收藏
下载资源 加入VIP免费专享

组策略软件限制策略.docx

上传人:小飞机 文档编号:1715440 上传时间:2022-12-15 格式:DOCX 页数:27 大小:745.73KB
返回 下载 相关 举报
组策略软件限制策略.docx_第1页
第1页 / 共27页
组策略软件限制策略.docx_第2页
第2页 / 共27页
组策略软件限制策略.docx_第3页
第3页 / 共27页
组策略软件限制策略.docx_第4页
第4页 / 共27页
组策略软件限制策略.docx_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《组策略软件限制策略.docx》由会员分享,可在线阅读,更多相关《组策略软件限制策略.docx(27页珍藏版)》请在三一办公上搜索。

1、组策略软件限制策略导读实际上,本教程主要为以下内容:理论部分:1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限规则部分:5.如何用软件限制策略防毒(也就是如何写规则)6.规则的示例与下载理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。一.环境变量、通配符和优先级关于环境变量(假定

2、系统盘为 C盘) %USERPROFILE% 表示 C:Documents and Settings当前用户名 %HOMEPATH% 表示 C:Documents and Settings当前用户名%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users%ComSpec% 表示 C:WINDOWSSystem32cmd.exe %APPDATA% 表示 C:Documents and Settings当前用户名Application Data %ALLAPPDATA% 表示 C:Documents and SettingsAll UsersA

3、pplication Data %SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:WINDOWS %WINDIR% 表示 C:WINDOWS %TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp %ProgramFiles% 表示 C:Program Files %CommonProgramFiles% 表示 C:Program FilesCommon Files 关于通配符:Windows里面默认* :任意个字符(包括0个),但不包括斜杠? :1个或0个字符

4、几个例子*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录关于优先级:1.绝对路径 通配符相对路径 如 C:Windowsexplorer.exe *Windowsexpl

5、orer.exe2.文件型规则 目录型规则 如若a.exe在Windows目录中,那么 a.exe C:Windows3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.散列规则比任何路径规则优先级都高总的来说,就是规则越匹配越优先注:1. 通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Windows,但不匹配 C:SandboxWINDOWS2. * 和 *

6、 是完全等效的,例如 *abc = *abc3. C:abc* 可以直接写为 C:abc 或者 C:abc,最后的* 是可以省去的,因为软件限制策略的规则可以直接匹配到目录。4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的,这样的规则实际上无效,除非你把TXT格式也加入“指派的文件类型”列表中。5. * 和 *.* 是有区别的,后者要求文件名或路径必须含有“.”,而前者没有此限制,因此,*.* 的优先级比 * 的高6. ?:* 与 ?:*.* 是截然不同的,前者是指所有分区下的每个目录下的所有子文件夹,简单说,就是整个硬盘;而 ?:*.* 仅包括所有分区下的

7、带“.”的文件或目录,一般情况下,指的就是各盘根目录下的文件。那非一般情况是什么呢?请参考第7点7. ?:*.* 中的“.” 可能使规则范围不限于根目录。这里需要注意的是:有“.”的不一定是文件,可以是文件夹。例如 F:ab.c,一样符合 ?:*.*,所以规则对F:ab.c下的所有文件及子目录都生效。8.这是很多人写规则时的误区。首先引用组策略软件限制策略规则包编写之菜鸟入门(修正版)里的一段: 引用:4、如何保护上网的安全 在浏览不安全的网页时,病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运行,造成系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵 %SYSTEMR

8、OOT%tasks*.* 不允许的 (这个是计划任务,病毒藏身地之一) %SYSTEMROOT%Temp*.* 不允许的 %USERPROFILE%Cookies*.* 不允许的 %USERPROFILE%Local Settings*.* 不允许的 (这个是IE缓存、历史记录、临时文件所在位置)说实话,上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全,实际上这几条规则在设置时就犯了一些错误例如:%USERPROFILE%Local Settings*.* 不允许的可以看出,规则的原意是阻止程序从Local Settings(包括所有子目录)中启动现在大家不妨想想这规则的实际作

