微软在2006年完成了对Winternals Software的收购,改名为SysInternals。SysInternals专注于小型Windows实用程序(utility programs)的研发。
据news.com.com报道,实际上,此次的收购目标,主要集中在Winternals旗下丰富的人力资源,换言之微软希望通过收购补充新鲜血液。据悉,在加盟微软帝国之处,Winternals公司创建者马克.拉丝维奇将成为微软的技术小组成员。马克拉斯维奇被称为目前世界上Windows系统最需要的五个人之一。请看Sysinternals的主页
前几天一直忙着得很,又是大作业又是自传,愁死人了
终于有时间把这个写完了
首先是组策略的写法
环境变量
%USERPROFILE% 表示 C:Documents and Settings当前用户名
%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users
%APPDATA% 表示 C:Documents and Settings当前用户名Application Data
%ALLAPPDATA% 表示 C:Documents and SettingsAll UsersApplication Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示C:
%SYSTEMROOT% 表示 C:WINDOWS
%WINDIR% 表示 C:WINDOWS
%TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp
%ProgramFiles% 表示 C:Program Files
%CommonProgramFiles% 表示 C:Program FilesCommon Files
支持的通配符
? 表示任意单个字符
* 表示任意多个字符
**或*? 表示零个或多个含有反斜杠的字符,即包含子文件夹
常用的设置
禁止在特定目录下运行可执行文件
%USERSPROFILE%\*.* 不允许的
不允许在用户目录“X:\ Documents and Settings\用户名\”下运行文件
%USERPROFILE%\Local Settings\Temporary Internet Files\*?\*.* 不允许的
不允许在用户的IE临时文件目录“Temporary Internet Files”下运行文件
%ProgramFiles%\*.* 不允许的
不允许直接在系统盘下的Program Files根目录下运行文件
?:\System Volume Information\** 不允许的
不允许在任何盘符的系统还原文件夹及其子目录下运行文件
?:\RECYCLER\** 不允许的
不允许在任何盘符的回收站文件夹及其子目录下运行文件
%CommonProgramFiles%\** 不允许的
不允许在系统盘下“Program Files\Common Files”及其子目录下运行文件
%ALLAPPDATA%\*.* 不允许的
不允许在“All User\ Application Data”下运行文件
%ALLUSERSPROFILE%\*.* 不允许的
不允许在“C:\Documents and Settings\All Users”下运行文件
%APPDATA%\*.* 不允许的
不允许在“当前用户\Application Data”下运行文件
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
不允许自启动
?:\Program Files\**QQ\*\CustomFaceRecv\** 不允许的
?:\Program Files\**QQ\*\image\** 不允许的
不允许在QQ的表情及图片文件夹下运行文件
%SYSTEMROOT%\Config\*.* 不允许的
不允许在Config文件夹下运行文件
%SYSTEMROOT%\system32\config\**
%SYSTEMROOT%\system32\driver\** 不允许的
不允许在config和driver文件夹下及其子文件夹下运行文件
%USERPROFILE%\Cookies\*.* 不允许的
不允许在Cookies下运行文件
禁止运行指定文件
你可以把常见的病毒的可执行文件添加进去
但是必须先添加下面三个不受限的规则
C:WINDOWSExplorer.exe 不受限的 保护正常的Explorer.exe进程运行
C:WINDOWSnotepad.exe 不受限的 保护正常的记事本程序
C:WINDOWSregedit.exe 不受限的 允许运行注册表编辑器
C:WINDOWSRTHDCPL.EXE 不受限的 允许运行声卡管理程序
C:WINDOWSRTLCPL.EXE 不受限的 允许运行声卡管理程序
C:WINDOWSsystem32csrss.exe 不受限的 保护系统正常进程
C:WINDOWSsystem32ctfmon.exe 不受限的 保护正常的输入法进程
C:WINDOWSsystem32logonui.exe 不受限的 保护系统正常的注销关机
C:WINDOWSsystem32lsass.exe 不受限的 保护系统正常进程
C:WINDOWSsystem32msconfig.exe 不受限的 保护系统启动项配置程序
C:WINDOWSsystem32notepad.exe 不受限的 保护正常的记事本程序
C:WINDOWSsystem32regsvr32.exe 不受限的 保护系统组件注册程序
C:WINDOWSsystem32rundll32.exe 不受限的 允许正常rundll32.exe进程
C:WINDOWSsystem32services.exe 不受限的 保护系统正常进程
C:WINDOWSsystem32smss.exe 不受限的 保护系统正常进程
C:WINDOWSsystem32spoolsv.exe 不受限的 保护正常的打印机进程
C:WINDOWSsystem32svchost.exe 不受限的 允许正常svchost.exe进程
C:WINDOWSsystem32taskmgr.exe 不受限的 保护任务管理器进程
C:WINDOWSsystem32winlogon.exe 不受限的 允许正常winlogon.exe进程
C:WINDOWSsystem32wuauclt.exe 不受限的 保护系统自动更新进程
C:WINDOWSwinhelp.exe 不受限的 允许运行hlp格式的帮助文件
C:WINDOWSwinhlp32.exe 不受限的 允许运行hlp格式的帮助文件
然后你就可以随意添加了,比如
系统文件模仿秀,哎….可怜了这些Cosplayer
Expl0rer.exe,Explorer.exe,scvhost.exe,sv0host.exe,svch0st.exe,svchost.exe,svohost.exe,rundll.exe,rundl132.exe,rundl1.exe,rundll32.exe,smss.exe,lsass.exe,windows.scr……..
