Windows安全设置策略及防火墙如何设置
防火墙与杀毒软件一直是用户计算机中不可缺少的一部分,很多网民朋友花大价钱去购买正版的杀毒软件和防火墙,但是网络安全防护却不见成效,其实,只要学会设置Windows安全设置策略及防火墙,就可以轻松营造一个安全的上网环境。下文将详细介绍。
Windows防火墙设置
而由于icmp消息用于诊断、报告错误情况和配置的作用,用户可以在其设置项中自行设置,以达启用和禁用windows防火墙允许在高级选项卡上选择的所有连接传入的icmp消息的类型,而在默认情况下,该列表中不允许任何icmp消息。设置好了以上项目后,即可启用该自带防火墙进行日常工作,并在其后建立下列软件策略。
软件限制策略
设置好此点可以保证在计算机中所运行软件的安全性。首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口,在其下的:计算机安全配置-windows设置-安全设置-软件限制策略中的其它设置内,用户可以看到这里以配的四条软件策略。而这4条规则是正是为了保证Windows运行所必须的程序不会被禁用而配置的。
一、环境变量与优先级
随后用户可以在其它规则上右击,新建新路径规则,常用通配符有:“*”和“?”,*表示任意个字符,?表示一个字符。常见文件夹环境变量有(以下以XP默认装在C盘例举):
%SYSTEMDRIVE% 表示 C:
%ProgramFiles% 表示 C:Program Files
%SYSTEMROOT% 和 %WINDIR% 表示 C:WINDOWS
%USERPROFILE% 表示 C:Documents and Settings当前用户名
%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users
%APPDATA% 表示 C:Documents and Settings当前用户名Application Data
%TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp
用户在这里也可以指定要禁止运行的程序名,但要注意优先级问题,微软规定为:绝对路径>使用通配符的路径>文件名。以禁止病毒模仿系统文件svchost.exe运行为例,由于该系统文件位于system32文件夹下,是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于windows其他位目录下,此时可以通过建立两条策略即:svchost.exe 不允许的,%windir%system32svchost.exe 不受限的,来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系,来达到让真正的系统文件运行,而病毒文件无法运行的效果。
二、禁止双扩展名与U盘运行文件
由于多数用户都使用XP的默认设置,包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户,这里需建立*.jpg.exe 不允许和*.txt.exe 不允许策略。然后加入h:*.exe 不允许,h*.com 不允许的两条,让U盘中的可执行文件无法启动。(注:这里笔者的U盘盘符为h盘)
三、禁止四地运行
?:Recycled*.* 不允许的
%windir%system*.* 不允许的
%windir%system32Drivers*.* 不允许的
?:System Volume Information*.* 不允许的
注:使用*.*格式时不会屏蔽掉可执行程序以外的的程序,如:txt、jpg等。
四、禁止伪装进程
随着病毒会自行将文件名改为与系统进程接近的名称时,如:explorer.exe、sp00lsv.exe等,其大小写及O与0的问题让用户无法识别,所以这里需建立如下策略让其无法启动。
*.pif 不允许
sp0olsv.exe 不充许
spo0lsv.exe 不充许
sp00lsv.exe 不充许
svch0st.exe 不充许
expl0rer.exe 不允许
explorer.com 不允许
注:有些病毒会用pif后缀,即explorer.pif.pif 和exe、com,都属于可执行文件,并且在XP系统中默认的com的优先级要高于exe可执行程序,其后缀具有极强的隐蔽性。如果用户在开启显视文件扩展名的情况下无法看到程序后缀时,即可以通过WinRAR或第三方浏览器进行查看。
端口组策略
当软件策略完成后,用户即可进入到最后一关,计算机端口策略的配置。众所皆知,设置好端口策略很大程序中可以对入侵攻击及木马病毒常用端口起到阻止作用,设置过程也很简单,只分四步走如下:
第一步、依次打开:控制面板-管理工具-本地安全策略-IP安全策略,在向导中下一步,填写安全策略名-安全通信请求,并将激活默认相应规则的钩去掉,点完成创建新的IP安全策略。
第四步、随后在新规则属性对话框中,选新IP筛选器列表,激活后点筛选器操作选项,将使用添加向导左边钩去掉,添加阻止操作,在新筛选器操作属性的安全措施选项里选阻止,确定即可回到新IP安全策略属性”对话框,在新的IP筛选器列表左边打钩,确定。在本地安全策略窗口中右击鼠标指派刚才建立的IP安全策略即可。