9、用是什么?先参考注1和注2,* 和* 是等同的,而且不包含字符“”。所以,这里规则的实际效果是 “禁止程序从Local Settings文件夹的一级子目录中启动”,不包括Local Settings根目录,也不包括二级和以下的子目录。现在我们再来看看Local Settings的一级子目录有哪些:Temp、Temporary Internet Files、Application Data、History。阻止程序从Temp根目录启动,直接的后果就是很多软件不能成功安装那么,阻止程序从Temporary Internet Files根目录启动又如何呢?实际上,由于IE的缓存并不是存放Tempor

10、ary Internet Files根目录中,而是存于Temporary Internet Files的子目录Content.IE5的子目录里(-_-|),所以这种写法根本不能阻止程序从IE缓存中启动,是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动,正确的写法应该是:某目录* 某目录* 某目录 某目录9. 引用:?:autorun.inf 不允许的这是流传的所谓防U盘病毒规则,事实上这条规则是没有作用的,关于这点在 关于各种策略防范U盘病毒的讨论 已经作了分析二.软件限制策略的3D的实现:“软件限制策略本身即实现AD,并通过NTFS权限实现FD,同时通过注册表权限实现RD,从而完成

11、3D的部署”对于软件限制策略的AD限制,是由权限指派来完成的,而这个权限的指派,用的是微软内置的规则,即使我们修改“用户权限指派”项的内容,也无法对软件限制策略中的安全等级进行提权。所以,只要选择好安全等级,AD部分就已经部署好了,不能再作干预而软件件限制策略的FD和RD限制,分别由NTFS权限、注册表权限来完成。而与AD部分不同的是,这样限制是可以干预的,也就是说,我们可以通过调整NTFS和注册表权限来配置FD和RD,这就比AD部分要灵活得多。小结一下,就是AD用户权利指派FDNTFS权限RD注册表权限先说AD部分,我们能选择的就是采用哪种权限等级,微软提供了五种等级:不受限的、基本用户、受

12、限的、不信任的、不允许的。不受限的,最高的权限等级,但其意义并不是完全的不受限,而是“软件访问权由用户的访问权来决定”,即继承父进程的权限。基本用户,基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。受限的,比基本用户限制更多,也仅享有“跳过遍历检查”的特权。不信任的,不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。不允许的,无条件地阻止程序执行或文件被打开很容易看出,按权限大小排序为 不受限的 基本用户 受限的 不信任的 不允许的其中,基本用户 、受限的、不信任的 这三个安全等级是要手动打开的具体做法:打开注册表编辑器,展开至HKEY_LOCAL_MACHINE

13、SOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一个DOWRD,命名为Levels,其值可以为0x10000 /增加受限的0x20000 /增加基本用户0x30000 /增加受限的,基本用户0x31000 /增加受限的,基本用户,不信任的设成0x31000(即4131000)即可如图:再强调两点:1.“不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限2.“不受限的”级别不等于完全不受限制,只是不受软件限制策略的附加限制

14、。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限字,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。权限的分配与继承:这里的讲解默认了一个前提:假设你的用户类型是管理员。在没有软件限制策略的情况下,很简单,如果程序a启动程序b,那么a是b的父进程,b继承a的权限现在把a设为基本用户,b不做限制(把b设为不受限或者不对b设置规则效果是一样的)然后由a启动b,那么b的权限继承于a,也是基本用户,即:a(基本用户)- b(不受限的) = b(基本用户)若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即a(不受限的)- b(基本用户

15、) = b(基本用户)可以看到,一个程序所能获得的最终权限取决于:父进程权限 和 规则限定的权限 的最低等级,也就是我们所说的最低权限原则举一个例:若我们把IE设成基本用户等级启动,那么由IE执行的任何程序的权限都将不高于基本用户级别,只能更低。所以就可以达到防范网马的效果即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只剩下尸体了。甚至,我们还可以通过NTFS权限的设置,让IE无法下载和运行病毒,不给病毒任何的机会。FD:NTFS权限* 要求磁盘分区为NTFS格式 *其实Microsoft Windows 的每个新版本都对 NTFS 文件系统进

