《SERVER2003组策略之软件限制策略教程.docx》由会员分享,可在线阅读,更多相关《SERVER2003组策略之软件限制策略教程.docx(28页珍藏版)》请在三一办公上搜索。
1、组策略之软件限制策略完全教程与规则示例(规则已发布)翻了一下HIPS区之前已有的组策略教程,发现存在几个问题:1.对于路径规则的优先级、通配符问题没有说清,甚至存在误区2.规则的权限设置只有“不允许的”和“不受限的”两个级别,不够灵活3.没有涉及权限和继承的问题4.规则的保护范围有限,甚至不能防网马所以,就有了此文在总结前人经验的基础上,重新解释组策略的软件限制策略第一课,理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。组策略.jp
2、g (32.37 KB)2008-3-2 03:53一.环境变量、通配符和优先级关于环境变量(假定系统盘为 C盘) %USERPROFILE% 表示 C:Documents and Settings当前用户名 %HOMEPATH% 表示 C:Documents and Settings当前用户名%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users%ComSpec% 表示 C:WINDOWSSystem32cmd.exe %APPDATA% 表示 C:Documents and Settings当前用户名Application Data %
3、ALLAPPDATA% 表示 C:Documents and SettingsAll UsersApplication Data %SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:WINDOWS %WINDIR% 表示 C:WINDOWS %TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp %ProgramFiles% 表示 C:Program Files %CommonProgramFiles% 表示 C:Program FilesCommon Files
4、 关于通配符:Windows里面默认* :任意个字符(包括0个),但不包括斜杠? :1个字符几个例子*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录关于优先级:1.绝对路
5、径 通配符相对路径 如 C:Windowsexplorer.exe *Windowsexplorer.exe 2.文件型规则 目录型规则 如若a.exe在Windows目录中,那么 a.exe C:Windows注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。例如, *.* 就比 C:WINDOWS 的优先级要高,如果我们要排除WINDOWS根目录下的程序,就需要这样做 C:WINDOWS*.*而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。可见,文件型、目录型都是相对而言的3.环境变量 = 相应的实际路径 = 注册表键值路径
6、如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.若两条规则路径等效,那么两条规则合成的结果是:从严处理,以最低的权限为准。如“C:Windowsexplorer.exe 不受限的” + “C:Windowsexplorer.exe 基本用户”=“C:Windowsexplorer.exe 基本用户注:1. 通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Windows,但不匹配 C:SandboxWINDOW
7、S2. * 和 * 是完全等效的,例如 *abc = *abc3. C:abc* 可以直接写为 C:abc 或者 C:abc,最后的* 是可以省去的,因为软件限制策略中已经存储了执行文件类型作为 * 的内容了。(指派的文件类型)4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的,这样的规则实际上无效,除非你把TXT格式也加入“指派的文件类型”列表中。指派的文件类型 属性.jpg (27.83 KB)2008-3-2 03:535. * 和 *.* 是有区别的,后者要求文件名或路径必须含有“.”,而前者没有此限制,因此,*.* 的优先级比 * 的高6. ?:*
8、与 ?:*.* 是截然不同的,前者是指所有分区下的每个目录下的所有子文件夹,简单说,就是整个硬盘;而 ?:*.* 仅包括所有分区下的带“.”的文件或目录,一般情况下,指的就是各盘根目录下的文件。那非一般情况是什么呢?请参考第7点7. ?:*.* 中的“.” 可能使规则范围不限于根目录。这里需要注意的是:有“.”的不一定是文件,可以是文件夹。例如 F:ab.c,一样符合 ?:*.*,所以规则对F:ab.c下的所有文件及子目录都生效。8.首先引用组策略软件限制策略规则包编写之菜鸟入门(修正版)里的一段: 引用:4、如何保护上网的安全 在浏览不安全的网页时,病毒会首先下载到IE缓存以及系统临时文件夹
