《要设置组策略》由会员分享,可在线阅读,更多相关《要设置组策略(10页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页要设置组策略,先了解下系统环境变量和通配符,以及优先级环境变量在C盘为系统盘的情况下: %USERPROFILE%表示 C:Documents and Settings当前用户名 这个文件夹%ALLUSERSPROFILE%表示 C:Documents and SettingsAll Users%APPDATA%表示 C:Documents and Settings当前用户名Application Data%ALLAPPDATA%表示 C:Documents and SettingsAll UsersApplica
2、tion Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE%表示C:%SYSTEMROOT%表示 C:WINDOWS%WINDIR%表示 C:WINDOWS%TEMP% 和 %TMP%表示 C:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles%表示 C:Program Files%CommonProgramFiles%表示 C:Program FilesCommon Files通配符 ?-表示任意单个字符 *-任意个字符(包括0个),但不包括斜杠*或*?- 表示零个或多个含有反斜杠的字符,即包含子文件夹 这里
3、是网上的例子:*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的所有子文件夹。*.vbs 匹配 具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录路径规则优先级:1.绝对路径 通配符相对路径 如 C:Windowsexplorer.exe *Windowsexplorer.exe 2.文件型规则 目录型
4、规则 如若a.exe在Windows目录中,那么 a.exe C:Windows注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。例如, *.* 就比 C:WINDOWS 的优先级要高,如果要排除WINDOWS根目录下的程序,就需要这样做 C:WINDOWS*.*而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurre
5、ntVersionProgramFilesDir%4.若两条规则路径等效,那么合成的结果是:从严处理,以最低的权限为准。如“C:Windowsexplorer.exe 不受限的” + “C:Windowsexplorer.exe 不允许的” 结果为“C:Windowsexplorer.exe 不允许的总的来说,就是路径越明显详细,该规则就越优先上面这些了解了以后,我们打开组策略编辑器0.JPG (51.19 K)2008-7-27 12:22:441.JPG (238.13 K)2008-7-27 12:22:444条默认规则说明整个Windows目录不受限Windows下的exe文件不受限S
6、ystem32下的exe文件不受限整个ProgramFiles目录不受限我们右键新建图中使用系统变量,而且是绝对路径,这样的规则优先于下面的这种基于文件名的规则这里举个例子说明绝对路径的优先性如果我们只想运行系统盘SYSTEM32下的SVCHOST.exe(防止病毒从其它位置启动一个名为SVCHOST.exe的文件)就需要添加下面的两个路径规则规则1:%SYSTEMROOT%system32svchost.exe 或者C:WINDOWS system32svchost.exe不受限的 (绝对路径,优先于下面的规则) 规则2:Svchost.exe不允许的 (基于文件名)简单理解,规则1是规则2
7、的例外,对于Explorer.exe, lsass.exe 也需要这样对应设置,主要是路径,千万不要没有例外哦这样,我们可以利用基于文件名的规则,限制一些仿冒的东西,如下图注意不要限制*.*.exe这样的因为有些软件带有版本号,比如srengLDR2.0.exe这样就会导致正常软件不能运行限制双后缀的程序,要更加明确才行,最好是 *.jpg.exe这样添加或者 *.?.exe当然这样碰见这样的ice2.014.exe的正常程序也会限制小的我图省事,就把正常程序版本号的点去了。我用的就是*.*.exe路径规则模板:若要阻止程序从某个文件夹及所有子目录中启动,需要添加的规则应为:某目录* 不允许的
8、某目录* 不允许的某目录 不允许的某目录 不允许的只限制某文件夹,不限制子目录,规则为:2lujing.jpg (43.43 K)2008-7-27 12:22:443.JPG (154.78 K)2008-7-27 12:22:444.JPG (58.61 K)2008-7-27 12:22:445仿冒.JPG (94.40 K)2008-7-27 12:22:44某目录 不允许的某目录* 不受限的实用规则计划任务禁止:%SystemRoot%task 不允许的防止CHM帮助文档捆毒:%WinDir%hh.exe 受限的 %WinDir%winhelp.exe 受限的%WinDir%winh
9、lp32.exe 受限的U盘规则:U盘盘符:* 不允许的或不信任的或受限的证书规则 没用过不说了散列规则(校验和规则) 通常用来阻止特定文件,主要原理是文件有一个散列值,通过这个,来限制病毒和木马运行我们可以去下载样本(可别运行啊),在其它规则中,新建散列规则点击浏览,找到病毒执行文件,设置限制即可PS:猫叔的解释校验和规则根据文件MD5值识别文件的规则。一条校验和规则对N个具有相同MD5值的文件均有效。路径规则根据路径及文件名识别文件的规则。一般一条明确指出具体路径及文件名的路径规则只对一个特定的文件有效。注意:1.“不允许的”级别,你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修
10、改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限2.“不受限的”级别,不等于完全不受限制,只是不受软件限制策略的附加限制(受父进程权限的限制)3.C:Windowssystem32GroupPolicyMachineRegistry.pol是我们的组策略配置文件,可以备份和共享给他人4.磁碟机会删除C:Windowssystem32GroupPolicy目录5.对于用户自己安装的软件的规则,按情况添加看了很多地方的文章,虽然这些真的有点儿复杂,但是这些体会希望大家能明白组策略没有防范ARP等的措施,它只是辅助Windows本身既然有这些功能,为什么如果好好利用配合一下杀软?那么即可以加强安全防范,又解决了易用性,毕竟瑞星主动防御界面要友好简单得多在使用瑞星时,相信不是所有的人,对于这些“规则”是什么东西都十分清楚,学习组策略和权限,可以加深对系统的了解,提高防御未知病毒的效果而且有些规则,简单的使用也有很好的效果比如猫叔常演示的散列规则,配合主动防御,可以避免一些病毒因操作不当而运行起来,我们就可以冷笑地处理病毒的尸体了希望大家学习后,更好的使用瑞星主动防御,甚至有很多组策略规则,我们可以直接在主动防御里设置使用 这样,才能真正地做到“防毒”第 1 页 共 1 页
