利用WINXP组策略实现HIPS的功能

Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统。

HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件和文件对注册表的修改，并向你报告请求允许的的软件。

若是你阻止了，那么它将无法运行或更改。

比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒仍是没有运行的。

引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

”。

HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。

可是HIPS并非能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的解决行为。

因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

咱们个人用的HIPS可以分为3D：AD(Application Defend)应用程序防御体系RD(Registry Defend)注册表防御体系FD(File Defend)文件防御体系它通过可定制的规则对本地的运行程序、注册表的读写操作、和文件读写操作进行判断并允许或禁止。

所谓hips(主机入侵防御体系)，也就是此刻大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.二者虽然都是防火墙，可是在功能上其实仍是有很大不同的：传统的nips 网络防火墙说白了就是只有在你利用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用途的；而hips系统防火墙就是限制诸如a进程挪用b进程，或禁止更改或添加注册表文件--打个例如说，也就是当某进程或程序试图偷偷运行的时候老是会挪用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是不是允许运行，用户按照自己的经验来判断该行为是不是正确安全，是则放行允许运行，否就不使之运行，一般来讲，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能超级有效的避免木马或病毒的偷偷运行，这样对于个人用户来讲，中毒插马的可能性就大体上很低很低了.可是，只是装上个hips 也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也仍是会被某些别有效心的人偷窥去用户的个人隐私的，所以，选用一款功能壮大而小巧的防火墙也是很重要的--最少有避免DDOS解决和防arp欺骗解决功能(对内网用户尤其重要)！上面是对hips和防火墙作个区别，因为杀软和这两类软件不同比较大，就不拿到这里来讲了，下面我具体介绍一下hips和常见的几款hips安全软件，希望对列位有所裨益！常常利用的HIPS软件有：SNS(Safe'n'Sec Personal)--AD+FD+RD，SSM(System Safety Monitor)，--免费版AD+RD，商业注册版AD+FD+ RDPG(ProcessGuard和Port Explorer)--AD+RD，GSS(Ghost Security Suite)--AD+RD，SS(SafeSystem 2021)--FD.EQSecure(国产的E盾)--AD+FD+RD其实我感觉这些hips软件在功能上也大多差不多，更多的咱们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉)，谁更适合国人所需，谁更简单易操作，下面我就这些方面做个相对比较简单的介绍吧！首先是SSM(System Safety Monitor）因为我比较喜欢这款：商业版免费版注册表监视：高级大体进程监视：高级大体底层磁盘访问控制：有无底层键盘访问控制：有无NT服务监视：高级大体IE设置跟踪：高级大体用户程序友好对话：有无优先支持：高低开发优先：高低Win9x支持：无有SSM在声誉上面是相当不错的，而且也相对很稳定--虽然能被ICEword干掉，不过其他的hips类仿佛也都是能被干掉的，这个不是重点，因为在冰刃要干掉他们之前，hips软件已经会报警询问是不是允许该项操作，虽说缺了个FD功能，不过我感觉对个人用户来讲已经相当足够，最少我已经有半年时间未中毒插马了--固然，若是你仍是不安心，再装上个SS补足3D功能也是可以的，最关键的是SSM商业版已经被成功破解了(该软件有简体中文版)，唯一感觉不爽的可能就是初期利用比较繁琐，毕竟什么东西的运行都要选择允许仍是禁止也是一件头疼事，所以一般在刚装上的时候，我个人建议仍是先全数运行一遍所有的你要经经常利用到的东西就可以够了，占用资源也还可以，一般是一个进程10M左右，cpu大体没感觉.我给SSM 打90分其次是SNS(Safe'n'Sec Personal)--他是3D的哦，它成立在行为分析的基础上，有最先进的预先侦查系统，可以避免病毒渗透计算机，破坏信息，对计算机多了一层保护，在计算机保护方面实现重大冲破。

XP组策略详解使用上面的方法，打开的组策略对象确实是当前的运算机，而假如需要配置其他的运算机组策略对象的话，那么需要将组策略作为独立的操纵台治理程序来打开，具体步骤如下：1〕打开Microsoft 治理操纵台〔可在〝开始〞菜单的〝运行〞对话框中直截了当输入MMC并回车，运行操纵台程序〕。

2〕在〝文件〞菜单上，单击〝添加/删除治理单元〞。

3〕在〝独立〞选项卡上，单击〝添加〞。

4〕在〝可用的独立治理单元〞对话框中，单击〝组策略〞，然后单击〝添加〞。

5〕在〝选择组策略对象〞对话框中，单击〝本地运算机〞编辑本地运算机对象，或通过单击〝扫瞄〞查找所需的组策略对象。

6〕单击〝完成〞，单击〝关闭〞，然后单击〝确定〞。

组策略治理单元即打开要编辑的组策略对象。

关于不包含域的运算机系统来说，在上面第5步的界面中，只有〝运算机〞标签，而没有其他标签项目。

通过上面的方法，我们就能够使用Windows 2000/XP/2003组策略系统强大的网络配置功能，让治理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有〝选中、清除、变灰〞三种状态，Windows 2000/XP/2003组策略治理操纵台同样也有三种状态，只只是名字变了。

它们分别是：已启用、未配置、已禁用。

四、〝桌面〞设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面治理工作变得易如反掌。

下面就让我们来看看几个有用的配置实例：位置：〝组策略操纵台→用户配置→治理模板→桌面〞1．隐藏桌面的系统图标〔Windows 2000/XP/2003〕尽管通过修改注册表的方式能够实现隐藏桌面上的系统图标的功能，但如此比较苦恼，也有一定的风险。