9、中,并自动运行,造成系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵 %SYSTEMROOT%tasks*.* 不允许的 (这个是计划任务,病毒藏身地之一) %SYSTEMROOT%Temp*.* 不允许的 %USERPROFILE%Cookies*.* 不允许的 %USERPROFILE%Local Settings*.* 不允许的 (这个是IE缓存、历史记录、临时文件所在位置)说实话,上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全,实际上这几条规则在设置时就犯了一些错误例如:%USERPROFILE%Local Settings*.* 不允许的可以看出
10、,规则的原意是阻止程序从Local Settings(包括所有子目录)中启动现在大家不妨想想这规则的实际作用是什么?先参考注1和注2,* 和* 是等同的,而且不包含字符“”。所以,这里规则的实际效果是 “禁止程序从Local Settings文件夹的一级子目录中启动”,不包括Local Settings根目录,也不包括二级和以下的子目录。现在我们再来看看Local Settings的一级子目录有哪些:Temp、Temporary Internet Files、Application Data、History。阻止程序从Temp根目录启动,直接的后果就是很多软件不能成功安装那么,阻止程序从Tem
11、porary Internet Files根目录启动又如何呢?实际上,由于IE的缓存并不是存放Temporary Internet Files根目录中,而是存于Temporary Internet Files的子目录Content.IE5的子目录里(-_-|),所以这种写法根本不能阻止程序从IE缓存中启动,是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动,正确的写法应该是:某目录* 某目录* 某目录 某目录9. 引用:?:autorun.inf 不允许的这是流传的所谓防U盘病毒规则,事实上这条规则是没有作用的,关于这点在 关于各种策略防范U盘病毒的讨论 已经作了分析二.软件限制策略的
12、3D的实现:“软件限制策略本身即实现AD,并通过NTFS权限实现FD,同时通过注册表权限实现RD,从而完成3D的部署”对于软件限制策略的AD限制,是由权限指派来完成的,而这个权限的指派,用的是微软内置的规则,即使我们修改“用户权限指派”项的内容,也无法对软件限制策略中的安全等级进行提权。所以,只要选择好安全等级,AD部分就已经部署好了,不能再作干预而软件件限制策略的FD和RD限制,分别由NTFS权限、注册表权限来完成。而与AD部分不同的是,这样限制是可以干预的,也就是说,我们可以通过调整NTFS和注册表权限来配置FD和RD,这就比AD部分要灵活得多。小结一下,就是AD用户权利指派FDNTFS权
13、限RD注册表权限先说AD部分,我们能选择的就是采用哪种权限等级,微软提供了五种等级:不受限的、基本用户、受限的、不信任的、不允许的。不受限的,最高的权限等级,但其意义并不是完全的不受限,而是“软件访问权由用户的访问权来决定”,即继承父进程的权限。基本用户,基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。受限的,比基本用户限制更多,也仅享有“跳过遍历检查”的特权。不信任的,不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。不允许的,无条件地阻止程序执行或文件被打开很容易看出,按权限大小排序为 不受限的 基本用户 受限的 不信任的 不允许的其中,基本用户 、受限的、不
14、信任的 这三个安全等级是要手动打开的具体做法:打开注册表编辑器,展开至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一个DOWRD,命名为Levels,其值可以为0x10000 /增加受限的0x20000 /增加基本用户0x30000 /增加受限的,基本用户0x31000 /增加受限的,基本用户,不信任的设成0x31000(即4131000)即可如图:注册表编辑器.jpg (49.52 KB)2008-3-5 14:16或者将下面附件中的reg双击导入注册表即可safer.rar (279 Byt
15、es) safer.rar (279 Bytes)Levels设置下载次数: 202008-3-5 14:16再强调两点:1.“不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限2.“不受限的”级别不等于不受限制,只是不受软件限制策略的附加限制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限字,该程序所获得的访问令牌决定于其主体,所以任何程序的权限将不会超过它的父进程。权限的分配与继承:这里的讲解默认了一个前提:假设你的用户类型是管理员。在没有软件限制策略的情况