之所以可以把这些敏感的文件名加入是因为绝对路径的优先级高,所以系统会优先考虑系统文件夹的“不受限”规则,然后才是下面的不允许规则!
马甲爱好者
*.Jpg.exe,*.txt.exe,*.bmp.exe,*.mp3.exe,*.gif.exe,*.png.exe,*.doc.exe,*.xls.exe,*.ppt.exe,
其他的一些杂项
*.pif(pif是Dos下的可执行文件,Windows环境下根本没有任何用处如果出现绝对有问题)
关于具体的设置就到这里了,各位看官完全可以充分发挥自己的想象力
前言-关于HIPS与组策略
HIPS,即Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
HIPS或许很多人都不熟悉,但是其实现在国产杀软中大肆宣扬炒作的“主动防御”概念都跟HIPS多少有点关系,也就是说目前很多杀软都举报了基本的HIPS的功能,但某些杀软主动防御的实力如何这里就不加以评述了。
其实,我们常见的软件中,也有不少产品真正的具备了比较完整HIPS功能的杀软,非常荣幸的是其中就包括中国的微点(Mirco Point)。另外一家则是McAfee。这一类杀软最大的特点是通过指定详细的规则来防御病毒入侵或者运行,而不是在入侵之后查杀。如果把传统杀软如卡巴,红伞,诺顿,金山等等比做外功刚猛的少林和尚,那么McAfee或者微点就好像是一个以柔克刚的太极高手。
Hips其实听起来很高深,但实际上我们用Windows系统自带的组策略软件就可以实现基本HIPS功能。所谓组策略(Group Policy),顾名思义,就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。譬如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
组策略编辑器的命令行启动:点击开始菜单-运行-输入gpedit.msc。然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:WINNTSYSTEM32”中,文件名为“gpedit.msc”。)
新闻来源:Mydrivers
根据消息,微软周二放出了Windows XP SP3 RC2的升级版本RC2 Refresh。虽然微软早在2月份就已经敲定了Vista SP1的发布日期,但是对于XP SP3来说,微软则没有透露出太多的消息。目前Windows XP SP3 RC2 Refresh版本已经被提供至Windows下载中心,用户可以通过微软网站或者Windows Update获得该版升级,据微软声明“我们放出这个RC测试版的目的是为了获得更多用户反馈意见”
实际上根据Zdnet网站上Mary Jo Foley的说明,微软原计划本周放出SP3正式版,但是最后他们改变了主意。另外,根据微软的说明,此SP3 RC2 Refresh版本将和之前的RC2基本相同,仅“修补了Windows Update问题,并加入了HD Audio支持,其他方面与RC2版本并无显著区别”。从以上说明可以看出,这个RC2 Refresh版本很有可能就是微软原计划发布的XP SP3正式版。
目前微软网站提供了此Windows XP SP3 RC2 Refresh版升级补丁的下载,不过仅包括德、日、英三种语言的独立安装包。其他用户可以下载微软独立提供的Windows XP SP3 Release Candidate 2.exe文件修改注册表,从Windows Update上获得Windows XP SP3 RC2 Refresh升级。不过鉴于此版本与之前的RC2版本并无明显区别,我们建议用户继续等待SP3正式版。
新闻来源:驱动之家
Windows XP SP3预计本周即将正式发布(DKMILAN认为正式版不可能)。上周末,微软在官方网站上放出了名为“Overview of Windows XP Service Pack 3”的细节预览白皮书,对XP SP3的内容和其他细节进行了解释。
微软着重强调称,XP SP3包括了Windows XP的全部升级补丁,也包含少量新功能特性。安装SP3并不会明显改变使用Windows XP的用户体验,用户不应当寄希望于SP3给Windows XP带来本属于Vista的一些功能。
XP SP3包含Windows XP发布以来全部的安全、性能和稳定性升级程序/补丁,不包含IE7。SP3的主要新功能包括:
•黑洞路由侦测
•网络访问保护(NAP)
•安全选项界面更详尽
•增强的管理员安全和服务策略入口
•内核模式加密模块
•Windows产品激活模式改变:在安装整合SP3的Windows XP时,可选择不输入序列号安装,稍后再输入序列号进行激活.
Windows XP SP3可通过Windows Update或微软下载中心进行升级.当通过Windows Update进行增量升级时,下载容量仅为70MB左右.而完整的SP3安装包容量为580MB.
SP3可在全新安装的Windows XP或者SP1、SP2基础上进行升级,支持包括媒体中心版、Tablet PC版在内的各个版本.但仅支持32位x86版本,x64版Windows XP需要安装的升级包是Windows Server 2003 SP2.
