最近、「
ウイルス対策なしのWindowsベースのコンピューター 」および「
Windows 7でプログラムの使用を制限するためのグループポリシーの設定 」というトピックを読みました。ウイルス対策を使用しないように、または感染の可能性を最小限に抑えるために、Windows XP Home Editionの設定方法を共有したいと思います。
それはすべて、私が最近まで勤めていた1つのオフィスで、ウイルスに常に問題があったという事実から始まりました。 政権はアンチウイルスにお金を与えたくありませんでした。どこにでもホームゲームがあり、ディスクやフラッシュドライブからの自動実行もブロックされました。 結局、私はこのすべてにうんざりし、「極端なステップ」に行きました...
Windowsでは、ホワイトリストまたはブラックリストを作成できます。 「ブラックリスト」は、そこにリストされているプログラムが起動されないことを意味しますが、それにリストされているプログラムのみがシステムの動作に必要な「ホワイトリスト」が起動されます。
ホワイトリスト
「ホワイトリスト」に基づいて、malvariに対する優れた防御を行うことができます。 作成するには、少なくとも2つの手順を実行する必要があります。
- レジストリブランチ
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorerで、値が1のタイプDWORD(REG_DWORD)のRestrictRunパラメーターを作成する必要があります。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ブランチで、 RestrictRunキーを作成します0パラメータ0値regedit.exe のタイプSTRING(REG_SZ)です。
変更を有効にするには、コンピューターを再起動する必要があります。
重要! 手順1を実行し、手順2を実行しない場合、再起動後にプログラムを実行できなくなります。 これを修正するには、管理者権限を持つ別のユーザーとしてログインし、レジストリエディターを開き、 HKEY_USERSブランチを見つけ、それを選択し、(ファイル)メニュー->(ロードブッシュ...)を選択し、ファイルを開くダイアログでユーザーディレクトリにあるNTUSER.DATファイルを見つけます、この横棒が作成された名前の下にある[開く]ボタンをクリックします。 次に、 RestrictRunパラメーターを見つけて削除するか、 0に設定してから再起動します。
おかげでxn__p2a
将来、プログラムを
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRunにステップ2と同様に追加できます。この場合、再起動は不要になり、変更はすぐに有効になります。
毎回レジストリエディターに入らないようにするために、プログラムのリストを入力し、必要に応じて修正し、編集後に起動するreg-fileを作成しました。
以下は、このファイルの一部です。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"0"="regedit.exe"
"1"="notepad.exe"
"2"="wupdmgr.exe"
"3"="cleanmgr.exe"
"4"="wordpad.exe"
"5"="calc.exe"
"6"="mstsc.exe"
"7"="taskmgr.exe"
"8"="7zFM.exe"
"9"="7zG.exe"
"10"="7z.exe"
"11"="firefox.exe"
"12"="java.exe"
"13"="FlashUtil10d.exe"
"14"="NPSWF32_FlashUtil.exe"
"15"="thunderbird.exe"
"16"="soffice.exe"
"17"="soffice.bin"
"18"="python.exe"
"19"="sbase.exe"
"20"="scalc.exe"
"21"="sdraw.exe"
"22"="simpress.exe"
"23"="smath.exe"
"24"="swriter.exe"
また、ファイル全体は
こちらからダウンロードでき
ます 。 ただし、私のオプションがあなたに合う可能性は低いことに留意してください。 私のファイルはコンピューターごとに異なりましたが、通常は最初の24個のプログラムが常にそこにありました。
短所
- この方法では 、ディスク上にファイルを作成しないウイルス(ms-blastなど)、および動的ライブラリ2の 「起動」(conficerなど)による侵入からコンピュータを保護しません 。
- 実装の複雑さ。 3つのプログラムを調査し、起動時とプロセスで実行されるファイルを見つけて、「ホワイトリスト」にも含まれるようにします。
- 変更することの不便。
HKEY_CURRENT_USERブランチで変更が行われているにもかかわらず、ユーザーはRestrictRunキーに書き込むことができません。 したがって、ユーザーのアカウントからログアウトし、管理者としてログインし、ユーザーに管理者権限を与え、ユーザーとしてログインし、レジストリに変更を加え、再度ログアウトし、管理者として再度ログインし、ユーザーから管理者権限を削除する必要があります%)または管理パネルからHKEY_USERSブランチを介して、上記のように。 - フルパスを指定することはできません。 ウイルスファイルに「ホワイトリスト」のプログラムと同じ名前が付けられている場合、そのウイルス(ウイルス)が起動されます。 また、ユーザー自身がファイルの名前を許可された名前に変更し、この方法で(ほぼ)任意のプログラムを実行できます。
練習する
この「トリック」ウイルスを使用して2年間は気づかれませんでした。 すべてのコンピューターには、夜にディスクをスキャンするClamWinがありました。 また、月に一度、ウイルス対策ソフトウェアを使用してシステムをオフラインでチェックしました。 唯一の問題はユーザーの不満であり、これは当局に「何、なぜ、どのように」説明することですぐに抑えられました。
ブラックリスト
最初に「ブラックリスト」についてほのめかしたので、彼について少しお話しします。 複数のプログラムの起動を禁止する必要がある場合に役立ちます。 「ホワイトリスト」と同じ方法で、2つのステップで作成されます。
- レジストリブランチ
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorerで、値が1のタイプDWORD(REG_DWORD)のDisallowRunパラメーターを作成する必要があります。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ブランチで、 DisallowRunキーを作成し、その中に、たとえば電卓が起動しないようにするための値を持つSTRING(REG_SZ)型のパラメーター0 1 calc.exe 。
変更を有効にするには、コンピューターを再起動する必要があります。
1パラメータ名は数字で構成する必要があります。 カウントダウンはゼロから始まります。 番号は順番になっている必要があります。
2 Windowsは、CreateProcessの「ラッパー」である
ShellExecuteおよび
ShellExecuteEx関数が
RestrictRunキーをチェックするため、progの起動を制御します。 したがって、提案された方法は、ユーザー自身によるプログラムの不正な起動、およびShellExecute(そのほとんど)を通じて何かを実行しようとするウイルスからのみ保護します。 ShellExecuteとRestrictRunの詳細については、
こちらをご覧ください (LockWinについては
ここで説明していますが、
RestrictRunのメカニズムについては詳しく説明しています)。
shiko_1stに感謝し
ます 。
3研究のために、
Mark Russinovichのプログラム
Process Explorerと
Process Monitorを使用しました。
UPD1: Program Filesからのみプログラムの起動を制限するには、Microsoftの
SteadyStateユーティリティを使用
できます。 ありがとう
kondorkmUPD2:ホームWindowsのアクセス権を管理するために、コンソールユーティリティcacls.exeが含まれています。
xcacls.vbs-MSサイトからダウンロード
xcacls.exe-Windowsサポートツールパッケージの一部
subinacl.exe-Windowsリソースキットツールに付属
おかげで
xn__p2a