本文对象:对windows系统结构、HIPS、防火墙操作、网络协议有一定了解的人群
本文摘要:通过对目前威胁源的传播和扩散的分析,指出防毒重于杀毒的观点。在此观点上,提出采用windows的组策略来完善AD,RD,FD的防御,采用JETICO防火墙还完善网络防御和程序的网络访问权限控制,用SBIE来补漏。
本文的写作重点:论述为主,实际使用部分将采用链接已有内容作为补偿。
前言:
要保护好你的资料和帐号安全需要多少资源开销?用卡巴需要20mb以上的内存和高消耗的CPU,用金山需要10-20mb左右,瑞星更多一些,江民也好不到哪里去,红伞算是节约的,但也要10mb左右,诺顿就等着100mb以上的内存预算把。
最后的结果都是一样的,为了系统的安全。其实,我们可以理智的分析一下,为什么我们的电脑需要不断的更新。同样用office 写文档,office的体积从几百兆扩展到1个多GB,但是真正能够提高你工作效率的功能有多少?每一个版本是否真的如同它的体积一样,成几何倍的提升呢?
安全方面也是一样,反病毒,反木马的软件越来越肥,功能也越来越复杂,但是依然不能十分本质的提高用户的安全体验。原因何在?就是依靠病毒库的查杀方式已经不适合目前的安全需要了。况且拆壳能力也不怎么好,报壳比较普遍。
资源上去了,样子好看了,东西变大了,广告吹强了,但是本职工作依旧那么糟糕,安装了反病毒软件的计算机依然会中木马,依然会资料失窃,依然无法抵御针对性地攻击和破坏
那么,有没有一种既节省资源,又投资少,见效快的方法呢?当然有,而且无需安装和下载,就在你的电脑里!
威胁的常规工作流程:
我们开始之前,先分析一下一个病毒或者木马(以下统称威胁。)如何最终达到他的目的。(你可以把接下来的工作流程理解为一只要偷吃你家东西的老鼠。)
第一步,需要找到一个植入点。寻找进你家的方法。
这个步骤一般通过:移动介质的交互,网络的交互,他人的物理接触,第三方的操作(盗用你的帐号登录),插件的漏洞利用,系统自身的漏洞利用等等方法来完成。
第二步,选择植入位置。选择在你家的客厅还是厨房躲藏。
这个环节较为简单,寻找固定或者随机的位置写入自身和相关信息即可。
第三步,隐藏和保护自己。躲在柜子里不让你看到它。
一般采用rootkit,进程互助等方法来做到深层次的隐藏,这个环节依据编写者能力而定,并非所有的威胁都能很好的隐藏自己或者干脆就不躲藏。
第四步,开始工作。爬到餐桌上偷吃东西。
一般采用启动项,程序关联,镜像劫持,驱动加载,服务伪装,服务劫持等方法做到。
第五步,散布自身。生育很多小老鼠的过程。
这一步一般通过,修改正常文件的pe头,文件附加,单纯复制等方法来做到
第六步,破坏环境。用牙齿嘶咬衣服,搞坏你家窗户等
进展到这里,你的防御体系基本上已经完蛋了,后门会被植入,系统会被篡改,你的资料可能被删除或者改名。
第七步,对外宣传,让更多的老鼠来你家。
破坏完成后,木马和后门类型的威胁程序会打开自己的特制后门,然后主动发送消息给植入者,以便给别人提供进一步控制计算机的有利条件。
第八步,扫荡,寻找更多的房子入侵。
这一步会通过各种已知的未知的方式和方法去探测存在入侵可能的计算机,并且抓住一切机会去入侵新的计算机环境。这一步采用的方式没有规律,可以是第一步中提到的任何一种或者多种方式,也可以是新的方式 。常见的有,arp欺骗挂马,ARP欺骗劫持,移动介质的autorun建立,系统已知漏洞的利用代码攻击等等。
如何有效地防御威胁和挽回威胁的损失
从前面的分析可以看出,目前的反病毒软件基本上可以分为杀毒和查毒两个部分。
查毒(实时监控)就是在威胁进展到第4步之前阻断它,这样就不存在任何的破坏,一切就如同没事一样。
杀毒(清除威胁)就是在威胁进展到第二步之后的任何一个步骤时,通过预定义的清除动作来清除对应的威胁。这个环节并不能很好的使系统恢复到受灾前的样子,只能尽可能的完整恢复,不少修改的比较深的木马在清除后系统已经被破坏,免不了要重新安装系统,这也是事后吃药的软肋。
可见预防胜于挽救。
采用组策略代替HIPS