16、下,很简单,如果程序a启动程序b,那么a是b的父进程,b继承a的权限现在把a设为基本用户,b不做限制(把b设为不受限或者不对b设置规则效果是一样的)然后由a启动b,那么b的权限继承于a,也是基本用户,即:a(基本用户)- b(不受限的) = b(基本用户)若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即a(不受限的)- b(基本用户) = b(基本用户)可以看到,一个程序所能获得的最终权限取决于:父进程权限 和 规则限定的权限 的最低等级,也就是我们所说的最低权限原则举一个例:若我们把IE设成基本用户等级启动,那么由IE执行的任何程序的权限都将不高于基本用户级别,只能更
17、低。所以就可以达到防范网马的效果即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只剩下尸体了。甚至,我们还可以通过NTFS权限的设置,让IE无法下载和运行病毒,不给病毒任何的机会。权限的解释:引用:以操作系统方式操作 (SeTcbPrivilege)此策略设置允许进程采用任何用户的标识,来获取对该用户被授权访问的资源的访问权限。(危险的权限,不建议分配给任何组)配置单一进程 (SeProfileSingleProcessPrivilege)此策略设置确定哪些用户可以使用工具来监视非系统进程的性能。(可以类比一下:利用事件查看器查看应用程序的信息)
18、配置系统性能此策略设置允许用户使用工具查看不同系统进程的性能,它可能会被滥用以允许攻击者确定系统的活动进程并深入了解计算机的潜在攻击面。(例如,利用事件查看器查看系统的信息)跳过遍历检查 (SeChangeNotifyPrivilege)当用户导航 NTFS 文件系统或注册表中的对象路径时,此策略设置允许没有特殊访问权限“遍历文件夹”的用户“跳过”文件夹。此用户权限并不允许用户列出文件夹的内容,但只允许他们遍历目录。更改系统时间 (SeSystemtimePrivilege)此策略设置确定哪些用户和组能够更改环境中计算机内部时钟的时间和日期。分配了此用户权限的用户可以影响事件日志的外观。当计算
19、机的时间设置发生更改时,记录的事件会反映新时间,而不是事件发生的实际时间。调试程序 (SeDebugPrivilege)此策略设置确定哪些用户可以将调试程序附加到任何进程或附加到内核中,它提供对敏感和关键操作系统组件的完整访问权限。当管理员需要利用支持“内存中的修补”(也称为“热修补”)技术的修补程序时,需要此用户权限。(包含了创建远程线程、修改进程内存、直接操作系统内核等内容)从远端系统强制关机 (SeRemoteShutdownPrivilege)此策略设置允许用户从网络上的远程位置关闭基于 Windows XP 的计算机。任何分配了此用户权限的用户都可能引起拒绝服务 (DoS) 情况,这
20、将使该计算机无法为用户请求提供服务。因此,Microsoft 建议仅向高度信任的管理员分配此用户权限。(从网络上或调用shutdown.exe来关闭计算机需要此特权)关闭系统 (SeShutdownPrivilege)此策略设置确定在本地登录到您环境中的计算机上的用户中,哪些用户可以使用“关机”命令关闭操作系统。误用此用户权限可能导致拒绝服务情形。(正如字面上所说的)替换进程级记号 (SeAssignPrimaryTokenPrivilege )此策略设置允许某个进程或服务使用不同的安全访问令牌启动其他服务或进程,它可用于修改子进程的安全访问令牌并导致特权提升。(运行方式、runas命令相关特
21、权)创建记号对象 (SeCreateTokenPrivilege)此策略设置允许进程创建访问令牌,这可能提供提升权限来访问敏感数据。在安全具有高优先级的环境中,不应向任何用户分配此用户权限(几乎是至高无上的权限,允许进程的提权)取得文件或其它对象的所有权 (SeTakeOwnershipPrivilege)此策略设置允许用户获得文件、文件夹、注册表项、进程或线程的所有权。此用户权限绕过现有用于保护对象的任何权限,并向指定用户授予所有权。(一旦拥有此特权,就等于完全控制了系统)装载和卸载设备驱动程序(SeLoadDriverPrivilege)此策略设置允许用户在系统上动态装载新的设备驱动程序。
22、攻击者可能使用此功能安装显示为设备驱动程序的恶意代码。用户需要此用户权限和 Power Users 组或 Administrators 组的成员资格才能在 Windows XP 中添加本地打印机或打印机驱动程序。增加进度优先级 (SeIncreaseBasePriorityPrivilege)此策略设置允许用户更改进程利用的处理器时间量。攻击者可能使用此功能将进程的优先级提高为实时,并为计算机创建一个拒绝服务情形。内存中锁定页 (SeLockMemoryPriv ilege)此策略设置允许进程将数据保存在物理内存中,这样可以防止系统将数据分页存储到磁盘的虚拟内存。如果分配了此用户权限,系统性能
