巴黎豆豆 2008-3-22 19:03
RD注册表防护规则编制(2)
二、在“应用程序规则”类别中添加规则。
当我们将注册表中所有可能被病毒利用的项和值都控制之后,就切断了木马、病毒的启动途径,我们就不再害怕木马、病毒的入侵了。但是,有个问题也会随之而来,当有正常的程序需要修改这些被控制的注册表项和值时怎么办?放开控制,不[url=http://security.ctocio.com.cn/]安全[/url],不放开,又可能造成正常程序运行失败。
那么有没有办法让我指定的程序可以修改被控制的注册表,而其他程序不允许修改呢?这样的话,既能保证系统安全,又能不影响正常程序的正常运行。答案是肯定的,只要在“应用程序规则”类别中添加相应规则就可以了。
比如:
HKEY_LOCAL_MACHINE\SOFTWARE\[url=http://whatis.ctocio.com.cn/searchwhatis/251/5948751.shtml]Microsoft[/url]\Windows [url=http://whatis.ctocio.com.cn/searchwhatis/485/6093485.shtml]NT[/url]\CurrentVersion\Winlogon 项下的许多值是比较重要的,也可以自启动应用程序,因此,应该在“所有程序规则”类别中将其加入规则。
但对%WinDir%\system32\winlogon.exe这个应用程序来说,可能会要求修改这个项下的值,而这个程序是WINDOWS系统的重要程序,如果它出现错误,会导致系统崩溃。所以,我们在“应用程序规则”类别中为其设定例外。
首先添加程序:%WinDir%\system32\winlogon.exe,将程序的操作参数设为“允许”和“不记录日志”。
程序的操作参数是指程序对没有在规则中指定的注册表项和值进行操作所应用的参数。由于注册表的规则是:只要没有在规则中专门指定,都允许操作,这样才能保证系统正常运行。所以应用程序的操作参数也一定要设为允许。
另外,还要勾选“搜索所有程序规则”选项,这样“所有程序规则”类别中的所有规则才能对这个程序起作用,在其下添加例外规则才有意义。
然后在此程序下添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,将“修改注册表”和“删除注册表”两个参数都设为“允许”,并且“不记录日志”。由于我们勾选了 “搜索所有程序规则”,“所有程序规则”类别中的所有规则都对winlogon.exe起作用,所以,我们这里先行设定允许操作,让其在“所有程序规则” 中的规则之前起作用,从而达到此注册表项针对此程序来说,是例外的,可以修改的。