windows自带了系统的组策略,这个在windows 2000/xp/2003/vista或者之后版本中都有,HOME版本的用户可以自己从其他版本中复制组策略的相关文件自行安装使用。
采用系统自身的组策略的好处很明显。首先是0资源的占用。再者,可以保护规则不受破坏,因为组策略并没有单独的进程,NTFS权限更是在挂载时就执行,两者都是底层的,所以即使木马进入ring0也很难破坏它。而第三方的hips软件虽然使用简单,但是稳定性和安全性任何不及系统自身的来得完善。
在windows的组策略中,可以详细的定义那些程序可以运行,那些不能运行,那些只能以基础用户的级别运行等等,在windows的软件限制策略中,给任何一个程序都可以分为5个级别,每一个级别都被赋予不同的执行权限,你完全可以设置那些并不需要很高权限的程序在较为安全的基本用户下执行。
windows的组策略可以做到:任何被限制的程序都无法提权或者挂全局钩子,任何程序不能越权执行,任何的现有木马的生存条件被破坏,任何的现有威胁的执行和散布条件被破坏。
windows的组策略可以对任何一个程序做出以下限制: (只是部分)
特权方面:
挂全局钩子的权力
从网络访问此计算机
以操作系统方式操作
域中添加工作站
调整进程的内存配额
通过终端服务允许登录
备份文件和目录
跳过遍历检查
更改系统时间
创建页面文件
创建记号对象
创建永久共享对象
调试程序
拒绝从网络访问这台计算机
拒绝作为批作业登录
拒绝作为服务登录
拒绝本地登录
通过终端服务拒绝登录
允许计算机和用户帐户被信任以便用于委任
从远端系统强制关机
产生安全审核
增加进度优先级
装载和卸载设备驱动程序
内存中锁定页
作为批处理作业登录
作为服务登录
在本地登录
管理审核和安全日志
修改固件环境值
执行卷维护任务
配置单一进程
配置系统性能
从插接工作站中取出计算机
替换进程级记号
还原文件和目录
关闭系统
同步目录服务数据
取得文件或其他对象的所有权
文件读写方面:
指定文件的读取/运行
指定文件的修改
指定文件的写入/创建
指定文件的删除
指定文件的权限的读取
指定文件的权限的修改
指定文件的所有者的修改
指定文件夹的读取/运行
指定文件夹的修改
指定文件夹的写入/创建
指定文件夹的删除
指定文件夹的权限的读取
指定文件夹的权限的修改
指定文件夹的所有人的修改
注册表读写方面:
注册表值的创建
注册表值的修改
注册表值的删除
注册表值的读取
注册表值的权限读取
注册表值的权限删除
注册表键的创建
注册表键的修改
注册表键的删除
注册表键的读取
注册表键的权限读取
注册表键的权限修改
网络通讯方面
基于端口的过滤
基于协议的过滤
基于特征字符的过滤
windows的组策略可以管理1-6还有8这些环节。
接下来,我们需要考虑为什么不能管理第7个环节,虽然理论上已经不可能存在第7个环节了,因为第六个环节也被组策略破坏了,但是我们还是要尽善尽美(可恶的完美主义。)
采用Jetico完善网络防御
所以,我们采用了较为完善的Jetico防火墙,虽然在hips方面,这款防火墙不是很完美,在最近的一次倾向HIPS能力的测试中惨败,但是其防火墙的本职能力依然是十分完美的,而且决对不拖慢网速,不论是局域网环境还是拨号环境或是VPN,它都不会影响到你的网络使用。采用它可以做到限制任何一款软件的网络访问,甚至制定基于端口和协议和动作的细致规则,同时自带的AD+FD功能也可以作为组策略的完善和补漏。
采用SBIE补漏
最后,依然是完美主义在作怪,添加Sbie这个沙盒作为最外层的保护和补漏,毕竟没有完美的软件,但是相互补充就能做到查漏补缺的功效。同时,Sbie也是我测试过的最节省资源也是最具兼容性的较为强悍的沙盒产品。
资源占用
对于以上所有的防御总共占用的资源不到5MB!以图为证:
绿色的是Sbie的进程,红色的是jetico的进程,如果你还需要更少的资源占用可以结束Sbiectrl.exe获得2mb左右的资源回收。 这里指出一点,结束jetico.exe并不干扰它的工作,Jetico完全可以靠服务不需要界面工作!