16、行了改进。NTFS 的默认权限对大多数组织而言都已够用。NTFS权限的分配1.如果一个用户属于多个组,那么该用户所获得的权限是各个组的叠加2.“拒绝”的优先级比“允许”要高例如:用户A 同时属于Administrators和Everyone组,若Administrators组具有完全访问权,但Everyone组拒绝对目录的写入,那么用户A的实际权限是:不能对目录写入,但可以进行除此之外的任何操作高级权限名称 描述 (包括了完整的FD和部分AD) 引用:遍历文件夹/运行文件 (遍历文件夹可以不管,主要是“运行文件”,若无此权限则不能启动文件,相当于AD的运行应用程序)允许或拒绝用户在整个文件夹中

17、移动以到达其他文件或文件夹的请求,即使用户没有遍历文件夹的权限(仅适用于文件夹)。列出文件夹/读取数据允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容,而不影响您对其设置权限的文件夹是否会列出(仅适用于文件夹)。读取属性 (FD的读取)允许或拒绝查看文件中数据的能力(仅适用于文件)。读取扩展属性允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。创建文件/写入数据 (FD的创建)“创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力(仅适用于文件)。创建文件夹/追加数据“

18、创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力(仅适用于文件)。写入属性 (即改写操作了,FD的写)允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请求(仅适用于文件)。 即写操作写入扩展属性允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。删除子文件夹和文件 (FD的删除)允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。删除 (与上面的区别是,这里除了子目录及其文件,还包括了目录本身)允许或拒绝

19、用户删除子文件夹和文件的请求,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。读取权限 (NTFS权限的查看)允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。更改权限 (NTFS权限的修改)允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。取得所有权 允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,而不论用于保护该文件或文件夹的现有权限如何。 以基本用户为例,基本用户能做什么?在系统默认的NTFS权限下,基本用户对系统变量和用户变量有完全访问权,对系统文件夹只读,对Program Files

20、的公共文件夹只读,Document and Setting下,仅对当前用户目录有完全访问权,其余不能访问如果觉得以上的限制严格了或者宽松了,可以自行调整各个目录和文件的NTFS权限。如果发现浏览器在基本用户下无法使用某些功能的,很多都是由于NTFS权限造成的,可以尝试调整对应的NTFS权限基本用户、受限用户属于以下组UsersAuthenticated UsersEveryoneINTERACTIVE但受限用户权限更低,无论NTFS权限如何,受限用户始终受到限制。调整权限时,主要利用到的组为 Users例:对用户变量Temp目录进行设置,禁止基本用户从该目录运行程序,可以这样做:首先进入“高级

21、”选项,取消勾选“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目(I)”然后设置Users的权限如图这样基本用户下的程序就无法从Temp启动文件了注意:1. 不要使用“拒绝”,不然管理员权限下的程序也会受影响2. everyone组的权限适用于任何人、任何程序,故everyone组的权限不能太高,至少要低于Users组其实利用NTFS权限还可以实现很多功能又例如,如果想保护某些文件不被修改或删除,可以取消Users的删除和写入权限,从而限制基本用户,达到保护重要文件的效果当然,也可以防止基本用户运行指定的程序以下为微软建议进行限制的程序:regedit.exearp.ex

22、eat.exeattrib.execacls.exedebug.exeedlin.exeeventcreate.exeeventtriggers.exeftp.exenbtstat.exenet.exenet1.exenetsh.exenetstat.exenslookup.exentbackup.exercp.exereg.exeregedt32.exeregini.exeregsvr32.exerexec.exeroute.exersh.exesc.exesecedit.exesubst.exesysteminfo.exetelnet.exetftp.exetlntsvr.exeRD部分:

23、注册表权限。由于微软默认的注册表权限分配已经做得很好了,不需要作什么改动,所以这里就直接略过了三.关于组策略规则的设置:规则要顾及方便性,因此不能对自己有过多的限制,或者最低限度地,即使出现限制的情况,也能方便地进行排除规则要顾及安全性,首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的威胁。没有这种防外能力的规则都是不完整或者不合格的基于文件名防病毒、防流氓的规则不宜多设,甚至可以舍弃。一是容易误阻,二是病毒名字可以随便改,特征库式的黑名单只会跟杀软的病毒库一样滞后。于是,我们有两种方案:如果想限制少一点的,可以只设防“入口”规则,主要面向U盘和浏览器如果想安全系数更高、全面一点的,