23、可能显著降低。修改固件环境值 (SeSystemEnvironmentPrivilege)此策略设置允许用户配置影响硬件配置的系统范围环境变量。此信息通常存储在“最后一次正确的配置”中。修改这些值可能造成会导致拒绝服务情形的硬件故障。此功能的威胁相对较小作为批处理作业登录此策略设置允许帐户使用 Task Scheduler 服务登录。Task Scheduler 通常用于管理目的,因此可能需要在 EC 环境中使用。但是,在 SSLF 环境中使用时,它应该仅限于防止滥用系统资源或防止攻击者获得计算机的用户级别访问权限之后使用该权限启动恶意代码。作为服务登录此策略设置允许帐户启动网络服务或将进程注
24、册为系统上运行的服务。在 SSLF 环境中的任何计算机上均应限制此用户权限,因为许多应用程序可能需要此特权。在 EC 环境中配置此用户权限之前,应仔细地进行评估和测试。管理审核和安全日志此策略设置确定哪些用户可以更改文件和目录的审核选项以及清除安全日志。此功能的威胁相对较小执行卷维护任务此策略设置允许用户管理系统卷或磁盘配置,它可能允许用户删除卷并导致数据丢失以及拒绝服务情形。FD:NTFS权限* 要求磁盘分区为NTFS格式 *其实Microsoft Windows 的每个新版本都对 NTFS 文件系统进行了改进。NTFS 的默认权限对大多数组织而言都已够用。NTFS权限的分配1.如果一个用户
25、属于多个组,那么该用户所获得的权限是各个组的叠加2.“拒绝”的优先级比“允许”要高例如:用户A 同时属于Administrators和Everyone组,若Administrators组具有完全访问权,但Everyone组拒绝对目录的写入,那么用户A的实际权限是:不能对目录写入,但可以进行除此之外的任何操作高级权限名称 描述 (包括了完整的FD和部分AD) 引用:遍历文件夹/运行文件 (遍历文件夹可以不管,主要是“运行文件”,若无此权限则不能启动文件,相当于AD的运行应用程序)允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求,即使用户没有遍历文件夹的权限(仅适用于文件夹)。列出文件
26、夹/读取数据允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容,而不影响您对其设置权限的文件夹是否会列出(仅适用于文件夹)。读取属性 (FD的读取)允许或拒绝查看文件中数据的能力(仅适用于文件)。读取扩展属性允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。创建文件/写入数据 (FD的创建)“创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力(仅适用于文件)。创建文件夹/追加数据“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”允
27、许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力(仅适用于文件)。写入属性 (即改写操作了,FD的写)允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请求(仅适用于文件)。 即写操作写入扩展属性允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。删除子文件夹和文件 (FD的删除)允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。删除 (与上面的区别是,这里除了子目录及其文件,还包括了目录本身)允许或拒绝用户删除子文件夹和文件的请求,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。读
28、取权限 (NTFS权限的查看)允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。更改权限 (NTFS权限的修改)允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。取得所有权 允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,而不论用于保护该文件或文件夹的现有权限如何。以基本用户为例,基本用户能做什么?在系统默认的NTFS权限下,基本用户对系统变量和用户变量有完全访问权,对系统文件夹只读,对Program Files的公共文件夹只读,Document and Setting下,仅对当前用户目录有完全访问权,
29、其余不能访问如果觉得以上的限制严格了或者宽松了,可以自行调整各个目录和文件的NTFS权限。如果发现浏览器在基本用户下无法使用某些功能的,很多都是由于NTFS权限造成的,可以尝试调整对应的NTFS权限基本用户、受限用户属于以下组UsersAuthenticated UsersEveryoneINTERACTIVE但受限用户权限更低,无论NTFS权限如何,受限用户始终受到限制。调整权限时,主要利用到的组为 Users 或 Authenticated Users例:对用户变量Temp目录进行设置,禁止基本用户从该目录运行程序,可以这样做:首先进入“高级”选项,取消勾选“从父项继承那些可以应用到子对象