本文涉及到的相关信息点的参考资料:
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
有关windows 组策略的相关知识,
请参考MSDN或者之前我和其他网友一同发布和整理的资料:
组策略之软件限制策略——完全教程与规则示例
http://bbs.kafan.cn/viewthread.php?tid=211671&extra=page%3D1
菜鸟如何更简单的使用组策略简单实用方法
http://bbs.kafan.cn/viewthread.php?tid=231050&extra=page%3D1
超强的XP组策略(软件限制策略)白名单制度规则
http://bbs.kafan.cn/viewthread.php?tid=171598&extra=page%3D2
软件限制策略的另一种用法
http://bbs.kafan.cn/viewthread.php?tid=231730&extra=page%3D3
关于各种策略防范U盘病毒的讨论
http://bbs.kafan.cn/viewthread.php?tid=206247&extra=page%3D5
WINDOWS默认本地组
http://bbs.kafan.cn/viewthread.php?tid=226600&extra=page%3D6
软件限制 精简完美策略 策略.[可安装软件]
http://bbs.kafan.cn/viewthread.php?tid=209110&extra=page%3D10
关于使用组策略的IE安全防御方案的补充
http://bbs.kafan.cn/viewthread.php?tid=201666&extra=page%3D10
关于组策略拦截木马行为的可行性及其原理分析(组图+测试视频+文字)
http://bbs.kafan.cn/viewthread.php?tid=207871&extra=page%3D13
关于IE无软件支持的安全防御方案的演示
http://bbs.kafan.cn/viewthread.php?tid=201453&extra=page%3D13
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
有关Jetico防火墙的相关资料请参考:
jetico请用白名单策略(规则制作重要理念,必读)
http://jetico2.5d6d.com/thread-744-1-1.html
和大家分享一个规则(alexblair规则)
http://jetico2.5d6d.com/thread-424-1-1.html
使用jetico 2 通配符筛选提高规则效率
http://jetico2.5d6d.com/thread-429-1-1.html
Jetico SPI数据包匹配标准
http://jetico2.5d6d.com/thread-1175-1-1.html
本文摘要:通过对目前威胁源的传播和扩散的分析,指出防毒重于杀毒的观点。在此观点上,提出采用windows的组策略来完善AD,RD,FD的防御,采用JETICO防火墙还完善网络防御和程序的网络访问权限控制,用SBIE来补漏。
本文的写作重点:论述为主,实际使用部分将采用链接已有内容作为补偿。
前言:
要保护好你的资料和帐号安全需要多少资源开销?用卡巴需要20mb以上的内存和高消耗的CPU,用金山需要10-20mb左右,瑞星更多一些,江民也好不到哪里去,红伞算是节约的,但也要10mb左右,诺顿就等着100mb以上的内存预算把。
最后的结果都是一样的,为了系统的安全。其实,我们可以理智的分析一下,为什么我们的电脑需要不断的更新。同样用office 写文档,office的体积从几百兆扩展到1个多GB,但是真正能够提高你工作效率的功能有多少?每一个版本是否真的如同它的体积一样,成几何倍的提升呢?
安全方面也是一样,反病毒,反木马的软件越来越肥,功能也越来越复杂,但是依然不能十分本质的提高用户的安全体验。原因何在?就是依靠病毒库的查杀方式已经不适合目前的安全需要了。况且拆壳能力也不怎么好,报壳比较普遍。
资源上去了,样子好看了,东西变大了,广告吹强了,但是本职工作依旧那么糟糕,安装了反病毒软件的计算机依然会中木马,依然会资料失窃,依然无法抵御针对性地攻击和破坏
那么,有没有一种既节省资源,又投资少,见效快的方法呢?当然有,而且无需安装和下载,就在你的电脑里!