24、可以考虑全局规则+白名单最后布置几道作业 ,看看大家对上面的内容消化得如何 1. 在规则“F:*.* 不允许”下,下面那些文件不能被打开?A:F:a.exeB.F:Folder.1b.exeC.F:Folder1Folder.2C.txtD.F:Folder1Folder.2Folder.3d.exe2. 在以管理员身份登陆的情况下,建立规则如下:%Temp% 受限的%USERPROFILE%Local SettingsTemporary Internet Files 不允许的%ProgramFiles%Internet Exploreriexplore.exe 基本用户%HKEY_CURRE

25、NT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersDesktop% 不受限的在这四条规则下,假设这样的情况:iexplore.exe 下载一个test.exe到Temporary Internet Files目录,然后复制到Temp目录,再从Temp目录中运行test.exe,(复制和运行的操作都是IE在做),然后由text.exe释放 test2.exe到桌面,并运行test2.exe。那么test2.exe的访问令牌为:A.不受限的 B.不允许的 C.基本用户 D.受限的3. 试说出 F:win* 和 F:w

26、in* 的区别4. 若想限制QQ的行为,例如右下方弹出的广告,并不允许QQ调用浏览器,可以怎么做?答对两题即及格。不过貌似还是有些难度规则部分基础部分,如何建立规则:首先,打开组策略开始-运行,输入 “gpedit.msc”(不包含引号)并回车。在弹出的对话框中,依次展开 计算机配置-Windows设置-安全设置-软件限制策略如果你之前没有配置过软件限制策略,那么可以在菜单栏上选择 操作-创建新的策略如图然后转到“其它规则”项,在菜单栏选择“操作”,在下拉菜单选择“新路径规则”在弹出的对话框中,就可以编辑规则了华丽丽的分割线软件限制策略的其实并不复杂,在规则设置上是十分简单的,只有五个安全级别

27、,不像HIPS那样,光AD部分就细分成N项。但软件限制策略的难点在于:如何确保你的规则真正有效并按你的意愿去工作,即如何保证规则的正确性和有效性。附上题目的参考答案1.D考点:注2、注4、注7这题的C选项是陷阱,因为TXT文件不在规则的阻挡范围之内。D项参考注7,F:Folder1Folder.2Folder.3 (注意“.”)正好能匹配 F:*.*,因此Folder.3下面的EXE文件不能被打开2.D说明:此题的考点为“AD权限的分配/最低权限原则”我们先整理一下父子进程的关系:iexplore.exe - test.exe - test2.exe(基本用户) (受限的) (受限的)其中,t

28、est.exe从Temp目录启动,受规则“%Temp% 受限的”的限制,其权限降为“受限的”。test2.exe从桌面启动,虽然桌面的 程序是不受限的,但由于其父进程为test.exe,故继承test.exe的权限,故test2.exe的最终获得访问令牌还是“受限的”另外要注意的是,复制、创建文件等操作都不会构成权限的继承3.考点:注1、注3、综合分析说明:F:win* 和 F:win* 仅相差一个字符 “”,由注1可知,* 并不包括斜杠。那么斜杠“”在这里的作用是什么?实际上,这个斜杠在规则中的作用相当于声明斜杠前的路径指的是目录,而不是文件,注意到这点后,就可以看出区别了:F:win* 既

29、可以匹配到 F:windows、F:windir、F:winrar等目录,也可以匹配到F:winrar.exe、F:winNT.bat等文件而F:win* 仅能匹配到目录4.考点:NTFS权限此题答案不唯一,只要是合理可行的方案即可下面答案仅供参考:限制QQ的行为,可以把QQ设为基本用户。防止QQ广告,可以对Tencent下的AD目录调整NTFS权限取消Users组的创建、写入权限不允许QQ调用浏览器,可以对IE调整NTFS权限取消Users组的“读取和运行”的权限下面将详细讨论规则部分一、再次强调一下通配符的使用Windows里面默认* :任意个字符(包括0个),但不包括斜杠? :1个或0个

