中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

游客: 注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »

中国DOS联盟论坛 » DOS批处理 & 脚本技术（批处理室） » 讨论+咨询.病毒防止脚本

leton
初级用户

积分 170
发帖 72
注册 2007-3-11
状态离线

『楼主』: 讨论+咨询.病毒防止脚本

如题,企业做管理员几年,发现病毒是导致系统重装最主要原因,因此一直想做一个好的防御方案（正版防毒软体-企业是不可能买的）,个人有一个想法,但一个人没法实现,脚本知识太弱了.....空有想法...希望路过有兴趣的帮忙完成~~谢谢

单机用户无需费用病毒防御方案

单机：雨过天晴破解版互联网搜索即有
产品优点：可以灵活创建进度并设置还原点
破解产品缺点：被开启远程桌面服务并且开启保护区域权限为：Everyone
对应解决方法：安装软件后，删除软件启动注册表项目，并把破解文件拷贝到软件安装目录内，最后，只在有需要是点击此文件创建进度及配置

实现方法：
1. 所有分区均为NTFS文件系统格式
2. 干净系统安装后，立即安装并设置雨过天晴保护系统区，然后创建进度
3. 安装其它日常软件，并按需要创建对应进度
4. 设置每次开机还原点到相应进度

方案说明：此方法可以有效解决病毒对系统进行攻击所导致的系统故障问题，无需安装杀毒
      软件，并且可以一劳永逸提升系统速度（因无需安装杀毒软件）及保证系统稳健；

原理说明：此方案为每次开机都会按照预设置条件，还原到特定进度（用户指定进度），可
理解为每次开机都 = 重新安装系统一次；

建议附加手工设置增加文件及非系统区数据安全性：
1. 屏蔽系统自动运行特性
2. 创建受限制用户帐号
3. 对需受保护文件（非系统区）调整安全属性，所有用户只拥有读取、运行、列出权限
4. 改变系统‘桌面’及‘收藏夹’位置到其它分区上
5. 组策略屏蔽以下目录执行:BAT、EXE、COM、VBS、CMD..等文件
%userprofile%\ Local Settings\Temp
%userprofile%\ Local Settings\Temporary Internet Files
%systemroot%\Temp

方案使用建议：
1. 日常使用时，只用受限制用户登录并进行日常操作
2. 对于软件安装请使用二次权限提升方法进行安装，方法：右键并选择运行方式
3. 对于需要管理员权限运行软件，建议：如非必要排除不用

方案缺点：
1. 需要手工进行设置，较为复杂，但实际设置时间只需 10-15 分钟
2. 只能保护系统区数据安全性，非系统分区数据安全性需要附加手工设置解决
3. 日常操作习惯需要重新培养（管理员与受限制用户间区别）

总结：
使用受限制帐号进行日常操作比较麻烦，但却是保护其它分区数据安全必要手段（防止类似熊猫烧香病毒，对执行文件进行修改而导致文件损坏或GHO文件被删除），而浪费10-15分钟进行系统安全配置，将可以有效减少因中毒而产生的系统软故障率，且可以保证系统长时间稳健及速度（受限制用户+不安装杀毒软件），记住没有永远的防毒方案，只有对应不同环境做不同方案，最后，如果你连一页纸都无法看完或嫌麻烦，那么只能讲句：兄弟或姐妹Good Luck；

脚本需求：

1.脚本需要判断系统分区格式是否为 NTFS，是跳过，否，询问并按条件执行。

2.启用软件限制，并设置为拒绝，且屏蔽掉以下路径运行：*.bat、*.exe、*.com、*.vbs、*.cmd

               %systemroot%\temp
               %userprofile%\Local Settings\TEMP
               %userprofile%\Local Settings\Temporary Internet Files

最后桌面上生成2个图标，一个是启用软件限制，一个是关闭软件限制

3.屏蔽系统自动运行特性

4.自动为管理员设置密码并且创建受限制用户

5.桌面生成说明文档及开机跳出文档信息提示，告知用户密码及日常使用方式

6.桌面生成二次权限提升P，使用Lsrunas命令，受限制用户只要拖拉软件进窗口即可运行

写完了........帖子，主要想把我了解的限制病毒感染方法写出来，大家如果有其它更好的跟帖，然后再集合大家写个脚本，自动完成上面所有设置

[ Last edited by leton on 2007-7-11 at 06:11 PM ]

2007-7-5 22:34

leton
初级用户

积分 170
发帖 72
注册 2007-3-11
状态离线

『第 2 楼』:

顺手贴企业防毒方案~~

企业病毒防御方案

网络环境：域
优点：软件系统完全免费
缺点：需要增加服务器硬件
实现需求：ISA2004、Symantec、组策略

实现前提：
1. 所有分区均为NTFS文件系统格式
2. 所有客户端均只授予 Domain Users 权限，管理员密码保留不分配授予用户
3. ISA2004 作为代理服务器，所有客户端对外访问均指向ISA2004
4. 组策略屏蔽系统自动运行特性
5. 组策略启用软件限制及屏蔽以下目录执行:BAT、EXE、COM、VBS、CMD..等文件
%userprofile%\ Local Settings\Temp
%userprofile%\ Local Settings\Temporary Internet Files
%systemroot%\Temp
6. 部署客户端系统后，将应用程序安装到非%programfiledir%内
7. 系统分区，安全性中，限制%programfiledir%只拥有只读、运行、列出权限
8. 部署Symantec 10.2企业防毒服务器并配置隔离区IP通信端口及防毒客户端安装
9. 服务器及客户端补丁自动发布

实现难点：
1. ISA2004，需要配置HTTP内容过滤：js、vbs、bat、cmd、exe、com….等文件类型
2. ISA2004，按用户及IP规则进行严格对外访问，并控制规则条数在15条内
3. ISA2004服务器硬件配置：2GB
4. 需要对应用程序进行前期分析（文件或目录创建权限），并授予Domain Users 对应权限
5. 需要对日常需用应用程序进行哈希创建（软件限制）

方案总结：
通过组策略屏蔽系统自动运行特性、软件策略及特殊目录文件运行权限，有效防止USB设备病毒感染及危害程序运行，而NTFS文件系统格式及Domain Users权限分配可以有效防止危害程序被写人%programfilesdir%、%systemroot%、%systemroot%\system32 目录从而跳过软件限制策略问题，而通过ISA2004作为内部与外部间进行HTTP过滤作用，最大程度防止客户端因访问隐藏有危害程序网站而感染病毒，最后通过Symantec防毒客户端及系统补丁保护客户端系统。

方案需要知识范围
1. ISA2004特性
2. 活动目录
3. 组策略

[ Last edited by leton on 2007-7-10 at 04:21 PM ]

2007-7-10 16:17

请注意：您目前尚未注册或登录，请您注册或登录以使用论坛的各项功能，例如发表和回复帖子等。

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转: