配備有力的策略支持，那么阻敵率只能占到7成左右。
　　使用現(xiàn)狀
　　很顯然在當(dāng)今計(jì)算機(jī)木馬病毒流行的時(shí)代，網(wǎng)絡(luò)安全尤為重要。高手對(duì)此卻不屑一顧，依然在不安裝殺軟與防火墻的網(wǎng)絡(luò)中“裸奔”，雖然高手們沒(méi)有安裝殺軟與第三方防火墻，但其卻用系統(tǒng)中自帶的防火墻功能，構(gòu)建策略將來(lái)敵抵御在警戒線之外。很多門外漢一直以為windows防火墻并不可靠，其實(shí)那是因?yàn)椴涣私庠摲阑饓Σ呗允侨绾闻渲频?，所以才無(wú)法讓其發(fā)揮出因有的特性，以至于四方奔走到處求醫(yī)問(wèn)藥來(lái)保護(hù)系統(tǒng)安全。
　　防火墻整體設(shè)置
　　對(duì)于普通網(wǎng)民與服務(wù)器管理人員來(lái)說(shuō)，配置系統(tǒng)自帶的防火墻安全策略與殺毒軟件同等重要。打開(kāi)控制面板，在防火墻的普通設(shè)置中，用戶可根據(jù)例外列表中的數(shù)據(jù)，對(duì)當(dāng)前通往外界的程序是否于是放行，作出勾選，并可以在其中進(jìn)行相應(yīng)的編輯與添加程序和端口。在高級(jí)選項(xiàng)中用戶可以指定windows防火墻日志的配置， 是否記錄數(shù)據(jù)包的丟棄與成功連接并指定日志文件的名稱和位置(默認(rèn)設(shè)置為systemrootpfirewall.log)及其最大容量。
　　而由于icmp消息用于診斷、報(bào)告錯(cuò)誤情況和配置的作用，用戶可以在其設(shè)置項(xiàng)中自行設(shè)置，以達(dá)啟用和禁用windows防火墻允許在高級(jí)選項(xiàng)卡上選擇的所有連接傳入的icmp消息的類型，而在默認(rèn)情況下，該列表中不允許任何icmp消息。設(shè)置好了以上項(xiàng)目后，即可啟用該自帶防火墻進(jìn)行日常工作，并在其后建立下列軟件策略。
　　軟件限制策略
　　設(shè)置好此點(diǎn)可以保證在計(jì)算機(jī)中所運(yùn)行軟件的安全性。首先在開(kāi)始運(yùn)行菜單中輸入gpedit.msc調(diào)出組策略配置窗口，在其下的：計(jì)算機(jī)安全配置-windows設(shè)置-安全設(shè)置-軟件限制策略中的其它設(shè)置內(nèi)，用戶可以看到這里以配的四條軟件策略，(小提示：如果以前未設(shè)置過(guò)安全策略，那么在軟件限制策略上右鍵新建策略后將會(huì)出現(xiàn)菜單)而這4條規(guī)則是正是為了保證Windows運(yùn)行所必須的程序不會(huì)被禁用而配置的。
　　一、環(huán)境變量與優(yōu)先級(jí)
　　隨后用戶可以在其它規(guī)則上右擊，新建新路徑規(guī)則，常用通配符有：“*”和“?”，*表示任意個(gè)字符，?表示一個(gè)字符。常見(jiàn)文件夾環(huán)境變量有(以下以XP默認(rèn)裝在C盤例舉)：
　　%SYSTEMDRIVE% 表示 C:
　　%ProgramFiles% 表示 C:\Program Files
　　%SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS
　　%USERPROFILE% 表示 C:\Documents and Settings\當(dāng)前用戶名
　　%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
　　%APPDATA% 表示 C:\Documents and Settings\當(dāng)前用戶名\Application Data
　　%TEMP% 和 %TMP% 表示 C:\Documents and Settings\當(dāng)前用戶名\Local Settings\Temp
　　用戶在這里也可以指定要禁止運(yùn)行的程序名，但要注意優(yōu)先級(jí)問(wèn)題，微軟規(guī)定為：絕對(duì)路徑>使用通配符的路徑>文件名。以禁止病毒模仿系統(tǒng)文件 svchost.exe運(yùn)行為例，由于該系統(tǒng)文件位于system32文件夾下，是系統(tǒng)文件所以病毒不可能替換它。偽裝后的病毒文件將位于windows 其他位目錄下，此時(shí)可以通過(guò)建立兩條策略即：svchost.exe 不允許的，%windir%\system32\svchost.exe 不受限的，來(lái)禁止運(yùn)行。該配置是利用優(yōu)先級(jí)中第二條使用絕對(duì)路徑的規(guī)則優(yōu)先級(jí)高于第一條基于文件名的路徑關(guān)系，來(lái)達(dá)到讓真正的系統(tǒng)文件運(yùn)行，而病毒文件無(wú)法運(yùn)行的效果