30、字符在组策略中*不包括斜杠,这和HIPS是不同的,一定要注意例如:C:Windowssystem32 可以表示为 *system32而以下的表达式都是无效的:*system32 、system32*、system32二、根目录规则软件限制策略对初学者来说有一定的难度,因为它没有HIPS那么丰富的功能选项,故利用规则实现某一功能需要一定的技巧。根目录规则就是一例(禁止在某个目录的根目录下的程序行为)若在EQ中,设置规则时取消“包含该目录下面的所有文件”选项就可以保证规则仅对根目录起效而组策略却不是那么简单就可以做到。看看下面的规则: 引用:C:Program Files*.* 不允许的前面已经提

31、过,* 不包含斜杠,因此这个规则可视为Program Files的根目录规则。在此规则下,形如 C:Program Filesa.exe 等程序将不能启动。但这规则可能导致一些问题,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果Program Files存在带有“.”的目录(形如C:Program FilesTTplayer5.2),一样可以和规则 C:Program Files*.* 匹配,这将导致该文件夹下的程序无法运行,造成误伤。改进一下的话,可以用两条规则来实现根目录限制如 引用:C:Program Files 不允许的C:Program Files* 不受限的这样就保证了子目录

32、的程序不受规则影响三、一些规则的模板根目录规则: 某目录* + 某目录*目录规则(包含目录中所有文件): 某目录* 或 某目录 或 某目录含“*”的目录规则: 某目录* (注意要加上斜杠“”)文件型规则: a.exe 、*.com 等绝对路径规则: 如 C:Windowsexplorer.exe全局型规则: *这里需要说明的是,为什么全局型规则要使用“*”?因为 * 属于仅有通配符的规则,其覆盖范围是最大的,而优先级是最低的,不会遗漏,便于排除,最适合作为全局规则。对比“*.*”,一个字符“.”的存在使规则的优先级提高了,这将会给排除工作带来不便四、规则实例1. 保证上网安全很多人问,浏览毒网

33、时,病毒会下载到什么位置执行?首先是,下载到网页缓存中(Content.IE5),这点很多人都注意到了。不过呢,病毒一般却不会选择在缓存中执行,而是通过浏览器复制病毒文件到其它目录,例如Windows。system32、Temp,当前用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其公有子目录、浏览器所在目录等所以在这里再重复一次已说过N次的话,不要以为把缓存目录设为不允许的就万事大吉了。 至于防范,比较好的方法就是禁止浏览器在敏感位置新建文件,这点使用“浏览器基本用户”就可以做到,规则如下 引用:%ProgramFiles%Internet Exploreriexplore.

34、exe 基本用户如果使用的是其它浏览器,也可以设成 基本用户若配合以下规则,效果更佳: 引用:*Documents and Settings 不允许的 程序一般不会从Documents and Settings中启动%ALLAPPDATA%* 不受限的 允许程序从Application Data的子目录启动%APPDATA% 不允许的 当前用户的Application Data目录限制%APPDATA%* 不受限的 允许程序从Application Data的子目录启动%SystemDrive%*.* 不允许的 禁止程序从系统盘根目录启动%Temp% 不受限的 允许程序从Temp目录启动,安装

35、软件必须%TMP% 不受限的 同上并设置用户变量Temp的NTFS权限:Temp的默认路径为 Documents and SettingsAdministratorLocal SettingsTemp在系统盘格式为NTFS的情况下,右击Temp文件夹,选择“安全”项,取消Users组的“读取与运行”权限即可。(同时要取消Everyone组的访问权,且保证Administrators组具有完全访问权限)如此设置的作用是:基本用户下的程序将无法从Temp文件夹运行程序2.U盘规则比较实际的做法是 引用:U盘:* 不允许的、不信任的、受限的,都可以不允许的安全度更高一些,这样也不会影响U盘的一般使用