30、的权限项目,包括那些在此明确定义的项目(I)”WINDOWS 的高级安全设置.jpg (38.4 KB)2008-3-2 03:53然后设置Users的权限如图组策略NTFS.jpg (27.94 KB)2008-3-2 03:53这样基本用户下的程序就无法从Temp启动文件了 引用:更正一下,由于Temp目录的默认权限不同的系统可能不同,所以在调整权限时要注意。总之须保证Administrators、System组具有完全访问权,everyone组可以删除,然后再设置Users组的权限注意不要使用“拒绝”,不然Admin组也会受影响又例如,如果想保护某些文件不被修改或删除,可以取消Users
31、的删除和写入权限,从而限制基本用户,达到保护重要文件的效果当然,也可以防止基本用户运行指定的程序以下为微软建议进行限制的程序:regedit.exearp.exeat.exeattrib.execacls.exedebug.exeedlin.exeeventcreate.exeeventtriggers.exeftp.exenbtstat.exenet.exenet1.exenetsh.exenetstat.exenslookup.exentbackup.exercp.exereg.exeregedt32.exeregini.exeregsvr32.exerexec.exeroute.exer
32、sh.exesc.exesecedit.exesubst.exesysteminfo.exetelnet.exetftp.exetlntsvr.exeRD部分:注册表权限。由于微软默认的注册表权限分配已经做得很好了,不需要作什么改动,所以这里就直接略过了三.关于组策略规则的设置:规则要顾及方便性,因此不能对自己有过多的限制,或者最低限度地,即使出现限制的情况,也能方便地进行排除规则要顾及安全性,首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的威胁。没有这种防外能力的规则都是不完整或者不合格的基于文件名防病毒、防流氓的规则不宜多设,甚至可以舍弃。一是容易误阻,二是病毒名字可以随便改,特
33、征库式的黑名单只会跟杀软的病毒库一样滞后。于是,我们有两种方案:如果想限制少一点的,可以只设防“入口”规则,主要面向U盘和浏览器如果想安全系数更高、全面一点的,可以考虑全局规则+白名单具体做法可以是: IE 基本用户 U盘 不允许的 阅读器的受限,如hh.exe,pdf Reader Documents and Settings 不允许的 + Application Data 不受限 CMD基本用户 桌面受限的 + lnk不受限的 全局基本用户 + 白名单不受限(系统默认的四条规则+Program Files+自定义程序+某些格式的排除)注意全局规则中最好使用 “* 基本用户”这样的形式,大家
34、不妨对比一下与 “*.* 基本用户”或者“*.exe 基本用户” 的不同待续.最后布置几道作业 ,看看大家对上面的内容消化得如何 1. 在规则“F:*.* 不允许”下,下面那些文件不能被打开?A:F:a.exeB.F:Folder.1b.exeC.F:Folder1Folder.2C.txtD.F:Folder1Folder.2Folder.3d.exe2. 在以管理员身份登陆的情况下,建立规则如下:%Temp% 受限的%USERPROFILE%Local SettingsTemporary Internet Files 不允许的%ProgramFiles%Internet Exploreri
35、explore.exe 基本用户%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersDesktop% 不受限的在这四条规则下,假设这样的情况:iexplore.exe 下载一个test.exe到Temporary Internet Files目录,然后复制到Temp目录,再从Temp目录中运行test.exe,(复制和运行的操作都是IE在做),然后由text.exe释放test2.exe到桌面,并运行test2.exe。那么test2.exe的访问令牌为:A.不受限的 B.不允许的 C.基本用
36、户 D.受限的3. 试说出 F:win* 和 F:win* 的区别4. 若想限制QQ的行为,例如右下方弹出的广告,并不允许QQ调用浏览器,可以怎么做?答对两题即及格。不过貌似还是有些难度第二课,规则详解书接上回 基础部分,如何建立规则:首先,打开组策略开始-运行,输入 “gpedit.msc”(不包含引号)并回车。在弹出的对话框中,依次展开 计算机配置-Windows设置-安全设置-软件限制策略如果你之前没有配置过软件限制策略,那么可以在菜单栏上选择 操作-创建新的策略如图创建规则.jpg (33.71 KB)2008-3-4 00:13然后转到“其它规则”项,在菜单栏选择“操作”,在下拉菜单