威胁的常规工作流程:
我们开始之前,先分析一下一个病毒或者木马(以下统称威胁。)如何最终达到他的目的。(你可以把接下来的工作流程理解为一只要偷吃你家东西的老鼠。)
第一步,需要找到一个植入点。寻找进你家的方法。
这个步骤一般通过:移动介质的交互,网络的交互,他人的物理接触,第三方的操作(盗用你的帐号登录),插件的漏洞利用,系统自身的漏洞利用等等方法来完成。
第二步,选择植入位置。选择在你家的客厅还是厨房躲藏。
这个环节较为简单,寻找固定或者随机的位置写入自身和相关信息即可。
第三步,隐藏和保护自己。躲在柜子里不让你看到它。
一般采用rootkit,进程互助等方法来做到深层次的隐藏,这个环节依据编写者能力而定,并非所有的威胁都能很好的隐藏自己或者干脆就不躲藏。
第四步,开始工作。爬到餐桌上偷吃东西。
一般采用启动项,程序关联,镜像劫持,驱动加载,服务伪装,服务劫持等方法做到。
第五步,散布自身。生育很多小老鼠的过程。
这一步一般通过,修改正常文件的pe头,文件附加,单纯复制等方法来做到
第六步,破坏环境。用牙齿嘶咬衣服,搞坏你家窗户等
进展到这里,你的防御体系基本上已经完蛋了,后门会被植入,系统会被篡改,你的资料可能被删除或者改名。
第七步,对外宣传,让更多的老鼠来你家。
破坏完成后,木马和后门类型的威胁程序会打开自己的特制后门,然后主动发送消息给植入者,以便给别人提供进一步控制计算机的有利条件。
第八步,扫荡,寻找更多的房子入侵。
这一步会通过各种已知的未知的方式和方法去探测存在入侵可能的计算机,并且抓住一切机会去入侵新的计算机环境。这一步采用的方式没有规律,可以是第一步中提到的任何一种或者多种方式,也可以是新的方式 。常见的有,arp欺骗挂马,ARP欺骗劫持,移动介质的autorun建立,系统已知漏洞的利用代码攻击等等。
如何有效地防御威胁和挽回威胁的损失
从前面的分析可以看出,目前的反病毒软件基本上可以分为杀毒和查毒两个部分。
查毒(实时监控)就是在威胁进展到第4步之前阻断它,这样就不存在任何的破坏,一切就如同没事一样。
杀毒(清除威胁)就是在威胁进展到第二步之后的任何一个步骤时,通过预定义的清除动作来清除对应的威胁。这个环节并不能很好的使系统恢复到受灾前的样子,只能尽可能的完整恢复,不少修改的比较深的木马在清除后系统已经被破坏,免不了要重新安装系统,这也是事后吃药的软肋。
可见预防胜于挽救。
采用组策略代替HIPS
windows自带了系统的组策略,这个在windows 2000/xp/2003/vista或者之后版本中都有,HOME版本的用户可以自己从其他版本中复制组策略的相关文件自行安装使用。
采用系统自身的组策略的好处很明显。首先是0资源的占用。再者,可以保护规则不受破坏,因为组策略并没有单独的进程,NTFS权限更是在挂载时就执行,两者都是底层的,所以即使木马进入ring0也很难破坏它。而第三方的hips软件虽然使用简单,但是稳定性和安全性任何不及系统自身的来得完善。
在windows的组策略中,可以详细的定义那些程序可以运行,那些不能运行,那些只能以基础用户的级别运行等等,在windows的软件限制策略中,给任何一个程序都可以分为5个级别,每一个级别都被赋予不同的执行权限,你完全可以设置那些并不需要很高权限的程序在较为安全的基本用户下执行。
windows的组策略可以做到:任何被限制的程序都无法提权或者挂全局钩子,任何程序不能越权执行,任何的现有木马的生存条件被破坏,任何的现有威胁的执行和散布条件被破坏。
windows的组策略可以对任何一个程序做出以下限制: (只是部分)
特权方面:
挂全局钩子的权力
从网络访问此计算机
以操作系统方式操作
域中添加工作站
调整进程的内存配额
通过终端服务允许登录
备份文件和目录
跳过遍历检查
更改系统时间
创建页面文件
创建记号对象
创建永久共享对象
调试程序
拒绝从网络访问这台计算机
拒绝作为批作业登录
拒绝作为服务登录
拒绝本地登录
通过终端服务拒绝登录
允许计算机和用户帐户被信任以便用于委任
从远端系统强制关机
产生安全审核
增加进度优先级
装载和卸载设备驱动程序
内存中锁定页
作为批处理作业登录
作为服务登录
在本地登录
管理审核和安全日志
修改固件环境值
执行卷维护任务
配置单一进程
配置系统性能
从插接工作站中取出计算机
替换进程级记号
还原文件和目录
关闭系统
同步目录服务数据
取得文件或其他对象的所有权
文件读写方面:
指定文件的读取/运行
指定文件的修改
指定文件的写入/创建
指定文件的删除
指定文件的权限的读取
指定文件的权限的修改
指定文件的所有者的修改
指定文件夹的读取/运行
指定文件夹的修改
指定文件夹的写入/创建
指定文件夹的删除
指定文件夹的权限的读取
指定文件夹的权限的修改
指定文件夹的所有人的修改
注册表读写方面:
注册表值的创建
