保护 SEP 的服务
停掉 SEP 的服务,目前可能的方法包括有:使用 360 安全卫士中的“系统服务状态”、 使用 Windows操作系统中的 SC 命令。 在 Windows 系统中,每一项服务都在注册表的HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下有对应项,要 保护 SEP 客户端的服务不被篡改,我们只需要保护对应的注册表项不被修改。
我们需要保护的 SEP 的服务包括:
■ SmcService
■ SNAC
■ ccSetMgr
■ ccEvtMgr
SEP 客户端的四个服务,默认的启动方式都是自动,这个是由注册表中的键“Start” 的值来确定的。值为2,则服务的启动方式为自动;值为 3,则服务的启动方式为手动。
停掉 ccEvtMgr 和 ccSetMgr 服务,对应的是在注册表中将以下四个键删掉:
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccEvtCli
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSettingsService
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccEvtMgr
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccSetMgr
我们保护住着四个键不被删掉,就可以保护 ccEvtMgr 和 ccSetMgr 服务不被停止。 但是,ccEvtMgr和 ccSetMgr 两个服务的这个特性,对于 SmcService 和 SNAC 这 两个服务并不适用。
1. 在 3.1 的策略的基础上,添加“注册表访问尝试”条件:
2. 允许读取操作,但是禁止修改操作:
3. 添加“注册表访问尝试”条件:
4. 允许读取操作,禁止修改操作:
5. 为本规则添加两个例外的进程:smc.exe 和 snac.exe:
策略在客户端生效后,通过 services.msc 修改 SEP 服务的启动属性将被阻止。
但是,测试中我们发现: 即使对 SEP 客户端的服务所对应的注册表键值进行了 保护,但是 360 安全卫士中的“系统服务状态”工具,依然可以修改 SEP 服务的 属性,它可以将 SEP 的服务设置为“禁止启动”,实际上,它是将 SEP 服务的启 动属性设置为了手动。虽然我们可以设置策略保护注册表中 SEP服务的 Start 键值,但是不能阻止 360 安全卫士的动作。不过,在测试中,并没有发现通过360 安全卫士的这种动作,会对 SEP 客户端造成什么影响。在 360 安全卫士中 将 SEP 服务设置为“禁止启动”之后,SEP 客户端依然工作正常。
From Symantec
专家点评:
此文档共分为“保护SEP进程”、“保护SEP的服务”、“保护SEP的文件夹和注册表”三个部分,分3天讲述。针对SEP程序管理中的“终止进程尝试”、“启动进程尝试”、“注册表访问尝试”、“文件及文件夹访问尝试”都讲的比较细致,希望各位看客举一反三,充分吸收,把SEP真正的价值体现出来。
如下:
使用SEP禁止刻录光盘
Symantec Endpoint Protection在成熟中继续前行
Symantec Endpoint Protection一次“失败”的防御
好色理论与病毒防治!!!(W32.Downadup.B的治愈遐想)
SEP 12.1应用程序与设备控制中的诸多改进!!!
SEP反破解方案A-保护SEP进程