37、选择“新路径规则”在弹出的对话框中,就可以编辑规则了建立规则.jpg (31.71 KB)2008-3-4 00:13华丽丽的分割线软件限制策略的其实并不复杂,在规则设置上是十分简单的,只有五个安全级别,不像HIPS那样,光AD部分就细分成N项。但软件限制策略的难点在于:如何确保你的规则真正有效并按你的意愿去工作,即如何保证规则的正确性和有效性。从四道题目的答对率来看,发现问题还是不少的 附上题目的参考答案参考答案.rar (1019 Bytes) 参考答案.rar (1019 Bytes)下载次数: 312008-3-4 00:13下面将详细讨论规则部分一、再次强调一下通配符的使用Windo
38、ws里面默认* :任意个字符(包括0个),但不包括斜杠? :1个字符在组策略中*不包括斜杠,这和HIPS是不同的,一定要注意例如:C:Windowssystem32 可以表示为 *system32而以下的表达式都是无效的:*system32 、system32*、system32二、根目录规则软件限制策略对初学者来说有一定的难度,因为它没有HIPS那么丰富的功能选项,故利用规则实现某一功能需要一定的技巧。根目录规则就是一例(禁止在某个目录的根目录下的程序行为)若在EQ中,设置规则时取消“包含该目录下面的所有文件”选项就可以保证规则仅对根目录起效而组策略却不是那么简单就可以做到。看看下面的规则:
39、 引用:C:Program Files*.* 不允许的前面已经提过,* 不包含斜杠,因此这个规则可视为Program Files的根目录规则。在此规则下,形如 C:Program Filesa.exe 等程序将不能启动。但这规则可能导致一些问题,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果Program Files存在带有“.”的目录(形如C:Program FilesTTplayer5.2),一样可以和规则 C:Program Files*.* 匹配,这将导致该文件夹下的程序无法运行,造成误伤。改进一下的话,可以用两条规则来实现根目录限制如 引用:C:Program Files 不允
40、许的C:Program Files* 不受限的这样就保证了子目录的程序不受规则影响三、一些规则的模板根目录规则: 某目录* + 某目录*目录规则(包含目录中所有文件):某目录* 或 某目录 或 某目录含“*”的目录规则: 某目录* (注意要加上斜杠“”)文件型规则: a.exe 、*.com 等绝对路径规则: 如 C:Windowsexplorer.exe全局型规则: *这里需要说明的是,为什么全局型规则要使用“*”?因为 * 属于仅有通配符的规则,其覆盖范围是最大的,而优先级是最低的,不会遗漏,便于排除,最适合作为全局规则。对比“*.*”,一个字符“.”的存在使规则的优先级提高了,这将会给排
41、除工作带来不便四、规则实例1. 保证上网安全很多人问,浏览毒网时,病毒会下载到什么位置执行?首先是,下载到网页缓存中(Content.IE5),这点很多人都注意到了。不过呢,病毒一般却不会选择在缓存中执行,而是通过浏览器复制病毒文件到其它目录,例如Windows。system32、Temp,当前用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其公有子目录、浏览器所在目录等所以在这里再重复一次已说过N次的话,不要以为把缓存目录设为不允许的就万事大吉了。 至于防范,比较好的方法就是禁止浏览器在敏感位置新建文件,这点使用“浏览器基本用户”就可以做到,规则如下 引用:%ProgramF
42、iles%Internet Exploreriexplore.exe 基本用户如果使用的是其它浏览器,也可以设成 基本用户若配合以下规则,效果更佳: 引用:*Documents and Settings 不允许的 程序一般不会从Documents and Settings中启动%APPDATA% 不允许的 当前用户的Application Data根目录限制%APPDATA%* 不受限的 允许程序从Application Data的子目录启动%SystemDrive%*.* 不允许的 禁止程序从系统盘根目录启动%Temp% 不受限的 允许程序从Temp目录启动,安装软件必须%TMP% 不受限的
43、 同上并设置用户变量Temp的NTFS权限:Temp的默认路径为 Documents and SettingsAdministratorLocal SettingsTemp在系统盘格式为NTFS的情况下,右击Temp文件夹,选择“安全”项,取消Users组的“读取与运行”权限即可。(同时要取消Everyone组的访问权,且保证Administrators组具有完全访问权限)如此设置的作用是:基本用户下的程序将无法从Temp文件夹运行程序2.U盘规则比较实际的做法是 引用:U盘: 不允许的、不信任的、受限的,都可以不允许的安全度更高一些,这样也不会影响U盘的一般使用(拷贝、删除等)假设你的U盘一般盘符是I,那么规则可以写成: 引用:I: 不允许的3.双后缀文件防范规则以下是微软的帮助: 引用:注意某些病毒使用的文件具有两个扩展名以使得危险文件看起来像安全的文件。例如,Doc