36、(正常拷贝、删除等)假设你的U盘一般盘符是I,那么规则可以写成: 引用:I:* 不允许的3.双后缀文件防范规则以下是微软的帮助: 引用:注意某些病毒使用的文件具有两个扩展名以使得危险文件看起来像安全的文件。例如,Document.txt.exe 或 Photos.jpg.exe。最后面的扩展名是 Windows 将尝试打开的扩展名。具有两个扩展名的合法文件非常少,因此避免下载或打开这种类型的文件。 有些文件下载起来比程序或宏文件更安全,例如文本 (.txt) 或图像 (.jpg, .gif, .png) 文件。但是,仍然要警惕未知的来源,因为已知这些文件中的一些文件使用了特意精心设计的格式,可

37、以利用计算机系统的漏洞。双后缀文件可能的形式比较多,这里仅放出谍照一张4.全局规则就一条: 引用:* 基本用户如果设成受限的或者不信任/不允许的话,无疑会更安全,但也会带来一些不便。综合考虑还是基本用户比较适合在全局规则下,肯定需要对合法的程序进行排除的。在排除的时候,你就会发现使用 * 作为全局规则的优越性了任何一条规则的优先级都比它高,所以我们可以很方便地进行排除。为了减少排除的工作量,这里建议大家把软件集中安装在少数的目录,例如ProgramFiles目录,那么排除时就可以对整个目录进行,不必慢慢添加示例排除规则: 引用:%ProgramFiles% 不受限的 (软件所在目录)*Appl

38、icationSetups 不受限的 (安装软件用的文件夹)还要排除一些文件格式,以使其被正常打开: 引用:*.lnk 不受限的*.ade 不受限的*.adp 不受限的*.msi 不受限的*.msp 不受限的*.chm 不受限的*.hlp 不受限的*.pcd 不受限的5. 其它辅助规则CMD限制策略: 引用:%Comspec% 基本用户注意:在组策略中,微软把cmd.exe和批处理是分开处理的,即使把cmd设成“不允许的”,仍然可以运行.bat等批处理由于桌面一般只放快捷方式,所以 引用:%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVers

39、ionExplorerShell FoldersDesktop% 不允许的同时要让快捷方式能够正常工作: 引用:*.lnk 不受限的计划任务功能很少会用到,所以 引用:%SystemRoot%task 不允许的帮助文件阅读器的管制策略: 引用:%WinDir%hh.exe 基本用户 (防范CHM捆毒)%WinDir%winhelp.exe 基本用户%WinDir%winhlp32.exe 基本用户脚本宿主管制 引用:%WinDir%system32?script.exe 受限的(或者直接不允许)一些不会有程序启动的位置、一些极少用到的系统程序,你不用但病毒会用,所以建议禁止.规则可以有很多,大

40、可自己发挥,放出图一张:禁止伪装系统程序如: 引用:lsass.exe 不允许的%WinDir%system32lsass.exe 不受限的剩下的规则就留给各位自由发挥了至此,教程完毕 组策略规则发布:根据防入口和全局防护的思路,做了两套规则简单规则和全局规则 简单规则说明:以基本用户限制主流浏览器Avant.exe Brexpo.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe miniie.exe netscape.exe opera.exe Orca.exe re

41、alplay.exe Safari.exe SeaMonkey.exe Sleipnir.exe theworld.exe TTraveler.exe限制或禁用一些不常用的系统程序禁止程序从U盘启动(需要手动修改一下规则)全局规则说明:采用全局基本用户并加入了数目可观的系统程序白名单规则默认状态没有对system32目录进行白名单式的限制,主要考虑到一些安全软件会安装程序文件在这些目录下,可能会影响其工作,如DW、ZA等如果想打开此限制,进入System32的白名单模式,可以把规则中的%WinDir%System32*.exe 设成“基本用户”或者“受限的”默认排除(不受限的)的目录有:1.所有分区根目录下的Program Files文件夹 请把软件安装在此目录中,或者另外进行目录排除2.所有分区根目录下的“安装程序”文件夹 请从此目录安装程序,或者另外进行目录排除3.所有分区根目录下的“信任目录”文件夹4.System32下exe后缀的程序以基本用户限制的主流浏览器Avant.exe Brexpo.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe miniie.exe netscape.exe opera.exe

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号