注册表值的修改
注册表值的删除
注册表值的读取
注册表值的权限读取
注册表值的权限删除
注册表键的创建
注册表键的修改
注册表键的删除
注册表键的读取
注册表键的权限读取
注册表键的权限修改
网络通讯方面
基于端口的过滤
基于协议的过滤
基于特征字符的过滤
windows的组策略可以管理1-6还有8这些环节。
接下来,我们需要考虑为什么不能管理第7个环节,虽然理论上已经不可能存在第7个环节了,因为第六个环节也被组策略破坏了,但是我们还是要尽善尽美(可恶的完美主义。)
采用Jetico完善网络防御
所以,我们采用了较为完善的Jetico防火墙,虽然在hips方面,这款防火墙不是很完美,在最近的一次倾向HIPS能力的测试中惨败,但是其防火墙的本职能力依然是十分完美的,而且决对不拖慢网速,不论是局域网环境还是拨号环境或是VPN,它都不会影响到你的网络使用。采用它可以做到限制任何一款软件的网络访问,甚至制定基于端口和协议和动作的细致规则,同时自带的AD+FD功能也可以作为组策略的完善和补漏。
采用SBIE补漏
最后,依然是完美主义在作怪,添加Sbie这个沙盒作为最外层的保护和补漏,毕竟没有完美的软件,但是相互补充就能做到查漏补缺的功效。同时,Sbie也是我测试过的最节省资源也是最具兼容性的较为强悍的沙盒产品。
资源占用
对于以上所有的防御总共占用的资源不到5MB!以图为证:
绿色的是Sbie的进程,红色的是jetico的进程,如果你还需要更少的资源占用可以结束Sbiectrl.exe获得2mb左右的资源回收。 这里指出一点,结束jetico.exe并不干扰它的工作,Jetico完全可以靠服务不需要界面工作!
本文涉及到的相关信息点的参考资料:
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
有关windows 组策略的相关知识,
请参考MSDN或者之前我和其他网友一同发布和整理的资料:
组策略之软件限制策略——完全教程与规则示例
http://bbs.kafan.cn/viewthread.php?tid=211671&extra=page%3D1
菜鸟如何更简单的使用组策略简单实用方法
http://bbs.kafan.cn/viewthread.php?tid=231050&extra=page%3D1
超强的XP组策略(软件限制策略)白名单制度规则
http://bbs.kafan.cn/viewthread.php?tid=171598&extra=page%3D2
软件限制策略的另一种用法
http://bbs.kafan.cn/viewthread.php?tid=231730&extra=page%3D3
关于各种策略防范U盘病毒的讨论
http://bbs.kafan.cn/viewthread.php?tid=206247&extra=page%3D5
WINDOWS默认本地组
http://bbs.kafan.cn/viewthread.php?tid=226600&extra=page%3D6
软件限制 精简完美策略 策略.[可安装软件]
http://bbs.kafan.cn/viewthread.php?tid=209110&extra=page%3D10
关于使用组策略的IE安全防御方案的补充
http://bbs.kafan.cn/viewthread.php?tid=201666&extra=page%3D10
关于组策略拦截木马行为的可行性及其原理分析(组图+测试视频+文字)
http://bbs.kafan.cn/viewthread.php?tid=207871&extra=page%3D13
关于IE无软件支持的安全防御方案的演示
http://bbs.kafan.cn/viewthread.php?tid=201453&extra=page%3D13
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
有关Jetico防火墙的相关资料请参考:
jetico请用白名单策略(规则制作重要理念,必读)
http://jetico2.5d6d.com/thread-744-1-1.html
和大家分享一个规则(alexblair规则)
http://jetico2.5d6d.com/thread-424-1-1.html
使用jetico 2 通配符筛选提高规则效率
http://jetico2.5d6d.com/thread-429-1-1.html
Jetico SPI数据包匹配标准
http://jetico2.5d6d.com/thread-1175-1-1.html
342
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
