《组策略之软件限制策略—完全教程》由会员分享,可在线阅读,更多相关《组策略之软件限制策略—完全教程(14页珍藏版)》请在金锄头文库上搜索。
1、组策略工具是系统自带的一款强大管理软件,却往往被人所忽视,我现在介绍一下它其他用户用你装的 QQ,游戏啊之类的,的一个小小的功能,让它来帮我们禁止指定程序的运行。比如你不想让设置得当,还可以防止病毒呢。点击“开始”“运行” 输入 gpedit.msc 后回车,就打开了“组策略”点选左边的“windows 设置”“安全设置”“软件限制策略”“其他规则” 然后在右边的窗口中右击,选择“新路径规则” attachment=30628attachment=30629把要限制的软件的地址添加进来即可。知道了原理,破解网吧的限制你也就会了吧?在网吧的电脑上, 只要打开组策略,把里面的限制路径晴空就可以无所
2、限制,任你访问了.禁用指定的文件类型 2009-08-04 信息来源:瑞安免费信息网 视力保护色: 【大 中 小】 【打印本页】 【关闭窗口】在日常工作中,系统中的很多文件都可能给系统带来威胁,比如 SHS、MSI、BAT、CMD、COM 、EXE等程序文件类型。其实我们完全可以利用系统的组策略功能,来禁用这些危险的文件类型。 这样操作不但可以保证系统的安全,而且不会影响系统的正常运行。这里假设我们要禁用批处理格式BAT 文件,不让系统运行 BAT 格式的文件,具体的策略组设置方法如下: 第一步:首先点击开始菜单中的“运行”命令,输入“gpedit.msc”打开组策略。接着点击“计算机配置Wi
3、ndows 设置安全设置 软件限制策略” ,然后在弹出的右键菜单上选择“创建软件限制策略” ,即可生成“安全级别” 、 “其他规则” 、 “强制” 、 “指派的文件类型” 、 “受信任的出版商”等选项。 第二步:双击“指派的文件类型”选项,在弹出的“指派的文件类型属性”窗口,将“指定的文件类型”列表中将其他的文件全部删除,只留下 BAT 文件类型。如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。 第三步:双击“安全级别”中的“不允许的”选项,在弹出的“不允许的属性”窗口中,点击“设为默认值”按钮。然后注销系统或者重新启动系统,此策
4、略即可生效。以后再运行 BAT 文件时,系统就会出现提示“由于一个软件限制策略的阻止,Windows 无法打开此程序” 。 为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”选项,在弹出的窗口选择“除本地管理员以外的所有用户” 。如果用的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。 第四步:如果用户要取消此软件限制策略的话,双击“安全级别”中的“不受限的”选项,在弹出的“不受限的属性”窗口中,点击“设为默认值”按钮即可。 其实用户鼠标右键点击“软件限制策略其他规则” ,就会看到它可以建立新证书规则、新散列规则、新Internet 区域规则
5、、新路径规则等策略,利用这些规则我们可以让系统更加安全。 比如利用“新路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的” ,以防止电子邮件病毒。 理论部分:1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现 3D 部署(配合访问控制,如 NTFS 权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限规则部分:5.如何用软件限制策略防毒(也就是如何写规则)6.规则的示例与下载其中,1、2、3 点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第 4
6、点可能有点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整 NTFS 权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么?一是因为散列规则不能通用,二是即使用了也意义不大 防替换应该要利用好 NTFS 权限,而不是散列规则,要是真让病毒替换了系统程序,那么再
7、谈规则已经晚了一.环境变量、通配符和优先级关于环境变量(假定系统盘为 C 盘) %USERPROFILE% 表示 C:Documents and Settings当前用户名 %HOMEPATH% 表示 C:Documents and Settings当前用户名%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users%ComSpec% 表示 C:WINDOWSSystem32cmd.exe %APPDATA% 表示 C:Documents and Settings当前用户名Application Data %ALLAPPDATA% 表示 C:D
8、ocuments and SettingsAll UsersApplication Data %SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:WINDOWS %WINDIR% 表示 C:WINDOWS %TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp %ProgramFiles% 表示 C:Program Files %CommonProgramFiles% 表示 C:Program FilesCommon Files 关于通配符:Windows 里面默
