SSM“RD”模块中级教程——添加规则组并且分配
Oceanzd
Quote:
写作原因:有人要求在RD方面能有部分文章能够讲解清楚,了解各类程序的注册表动向
为什么没有初级篇?
因为初级篇已经汇入了中级篇的“初级入门”
Quote:
测试版本:
SSM 2.4.0.616 Beta,30天试用
初级入门:
注册表的基本项和受到保护的项的讲解
整个注册表一共分为5类:
HKEY_CLASSES_ROOT(HKCR),HKEY_CURRENT_USER(HKCU),HKEY_LOCAL_MACHINE(HKLM),HKEY_USERS(HKU)和HKEY_CURRENT_CONFIG
一般来说最后一项注册表对于系统功能和病毒利用没有用处(硬件信息),所以SSM没有加入那一项的保护
HKEY_CLASSES_ROOT(HKCR):主要记录了注册的后缀名和程序模块
=HKCU\Software\Classes+HKLM\Software\Classes
HKEY_CURRENT_USER(HKCU):目前登录的用户的设置
=HKU\SID
HKEY_LOCAL_MACHINE(HKLM):本地计算机的设置
HKEY_USERS(HKU):用户默认和升级安装包设置
Run及其类似的项:自启动程序
Services:服务注册
IE
Settings:IE浏览器和系统部分变量的设置
Explorer:Explorer关联和变量的设置
SvcHost:SvcHost模块和变量的设置
Winlogon:Winlogon关联和变量的设置
Terminal
Server:远程服务管理
WindowsUpdate:Windows 安全更新升级的管理
Control
Panel:控制面板的管理
这些是部分基本应该受到保护的地方,必须设定一定安全并且不影响大量操作的规则
SSM的注册表模块:
其中文件夹上带有“P”的为SSM默认自带的规则
有人说,2.4的SSM的注册表规则已经差不多了,实际上不然,虽然我上报了大量的注册表里面必须拥有的规则,但是官方只采纳了部分规则
但是,各类服务和Run键的保护已经很不错了,我们只需要管理一下其它容易被病毒利用的注册表项或者值就可以了
新手上路(注册表组):
SSM的RD有一个缺点,就是它的规则,注册表“项”和注册表“值”的管理是分开的,所以如果你想全方面保护一个项(包括里面的值)的话,就必须双管齐下,如图:
前面一个负责保护项,后面的负责保护值
为了便于统一管理和在弹出窗口方面能有更加安全的方式,建议对于具有共同性质的规则进行统一管理,如上面说到的Explorer,WindowsUpdate等
如何创建一个新组呢?
首先在注册表模块里面,“右键——添加规则”,在左边具有其它组的空白处“右键——添加组”,输入组的名称(如Explorer),确定即可
这个时候,就可以往组里面添加规则了
有时候你会发现在不同的组里面拥有相同的规则,这是怎么回事呢?
是“分配到群组”的原因
分配到群组可以使同一条规则分配到不同的组别里面,而可以双重管理+双重安全,哪怕你对一个程序允许了某一个组别的权限,但是那条被分配的规则仍然会在另一个组里面对此程序生效
添加方法:
选择分配的组别
这时就可以分配规则和调整顺序了
当你制定好一定的组别之后,就需要向里面添加合适的规则;除了从其它的位置分配之外,还需要自己寻找需要保护的位置
我对大部分用户推荐的注册表组:
Explorer
SvcHost
Self
Protection
Windows Update
Terminal Server
Security Center
Control
Panel
大家从名称上就可以看出保护的系统位置了;分类越细,系统保护的越好
初级设置:添加合适的规则
设置好组合后,开始寻找规则
利用SSM自带的“查找”功能:
先选中“全部规则”,然后“右键——查找”,在输入框里面输入需要查找的规则(如Explorer),然后按下一个类似于文本图象的“选择全部”。
然后分配即可
或者使用下列的部分规则:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper
Objects
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell
Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell
Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SvcHost的规则SSM默认的已经足够了,只需要分配就可以了
Self
Protection指保护SSM本身的注册表项:
如:HKLM\SOFTWARE\System
Safety
HKLM\SYSTEM\CurrentControlSet\Services\safemon
然后优先权设置为0(移动到最顶处即可)
Terminal
Server:
一般用户或者软件是不需要这类注册表项的,但是在远程管理的时候却会用到,所以需要严加管理
在RegWorkShop搜索Terminal
Server,添加合适的规则
或者参考以下的规则:
HKLM\SOFTWARE\Microsoft\Terminal Server
Client
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal
Server
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI32\Terminal
Server
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal
Server
HKLM\SYSTEM\ControlSet*\Control\Terminal
Server
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
Windows
Update的规则也很简单,SSM自带的足够
Security Center的也只需要查找和分配SSM自带的规则即可
Control
Panel:一般只需要注意Control Panel\Desktop项即可
HKLM\Control
Panel\Desktop
HKCU\Control Panel\Desktop
HKU\.Default\Control
Panel\Desktop
中级应用:优先权
一个规则组的检测顺序——优先权也是比较重要的,分配注册表组的优先权分为3个点:
1.
规则对于预防病毒的重要性
2. 规则的管理范围
3.
其它比较重要的组别是否存在相同的规则
一般我们把容易被利用的注册表项都放在最前面,如Terminal
Server,Explorer和SvcHost(放在Winlogon的下面)
然后其它的注册表项归类在一起
大家认为哪个放在最前面呢?
对,就是Control
Panel,然后是Windows Update,最后才是Security
Center
在以后自己制作的组别也需要自己判断组别的重要性
高级管理:应用程序规则
在众多的应用程序分类里,管理注册表项显得比较轻松
Web Browser:包括了IE和第三方浏览器(遨游,Opera,TheWorld等)
这时可以把IE
Settings加入规则中,不过都是问号(日志最好都改成勾)
Installer:包括了所有的安装软件
开放Services,IE Settings,System
Critical和Malmare的权限,但是要严加看管里面包含的安装程序
Explorer.exe:
SvcHost.exe:
允许Windows
Update的全部权限(全部打勾)
Services.exe:
允许Services注册表组的权限(但是都为问号,而且日志全部为打勾)
cmd.exe:
禁止写入注册表,设置为只读
至此,SSM的“RD”模块中级教程就结束了。一些地方可能会有不完善的地方,请提出意见,我会尽快的改正的。
这样的设置实际上不难的,就要靠自己的经验和对系统了解的水平,而且我已经尽量的简化和平常化的语言了,希望大家理解。主要重点就是为了理解应用程序那里的RD设置和SSM自带的RD规则的不完整性,所以就写出此教程让大家注意一下。
这次就不在图片上设置“Oceanzd
原创”了,但是希望大家转贴的时候注明来源和作者。