二、禁止雙擴(kuò)展名與U盤運(yùn)行文件
　　由于多數(shù)用戶都使用XP的默認(rèn)設(shè)置，包含系統(tǒng)隱藏已知擴(kuò)展名的。為了不被病毒多擴(kuò)展名迷惑用戶，這里需建立*.jpg.exe 不允許和*.txt.exe 不允許策略。然后加入h:\*.exe 不允許，h\*.com 不允許的兩條，讓U盤中的可執(zhí)行文件無(wú)法啟動(dòng)。(注：這里筆者的U盤盤符為h盤)
　　三、禁止四地運(yùn)行
　　目前潛入用戶計(jì)算機(jī)中的病毒木馬很多都會(huì)自行隱蔽行蹤，從而躲開(kāi)管理人員的目光。這里要建立策略，防止木馬從回收站、System Volume Information(系統(tǒng)還原文件夾)、C:\WINDOWS\system文件夾、C:\WINDOWS\system32\Drivers文件夾四地啟動(dòng)。如下：
　　?:\Recycled\*.* 不允許的
　　%windir%\system\*.* 不允許的
　　%windir%\system32\Drivers\*.* 不允許的
　　?:\System Volume Information\*.* 不允許的
　　注：使用*.*格式時(shí)不會(huì)屏蔽掉可執(zhí)行程序以外的的程序，如：txt、jpg等。
　　四、禁止偽裝進(jìn)程
　　隨著病毒會(huì)自行將文件名改為與系統(tǒng)進(jìn)程接近的名稱時(shí)，如：explorer.exe、sp00lsv.exe等，其大小寫及O與0的問(wèn)題讓用戶無(wú)法識(shí)別，所以這里需建立如下策略讓其無(wú)法啟動(dòng)。
　　*.pif 不允許
　　sp0olsv.exe 不充許
　　spo0lsv.exe 不充許
　　sp00lsv.exe 不充許
　　svch0st.exe 不充許
　　expl0rer.exe 不允許
　　explorer.com 不允許
　　注：有些病毒會(huì)用pif后綴，即explorer.pif.pif 和exe、com，都屬于可執(zhí)行文件，并且在XP系統(tǒng)中默認(rèn)的com的優(yōu)先級(jí)要高于exe可執(zhí)行程序，其后綴具有極強(qiáng)的隱蔽性。如果用戶在開(kāi)啟顯視文件擴(kuò)展名的情況下無(wú)法看到程序后綴時(shí)，即可以通過(guò)WinRAR或第三方瀏覽器進(jìn)行查看。
　　端口組策略
　　當(dāng)軟件策略完成后，用戶即可進(jìn)入到最后一關(guān)，計(jì)算機(jī)端口策略的配置。眾所皆知，設(shè)置好端口策略很大程序中可以對(duì)入侵攻擊及木馬病毒常用端口起到阻止作用，設(shè)置過(guò)程也很簡(jiǎn)單，只分四步走如下：
　　第一步、依次打開(kāi)：控制面板-管理工具-本地安全策略-IP安全策略，在向?qū)е邢乱徊剑顚懓踩呗悦?安全通信請(qǐng)求，并將激活默認(rèn)相應(yīng)規(guī)則的鉤去掉，點(diǎn)完成創(chuàng)建新的IP安全策略。
　　第二步、右擊該IP安全策略，在屬性對(duì)話框中，將使用添加向?qū)ё筮叺你^去掉，然后單擊添加加入新規(guī)則，并在彈出的新規(guī)則屬性對(duì)話框點(diǎn)擊添加，在隨后彈出的IP篩選器列表窗口中，把使用添加向?qū)ё筮叺你^去掉，然后添加新的篩選器。
　　第三步、進(jìn)入篩選器屬性對(duì)話框，在源地址中選擇任何IP地址，目標(biāo)地址選我的IP地址，點(diǎn)協(xié)議選項(xiàng)，在選擇協(xié)議類型下拉表中選TCP，然后在到此端口下文本框中輸入“XXXX”(XXXX為要關(guān)閉的端口號(hào)，如3389、139等)，確定退出即可。(注：詳細(xì)的關(guān)閉端口設(shè)置方案請(qǐng)用戶根據(jù)端口列表大全及自身需求量身而定，端口列表可以各大搜索引擎中自行查找)
　　第四步、隨后在新規(guī)則屬性對(duì)話框中，選新IP篩選器列表，激活后點(diǎn)篩選器操作選項(xiàng)，將使用添加向?qū)ё筮呫^去掉，添加阻止操作，在新篩選器操作屬性的安全措施選項(xiàng)里選阻止，確定即可回到新IP安全策略屬性”對(duì)話框，在新的IP篩選器列表左邊打鉤，確定。在本地安全策略窗口中右擊鼠標(biāo)指派剛才建立的IP安全策略即可。