HIPS is the abbreviation of Host-based Intrusion Prevention System, the host based intrusion prevention system.Compared with the conventional antivirus software, HIPS is an active defense system.It takes process as the core and monitors specific process rules such as running, accessing network, accessing registry and accessing files by editing specific rules. 它可以
检测出异常并防止其发生,从而更有效地
保护系统安全,适合Windows 7的HIPS类软件较少,实际上,根据HIPS原理,采用系统组
策略,也可以建立HIPS安全系统。
防止恶意软件
运行 现在很多恶意软件隐藏在C: Windows和C: Windows System32,这可以实现快速
启动(
程序运行
目录下即可直接通过
命令行),另一方面,可以实现鱼的目的,如
文件名伪装成
系统程序,避免被
用户发现。现在可以有效地防止恶意软件运行的特殊规律。
防止特洛伊木马程序在系统目录下运行
第一步:分析目录的状态。开放C:窗口,单击查看;具有;按
类型排序;RARR;,可以看到可
执行程序的目录不多,我们使用的程序是explorer.exe(
资源管理器),由regedit.exe(
注册表
编辑器和notepad.exe三),所以防止其他恶意程序目录中运行,我们只要做一个
禁止运行任何程序从C: Windows(除了以上三点外)规则。
第二步:
创建一个限制策略。在
搜索框中
输入gpedit.msc启动,按下回车键启动组策略推出
计算机配置RARR;Windows RARR;具有安全;软件限制策略,然后单击菜单栏;RARR;创建软件限制策略;一个新的战略。其次,在其他规则;点击
右键选择新
路径规则;输入%SystemRoot% *。exe弹出窗口中的路径框;(禁止任何
应用程序目录下,运行);选择安全等级;是不允许的;(图1)。
第三步是继续建立新的规则,进入%SystemRoot% regedit.exe在弹出的窗口中选择路径框,安全级别不限制,即允许注册表编辑器程序运行的
方法,以同样的方式,添加,让你又跑了该程序的名称。通过以上的
设置,如果它在C
病毒程序: Windows目录正在运行,将是软件限制策略拦截
操作(不限于自己设置程序不受
影响),在系统目录的有效保护将不再是一个病毒和木马的藏身之处(图2)。
保护系统的关键过程
除了上述名单,C: Windows System32也喜欢藏身的病毒木马,我们也可以使用一个规则为基础的方法来防止木马的运行,以及保护系统的关键过程。例如,许多木马是隐藏的系统
进程的名称。伪装主要有两种方式。
一种是直接利用系统进程的名称,如什么,但隐藏在其他子目录下的system32(因为具有相同名称的任何文件相同的文件允许的
情况下)。
二是使用类似的win1on.exe(不winlon.exe,木马是由阿拉伯1号代替))的
名字隐藏在system32。
这些木马,我们首先建立一个允许规则允许的正常过程如csrss.exe和ctfmon.exe运行系统,可以打开
任务管理器,切换到
显示所有用户进程,并查看,然后使用通配符设置不允许运行的程序,如CSRSS。*(*代表任何
后缀,其中包括蝙蝠、COM等
可执行文件的后缀),丫头。*不允许运行特定的设置可以参照正常的进程列表程序,木马,伪装成一个系统的过程,将不运行。
拒绝运行非微软进程
上述方法简单,但它是不可能拦截所有的木马由于规则的限制。因为木马的名字只有简单的规则千变万化,总是会有新的或变种木马逃走。对于高系统安全需求的用户,应用程序
控制策略也可用于创建规则防止所有非微软进程启动。
第一步:在
桌面上右击计算机选择;;又具有
服务;管理;找到应用的身份服务设置为自动启动,然后开始为组策略编辑器,展开计算机配置;具有;Windows RARR;具有安全;应用具有可执行applockerrarr;控制策略;规则,右键单击可执行规则创建
默认规则;。
第二步:创建默认规则,右键单击可执行规则;,创建一个新的规则;在打开创建向导中选择默认的所有
账户执行
权限;在,然后下降;期权;路径选择系统,C目录: Windows作为限制规则目录(图3)。
第三步:点击添加;其次,在选择;;例外;出版商,然后单击
浏览;一个系统的任意选择自带程序如C:程序文件 DVD机 dvdmarker.exe(唯一的例外信息从特征提取的程序),在特殊设置拉滑块出版商,这是微软的程序运行(图4)。
第四步:其余的操作可以完成
屏幕创建规则,最后返回AppLocker
界面,单击左窗格中的配置规则和蜱、强制性;在打开的窗口下的规则;执行;配置,选择;强制规则,
重启后的规则生效。在创建上述限制规则,程序运行在C: Windows不会如果出版商不微软
公司系统会
提示程序可由系统组策略限制可以运行。
小提示
开放的限制,所有的机器都需要运行的程序
管理员将是有限的(但与例外;建立系统的存在与程序可为非限制程序正常运行,)到系统目录下,只要右击以管理员身份运行即可;开始;(但系统目录除外),具体的程序,你可以使用文件哈希值限制。
保护互联网安全
木马病毒是入侵互联网的一种重要方式。当浏览恶意
网页,病毒会首先
下载到IE缓存和系统临时文件夹,并自动运行,造成系统
中毒。所以我们就建立了一个规则,防止指定目录木马运行。以同样的方式,程序在以下目录中添加软件限制政策不允许运行:
%systemroot%
温度 * * .exe是不允许的(一个系统临时文件夹,病毒往往是下载到这个目录下运行)
%USERPROFILE% AppData 地方微软 Windows Internet临时文件 * * .exe是不允许的(这是IE缓存、历史、临时文件的
位置,位置在互联网上下载病毒)。
更多的设置
通过以上的例子,我相信你知道限制策略主要是通过设置不限制规则来实现的(允许正常操作)不允许(指定程序运行)规则来实现
目标。所以你可以设置更多的规则,根据自己的实际需要保护的计算机例如,为了防止U盘病毒的入侵,只要规则可以设置如下(Mark作为一个通配符,表示任何字母):
autorun.inf是不允许的
不允许。
您可以设置更多的规则来保护自己的系统。
规则重用与共享
软件限制策略的原理很简单,但规则的具体设置需要掌握一定的计算机知识。我们可以
分享的规则文件,朋友让我们
电脑上的规则集。完成后,
上传上传C: Windows System32 组策略文件夹机目录。用户可以将文件下载到上面的目录并
替换源目录。事实上,我们还可以
保存规则文件。如果我们重新
安装系统一天,我们将不需要重新设置策略直接,所以它非常方便。