保护 SEP 的文件夹和注册表
用户可以通过修改本地安全策略,将 SEP 客户端的安装目录添加为不被允许的路径 规则,影响 SEP客户端的正常使用。另外,用户可能通过第三方工具来修改SEP目 录的权限,从而导致 SEP 客户端不能正常使用。
对于 SEP 客户端,有如下目录至关重要:
%PROGRAMFILES%\Symantec
%PROGRAMFILES%\Common Files\Symantec Shared
C:\Documents and Settings\All Users\Application Data\Symantec
SEP 在注册表中对应的目录为:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec
但是,我们需要对这个规则做一些例外,不能仅仅将此规则应用于所有进程,至少 需要排除 SEP 客户端自己的进程。 对于一个加入域中的终端,用户修改本地安全策略,实际上是修改的注册表下的项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy
Objects\*Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
操作系统默认不会在本地安全策略的软件限制策略下添加任何限制路径,所以,我 们需要禁止用户修
改这个注册表项。
1. 在以上策略的基础上,新建规则:
2. 添加“文件和文件夹访问尝试”条件:
3. 允许读取,但禁止修改:
4. 添加“注册表访问尝试”条件:
5. 添加规则,并将条件添加为“注册表访问尝试”:
策略在客户端生效后,当用户想在本地安全策略中将SEP路径添加为受限路径时,将被阻止:
From Symantec
专家点评:
此文档共分为“保护SEP进程”、“保护SEP的服务”、“保护SEP的文件夹和注册表”三个部分,分3天讲述。针对SEP程序管理中的“终止进程尝试”、“启动进程尝试”、“注册表访问尝试”、“文件及文件夹访问尝试”都讲的比较细致,希望各位看客举一反三,充分吸收,把SEP真正的价值体现出来。
Symantec Endpoint Protection的其他文档如下:
http://blog.sina.com.cn/s/articlelist_1768282477_12_1.html
使用SEP禁止刻录光盘
http://blog.sina.com.cn/s/blog_6965d96d0100sf02.html
Symantec Endpoint Protection在成熟中继续前行
http://blog.sina.com.cn/s/blog_6965d96d0100q5d2.html
Symantec Endpoint Protection一次“失败”的防御
http://blog.sina.com.cn/s/blog_6965d96d0100rcvc.html
好色理论与病毒防治!!!(W32.Downadup.B的治愈遐想)
http://blog.sina.com.cn/s/blog_6965d96d0100ta1u.html
SEP 12.1应用程序与设备控制中的诸多改进!!!
http://blog.sina.com.cn/s/blog_6965d96d0100tko4.html
SEP反破解方案A-保护SEP进程
http://blog.sina.com.cn/s/blog_6965d96d0101hbdn.html
SEP反破解方案B-保护SEP的服务
http://blog.sina.com.cn/s/blog_6965d96d0101hce1.html