[编程其他] Windows系统安全设置策略及自带防火墙介绍

防火墙与杀毒软件一直是用户计算机中不可缺少的一部分，很多网民的网络安全全靠此两点在支撑，而如何用好杀毒软件、防火墙及策略的安全设置才是关键问题。虽然普通的杀毒软件只需按默认设置再加入当前的用户安全理念即可开始工作，但是设置一个功能良好的安全策略却不是那么简单，尤其是计算机中自带的软件防火墙，如果不配备有力的策略支持，那么阻敌率只能占到7成左右。
　　使用现状
　　很显然在当今计算机木马病毒流行的时代，网络安全尤为重要。高手对此却不屑一顾，依然在不安装杀软与防火墙的网络中“裸奔”，虽然高手们没有安装杀软与第三方防火墙，但其却用系统中自带的防火墙功能，构建策略将来敌抵御在警戒线之外。很多门外汉一直以为windows防火墙并不可靠，其实那是因为不了解该防火墙策略是如何配制的，所以才无法让其发挥出因有的特性，以至于四方奔走到处求医问药来保护系统安全。
　　防火墙整体设置
　　对于普通网民与服务器管理人员来说，配置系统自带的防火墙安全策略与杀毒软件同等重要。打开控制面板，在防火墙的普通设置中，用户可根据例外列表中的数据，对当前通往外界的程序是否于是放行，作出勾选，并可以在其中进行相应的编辑与添加程序和端口。在高级选项中用户可以指定windows防火墙日志的配置，是否记录数据包的丢弃与成功连接并指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。
　　而由于icmp消息用于诊断、报告错误情况和配置的作用，用户可以在其设置项中自行设置，以达启用和禁用windows防火墙允许在高级选项卡上选择的所有连接传入的icmp消息的类型，而在默认情况下，该列表中不允许任何icmp消息。设置好了以上项目后，即可启用该自带防火墙进行日常工作，并在其后建立下列软件策略。
　　软件限制策略
　　设置好此点可以保证在计算机中所运行软件的安全性。首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口，在其下的：计算机安全配置 -windows设置-安全设置-软件限制策略中的其它设置内，用户可以看到这里以配的四条软件策略，(小提示：如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后将会出现菜单)而这4条规则是正是为了保证Windows运行所必须的程序不会被禁用而配置的。
　　一、环境变量与优先级
　　随后用户可以在其它规则上右击，新建新路径规则，常用通配符有：“*”和“?”，*表示任意个字符，?表示一个字符。常见文件夹环境变量有(以下以XP默认装在C盘例举)：
　　%SYSTEMDRIVE% 表示 C:
%ProgramFiles% 表示 C

rogram Files
%SYSTEMROOT% 和 %WINDIR% 表示 C:WINDOWS
%USERPROFILE% 表示 C

ocuments and Settings当前用户名
%ALLUSERSPROFILE% 表示 C

ocuments and SettingsAll Users
%APPDATA% 表示 C

ocuments and Settings当前用户名Application Data
%TEMP% 和 %TMP% 表示 C

ocuments and Settings当前用户名Local SettingsTemp
　　用户在这里也可以指定要禁止运行的程序名，但要注意优先级问题，微软规定为：绝对路径>使用通配符的路径>文件名。以禁止病毒模仿系统文件svchost.exe运行为例，由于该系统文件位于system32文件夹下，是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于 windows其他位目录下，此时可以通过建立两条策略即：svchost.exe 不允许的，%windir%system32svchost.exe 不受限的，来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系，来达到让真正的系统文件运行，而病毒文件无法运行的效果。
　　二、禁止双扩展名与U盘运行文件
　　由于多数用户都使用XP的默认设置，包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户，这里需建立*.jpg.exe 不允许和*.txt.exe 不允许策略。然后加入h:*.exe 不允许，h*.com 不允许的两条，让U盘中的可执行文件无法启动。(注：这里笔者的U盘盘符为h盘)
　　三、禁止四地运行
　　目前潜入用户计算机中的病毒木马很多都会自行隐蔽行踪，从而躲开管理人员的目光。这里要建立策略，防止木马从回收站、System Volume Information(系统还原文件夹)、C:WINDOWSsystem文件夹、C:WINDOWSsystem32Drivers文件夹四地启动。如下：
　　?:Recycled*.* 不允许的
%windir%system*.* 不允许的
%windir%system32Drivers*.* 不允许的
?:System Volume Information*.* 不允许的
　　注：使用*.*格式时不会屏蔽掉可执行程序以外的的程序，如：txt、jpg等。
　　四、禁止伪装进程
　　随着病毒会自行将文件名改为与系统进程接近的名称时，如：explorer.exe、sp00lsv.exe等，其大小写及O与0的问题让用户无法识别，所以这里需建立如下策略让其无法启动。
　　*.pif 不允许
sp0olsv.exe 不充许
spo0lsv.exe 不充许
sp00lsv.exe 不充许
svch0st.exe 不充许
expl0rer.exe 不允许
explorer.com 不允许
　　注：有些病毒会用pif后缀，即explorer.pif.pif 和exe、com，都属于可执行文件，并且在XP系统中默认的com的优先级要高于exe可执行程序，其后缀具有极强的隐蔽性。如果用户在开启显视文件扩展名的情况下无法看到程序后缀时，即可以通过WinRAR或第三方浏览器进行查看。

　端口组策略
　　当软件策略完成后，用户即可进入到最后一关，计算机端口策略的配置。众所皆知，设置好端口策略很大程序中可以对入侵攻击及木马病毒常用端口起到阻止作用，设置过程也很简单，只分四步走如下：
　　第一步、依次打开：控制面板-管理工具-本地安全策略-IP安全策略，在向导中下一步，填写安全策略名-安全通信请求，并将激活默认相应规则的钩去掉，点完成创建新的IP安全策略。
　　第二步、右击该IP安全策略，在属性对话框中，将使用添加向导左边的钩去掉，然后单击添加加入新规则，并在弹出的新规则属性对话框点击添加，在随后弹出的IP筛选器列表窗口中，把使用添加向导左边的钩去掉，然后添加新的筛选器。
　　第三步、进入筛选器属性对话框，在源地址中选择任何IP地址，目标地址选我的IP地址，点协议选项，在选择协议类型下拉表中选TCP，然后在到此端口下文本框中输入“XXXX”(XXXX为要关闭的端口号，如3389、139等)，确定退出即可。(注：详细的关闭端口设置方案请用户根据端口列表大全及自身需求量身而定，端口列表可以各大搜索引擎中自行查找)
　　第四步、随后在新规则属性对话框中，选新IP筛选器列表，激活后点筛选器操作选项，将使用添加向导左边钩去掉，添加阻止操作，在新筛选器操作属性的安全措施选项里选阻止，确定即可回到新IP安全策略属性”对话框，在新的IP筛选器列表左边打钩，确定。在本地安全策略窗口中右击鼠标指派刚才建立的IP安全策略即可。