9、认* :任意个字符(包括 0 个),但不包括斜杠? :1 个或 0 个字符几个例子*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括 Application Files 的子目录关于优先级:总的原则是:规则越匹配越
10、优先1.绝对路径 通配符全路径 如 C:Windowsexplorer.exe *Windowsexplorer.exe 2.文件名规则 目录型规则 如若 a.exe 在 Windows 目录中,那么 a.exe C:Windows3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.对于同是目录规则,则能匹配的目录级数越多的规则越优先对于同是文件名规则,优先级均相同5.散列
11、规则比任何路径规则优先级都高6.若规则的优先级相同,按最受限制的规则为准举例说明,例如 cmd 的全路径是 C:Windowssystem32cmd.exe那么,优先级顺序是:绝对路径(如 C:Windowssystem32cmd.exe) 通配符全路径(如*Windows*cmd.exe) 文件名规则(如cmd.exe) = 通配符文件名规则(如*.*) 部分绝对路径(不包含文件名,如 C:Windowssystem32 ) =部分通配符路径(不包含文件名,如 C:*system32 ) C:Windows = *注:1. 通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Wind
12、ows,但不匹配 C:SandboxWINDOWS2. * 和 * 是完全等效的,例如 *abc = *abc3. C:abc* 可以直接写为 C:abc 或者 C:abc,最后的* 是可以省去的,因为软件限制策略的规则可以直接匹配到目录。4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的,这样的规则实际上无效,除非你把 TXT 格式也加入“指派的文件类型”列表中。而且默认不对加载 dll 进行限制,除非在“强制”选项中指定:5. * 和 *.* 是有区别的,后者要求文件名或路径必须含有“.”,而前者没有此限制,因此,*.* 的优先级比 * 的高6. ?:*
13、与 ?:*.* 是截然不同的,前者是指所有分区下的每个目录下的所有子文件夹,简单说,就是整个硬盘;而 ?:*.* 仅包括所有分区下的带“.”的文件或目录,一般情况下,指的就是各盘根目录下的文件。那非一般情况是什么呢?请参考第 7 点7. ?:*.* 中的“.” 可能使规则范围不限于根目录。这里需要注意的是:有“.”的不一定是文件,可以是文件夹。例如 F:ab.c,一样符合 ?:*.*,所以规则对 F:ab.c 下的所有文件及子目录都生效。8.这是很多人写规则时的误区。首先引用组策略软件限制策略规则包编写之菜鸟入门(修正版)里的一段:4、如何保护上网的安全 在浏览不安全的网页时,病毒会首先下载到
14、 IE 缓存以及系统临时文件夹中,并自动运行,造成系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵 %SYSTEMROOT%tasks*.* 不允许的 (这个是计划任务,病毒藏身地之一) %SYSTEMROOT%Temp*.* 不允许的 %USERPROFILE%Cookies*.* 不允许的 %USERPROFILE%Local Settings*.* 不允许的 (这个是 IE 缓存、历史记录、临时文件所在位置)说实话,上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全,实际上这几条规则在设置时就犯了一些错误例如:%USERPROFILE%Local Set
15、tings*.* 不允许的可以看出,规则的原意是阻止程序从 Local Settings(包括所有子目录)中启动现在大家不妨想想这规则的实际作用是什么?先参考注 1 和注 2,* 和* 是等同的,而且不包含字符“”。所以,这里规则的实际效果是 “禁止程序从Local Settings 文件夹的一级子目录中启动”,不包括 Local Settings 根目录,也不包括二级和以下的子目录。现在我们再来看看 Local Settings 的一级子目录有哪些:Temp、Temporary Internet Files、Application Data、History。阻止程序从 Temp 根目录启动,直接的后果就是很多软件不能成功安装那么,阻止程序从 Temporary Internet Files 根目录启动又如何呢?实际上,由于 IE 的缓存并不是存放 Temporary Internet Files 根目录中,而是存于 Temporary Internet Files 的子目录 Content.IE5 的子目录里(-_-|),所以这种写法根本不能阻止程序从 IE 缓存中启动,是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动,正确的写法应该是:某目录* 某目录* 某目录 某目录9