而采纳组策略配置的方法，能够方便快捷地达到此目的。

比如要隐藏桌面上的〝网上邻居〞和〝Internet Explorer〞图标，只要在右侧窗格中将〝隐藏桌面上‘网上邻居’图标〞和〝隐藏桌面上的Internet Explorer图标〞两个策略选项启用即可〔如图5〕；假如隐藏桌面上的所有图标，只要将〝隐藏和禁用桌面上的所有项目〞启用即可；当启用了〝删除桌面上的‘我的文档’图标〞和〝删除桌面上的‘我的电脑’图标〞两个选项以后，〝我的电脑〞和〝我的文档〞图标将从你的电脑桌面上消逝；同样假如要让〝回收站〞图标消逝，只须将〝从桌面删除回收站〞策略项启用即可。

组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。

利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。

平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。

组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。

本文主要介绍Windows XP Professional本地组策略的应用。

本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。

其下所有设置项的配置都将保存到注册表的相关项目中。

其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到HKEY_CURRENT_USER。

一、访问组策略有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。

1. 输入gpedit.msc命令访问选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。

组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。

此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。

“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。

McAfee(HIP7) Host Intrusion Prevention 7.0安装须知和初步使用时间:2009-04-02 08:13来源:卡饭论坛作者:iuanog 点击:次McAfee Host Intrusion Prevention 7.0 (HIP7)正如McAfee 其他的企业版软件一样，同样有功能强大但上手不易的特点，设计初衷定位于大企业安全管理人员统一发布和管理的HIP 7.0 尤为如此。

如果你在安装前对 HIP 一无所知的话，那接下来的安装和使用将会带给你一连串的迷McAfee Host Intrusion Prevention 7.0 (HIP7)正如McAfee 其他的企业版软件一样，同样有功能强大但上手不易的特点，设计初衷定位于大企业安全管理人员统一发布和管理的HIP 7.0尤为如此。

如果你在安装前对 HIP 一无所知的话，那接下来的安装和使用将会带给你一连串的迷惘。

为方便初学者快速学习和使用 HIP 7.0，我在此简略介绍一下安装和使用 HIP 7.0 必须知道的一些基本情况。

一、安装须知1、安装 HIP 7.0 之前，你的电脑上必须安装有 McAfee Common Management Agent 3.6 （McAfee VirusScan Enterprise 8.5 自带），否则将不能安装。

这意味着你必须先安装有 VSE 8.5 或自行单独安装 CMA 3.6，选择后者的用户请从官网下载 CMA 3.6 的相关文件。

之前一些网友在论坛上说安装不了HIP 7.0，提示说要 ePO，这或许是你试图在Windows XP 上安装 Server 版 HIP，而更有可能的是你看到的提示其实不是说要“ePO”，而是说要“ePO Agent”，即 CMA 的另一种说法，它还有很多种叫法。

2、如果你用的系统不是服务器操作系统，或你安装了 Windows Server 2003，但不想安装 ePO，请安装 Client 版，否则将无法安装。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。

此外,还可添加在计算机上(在计算机启动或停止时，以及用户登录或注销时)运行的脚本，甚至可配置Internet Expl orer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。

组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。

一、组策略的基本知识组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。

此外,还可添加在计算机上(在计算机启动或停止时，以及用户登录或注销时)运行的脚本，甚至可配置Internet Expl orer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。

组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。

所有策略的设置都将保存到注册表的相关项目中。

对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。

访问本地组策略的方法有两种：第一种方法是命令行方式;第二种方法是通过在MMC控制台中选择GPE插件来实现的。

1、组策略编辑器的命令行启动您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。

(注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。

)在打开的组策略窗口中，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。

Windows XP的配置工具相当完善，它隐藏在你的系统之中，但很多人并不知道它的存在。

它的名字叫做本地组策略编辑器，或者简称为Gpedit。

要调用该编辑器，选择“开始”→“运行”菜单，键入命令：gpedit.msc，就可以打开组策略编辑器，现在无需借助注册表你就可以修改Windows XP中的许多功能特征，让你的系统充满个性。

“组策略”的功能真的非常强大，现在许多系统调整不再需要编辑注册表就可以轻松通过它完成，如果你想了解该系统工具都能做什么以及目前的设置状态，那么可以点击“开始”→“运行”，输入：gpedit.msc，回车后进入组策略，然后在每项上点击鼠标右键，在弹出菜单中选择“导出列表”，然后为它起一个名字，并选择保存为TXT格式即可。

组策略打开方式:一是通过gpedit.msc命令直接进入组策略窗口；二是运行：mmc 打开控制台，点文件--添加和删除管理单元，在添加界面选项“组策略对象编辑器”。

一、隐藏电脑的驱动器位置：用户配置\管理模板\Windows组件\Windows资源管理器\启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。

位置：用户配置\管理模板\系统\二、禁用注册表位置：用户配置\管理模板\系统\三、禁用控制面板位置：用户配置\管理模板\系统\如果你只想显示隐藏某些配置，可选择。

四、隐藏文件夹平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：位置：用户配置\管理模板\Windows组件\Windows资源管理器\五. 禁用“添加/删除程序”阻止其他用户通过它来安装或卸载程序，可利用组策略来实现。

位置：用户配置\管理模板\控制面板\添加/删除程序六. 让Windows 的上网速率提升20%（Windows XP/2003）默认情况下，Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内，这对带宽较小的网络来说，无疑是笔不小的开支。