SEP 反破解方案--如何防止用户通用或者卸载SEP客户端

概述在将SEP部署到用户的实际生产环境中之后，我们有发现部分‘很聪明’的用户，找到了一些可以破解SEP的方法。这种破解主要集中在如下几个方面：■通过360安全卫士软件杀掉SEP的进程、停掉SEP的服务■通过修改本地安全策略来禁用SEP服务■通过Windows系统中的ntsd命令来杀掉SEP的进程■修改SEP的目录以及SEP在注册表中对应的键值，让SEP不能正常工作■使用CleanWipe来下载SEP我们可以在SEP中添加一些有针对性的策略来反破解用户的这些行为，从而保护SEP客户端。软件版本本文档中，我们使用的软件版本分别为：SEP/SEPM：RU6MP2(11.0.6200.754)SEP客户端操作系统平台：WindowsXPProfessionalSP3,Windows7EnterpriseEditionSEPM操作系统平台：WindowsServer2003R2EnterpriseSP2360安全卫士：7.5.0.2001反破解方法及测试结果下面介绍具体的反破解方法。保护SEP进程对SEP客户端的保护，首先要保护SEP客户端的进程不被第三方工具或程序杀掉。目前已知的用户可能杀掉SEP进程的方法包括有：使用Windows任务管理器、使用360安全卫士中的‘进程管理器’、使用Windows自带的ntsd命令。由于工行的生产环境中的SEP客户端没有安装防病毒模块，导致SEP客户端不具备自带的防篡改功能，所以我们只能通过应用程序与设备控制策略来实现对SEP进程的保护。我们需要保护的SEP的进程包括如下6个：■SNAC.exe■SmcGui.exe■RtvScan.exe■ccSvcHst.exe■ccApp.exe具体的操作步骤如下：1.新建一个应用程序与设备控制策略。2.在应用程序控制规则中，添加条件，并将此规则应用于*.*3.选择‘终止进程尝试’，在列表中添加SEP的进程：4.将操作选为‘禁止访问’：5.创建规则，禁止启动ntds.exe：策略在客户端生效后的测试结果如下：当用户试图用Windows任务管理器去杀掉SEP的进程时，操作被阻止：当用户尝试用360安全卫士去杀SEP的进程时，操作被阻止：当用户尝试使用ntsd.exe命令去杀掉SEP的进程时，操作被阻止：保护SEP的服务停掉SEP的服务，目前可能的方法包括有：使用360安全卫士中的‘系统服务状态’、使用Windows操作系统中的SC命令。在Windows系统中，每一项服务都在注册表的HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下有对应项，要保护SEP客户端的服务不被篡改，我们只需要保护对应的注册表项不被修改。我们需要保护的SEP的服务包括：■SmcService■SNAC■ccSetMgr■ccEvtMgrSEP客户端的四个服务，默认的启动方式都是自动，这个是由注册表中的键‘Start’的值来确定的。值为2，则服务的启动方式为自动；值为3，则服务的启动方式为手动。停掉ccEvtMgr和ccSetMgr服务，对应的是在注册表中将以下四个键删掉：HKLM\SOFTWARE\Symantec\CommonClient\ccService\Channels\ccEvtCliHKLM\SOFTWARE\Symantec\CommonClient\ccService\Channels\ccSettingsServiceHKLM\SOFTWARE\Symantec\CommonClient\ccService\Channels\ccSvcHst_ccEvtMgrHKLM\SOFTWARE\Symantec\CommonClient\ccService\Channels\ccSvcHst_ccSetMgr我们保护住着四个键不被删掉，就可以保护ccEvtMgr和ccSetMgr服务不被停止。但是，ccEvtMgr和ccSetMgr两个服务的这个特性，对于SmcService和SNAC这两个服务并不适用。1.在3.1的策略的基础上，添加‘注册表访问尝试’条件：2.允许读取操作，但是禁止修改操作：3.添加‘注册表访问尝试’条件：4.允许读取操作，禁止修改操作：5.为本规则添加两个例外的进程：smc.exe和snac.exe：策略在客户端生效后，通过services.msc修改SEP服务的启动属性将被阻止。但是，测试中我们发现：即使对SEP客户端的服务所对应的注册表键值进行了保护，但是360安全卫士中的‘系统服务状态’工具，依然可以修改SEP服务的属性，它可以将SEP的服务设置为‘禁止启动’，实际上，它是将SEP服务的启动属性设置为了手动。虽然我们可以设置策略保护注册表中SEP服务的Start键值，但是不能阻止360安全卫士的动作。不过，在测试中，并没有发现通过360安全卫士的这种动作，会对SEP客户端造成什么影响。在360安全卫士中将SEP服务设置为‘禁止启动’之后，SEP客户端依然工作正常。保护SEP的文件夹和注册表用户可以通过修改本地安全策略，将SEP客户端的安装目录添加为不被允许的路径规则，影响SEP客户端的正常使用。另外，用户可能通过第三方工具来修改SEP目录的权限，从而导致SEP客户端不能正常使用。对于SEP客户端，有如下目录至关重要：%PROGRAMFILES%\Symantec%PROGRAMFILES%\CommonFiles\SymantecSharedC:\DocumentsandSettings\AllUsers\ApplicationData\SymantecSEP在注册表中对应的目录为：HKEY_LOCAL_MACHINE\SOFTWARE\Symantec但是，我们需要对这个规则做一些例外，不能仅仅将此规则应用于所有进程，至少需要排除SEP客户端自己的进程。对于一个加入域中的终端，用户修改本地安全策略，实际上是修改的注册表下的项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GroupPolicyObjects\*Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths操作系统默认不会在本地安全策略的软件限制策略下添加任何限制路径，所以，我们需要禁止用户修改这个注册表项。1.在以上策略的基础上，新建规则：2.添加‘文件和文件夹访问尝试’条件：3.允许读取，但禁止修改：4.添加‘注册表访问尝试’条件：5.添加规则，并将条件添加为‘注册表访问尝试’：策略在客户端生效后，当用户想在本地安全策略中将SEP路径添加为受限路径时，将被阻止：