书到用时方恨少,鞋里有垫才不硌脚——组策略之软件限制策略终极禁运规则.docVIP

引言说原创稍有担当不起.而且这标题起的太玩世不恭了，各位愿意揍就揍吧= =、其实本人觉得这个比喻还是比较恰当的，上网好比走路，需要有个安全快捷的方式，方可酣畅淋漓；走路需要一双好鞋，配双好鞋垫才能步步为营乐不思蜀，当然了，也有裸奔的，也就是穿拖鞋或者光脚的，正是所谓的让脚趾自由舒展同时伴随着精神上的无限自由.其实开这个帖子我犹豫了很长很长的时间，一来现在HIPS的讨论都和最新的安防软件有关，新兴的HIPS软件如雨后春笋般雀跃不已，不幸的是，组策略的帖子寥寥无几，发这个帖子有点炒冷饭的嫌疑；二来坛子里高手众多，本人水平也处于才疏学浅，说的不好难免贻笑大方误人子弟，但算来算去最近倒是有些新人也常问一些相关问题，无奈迟迟找不到答案，翻置顶的帖子还束手无措，所以作为禁运党，本着BT的人人为我我为人人的精神，在感觉这个规则日渐成熟的情况下，就有义务把它挖掘整理出来，方便使用。先啰嗦下，如果各位上网时所做的只有单纯的听歌看电影，玩单机游戏，泡论坛，下资料等一些无需美化的简单操作，那么这个规则还比较适用，而且防护效果算是理想，不过往下看一定要仔细，每部分都有需要注意的地方，我没有把这些都融合到一起去写，那样反而觉得乱，找不到源头；如果喜欢折腾软件或进行一些复杂操作，那么还请仔细斟酌或到此戛然而止干脆不看，还是那句话，安全性越高，可操作性越低，反之亦然。=你看到一条分割线=正文本路径规则适用Windows XP，系统盘默认C盘，老鸟远观。欲全面了解软件限制策略作用流程请看此帖=传送门拜读了置顶组策略相关帖子可以说阅读上面推荐的这个别的软件限制教程大可以粗略阅读即可，所要做的就是学习下他人规则的巧妙性来达到举一反三触类旁通，适当多搜索一些关键字、多翻翻老帖，温故而知新（这十分重要）。本策略是在大众化的规则里新加了一些更为严厉的策略，力求做到日常使用不耽误，恶意程序无法执行的特点，所谓终极禁运。不过作为软件限制策略的科普文，气流的帖子已经集大成之所在，让我好生觊觎，在此也就不再赘述，唯一需要特殊强调几点的就是原文里需要重点看的，精简并无耻的引用下：首先需要做的：打开注册表编辑器，展开至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一个DWORD值，命名为Levels，设成0x31000（即4131000）即可。或者直接导入附件里的注册表文件safer.rar(279 Bytes, 下载次数: 508)1.环境变量%SystemDrive%表示 C:%AllUsersProfile%表示 C:Documents and SettingsAll Users%UserProfile%表示 C:Documents and Settings当前用户名%AppData%表示 C:Documents and Settings当前用户名Application Data%Temp% 和 %Tmp%表示 C:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles%表示 C:Program Files%CommonProgramFiles%表示 C:Program FilesCommon Files%WinDir%表示 C:WINDOWS%ComSpec%表示 C:WINDOWSsystem32cmd.exe2.通配符* ：任意个字符（包括0个），但不包括斜杠。? ：1个或0个字符。3.优先级总的原则是：规则越匹配越优先。.绝对路径 通配符全路径如 C:Windowsexplorer.exe *Windowsexplorer.exe.文件名规则 目录型规则 如若a.exe在Windows目录中，那么 a.exe C:Windows.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%.对于同是目录规则，则能匹配的目录级数越多的规则越优先；对于同是文件名规则，优先级均相同。.若规则的优先级相同，按最受限制的规则为准。举例：绝对路径(如C:Windowssystem32cmd.exe) 通配符全路径(如*Windows*cmd.exe) 文件名规则(如cmd.exe) = 通配符文件名规则(如*.*) 部分绝对路径(不包含文件名，如 C:Windowssystem32 )=部分通配符路径（不包含文件名，如C:*system32 ） C:Windows=*4.模板范例根目录规则： 某目录* + 某目录*目录规则（包含目录中所有文件）： 某目录* 或某目录或某目录含“*”的目录规则： 某目录*（注意要加上斜杠“”）文件型规则： a.exe 、*.com等绝对路径规则： 如 C:Windowsexplorer.exe全局型规则： *5.其他需要注意的.软件限制策略只对“指派的文件类型”列表中的格式起效。.*.* 的优先级比 * 的高，有“.”的不一定是文件，也可以是文件夹。.一个程序所能获得的最终权限取决于：父进程权限和规则限定的权限的最低等级，也就是我们所说的最低权限原则。.如果一个用户属于多个组，那么该用户所获得的权限是各个组的叠加；“拒绝”的优先级比“允许”要高，尽量不要使用“拒绝”，不然管理员权限下的程序也会受影响。everyone组的权限适用于任何人、任何程序，故everyone组的权限不能太高，至少要低于Users组。另外提醒一下，在设置规则时，注意要考虑以下4条系统默认规则的影响（可以考虑删除）：%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot% 路径 不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%*.exe 路径 不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32*.exe 路径 不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir% 路径 不受限的相当于规则：%SystemRoot% 不受限的 整个Windows目录不受限%SystemRoot%*.exe 不受限的 Windows下的exe文件不受限%SystemRoot%System32*.exe 不受限的 System32下的exe文件不受限%ProgramFiles% 不受限的 整个ProgramFiles目录不受限关于规则，我不一一列举说明，把一些图片发上来，配合里面的策略简单的介绍下，如果各位对此规则还比较感兴趣，不妨感受一下。注：因规则的修复和更新，所以截图若与规则有出入，请按规则为准。一、插件、双后缀和U盘策略里添加了一些最常见的一些恶意插件的免疫（注意排除foobar以防被*bar*.*误伤），当然完全靠它来防插件的话是防不全的，还是建议安装防护软件，组策略的作用虽然强大，但不代表可以不安装防护软件。把快播列为恶意插件，是因为XX播放器实在太多= =、至于vagaa，某些版本运行是会在系统盘根目录释放可疑文件，深有体会防双后缀扩展名病毒有新增，对比原规则更加严厉，唯一的问题是禁止*.?.exe会导致一些刚下载软件包无法安装（如TheWorld_.exe），解决办法很简单，改名就成了。二、系统程序和目录的降权管制系统盘程序，这个没有太大的不同，改写环境变量成%WinDir%，排版看起来更直观，查找更方便。三、用户程序的降权限制常用程序的访问令牌，基本用户策略里调整了一些用户群较大的浏览器，并添加了一些压缩管理器、阅读工具（防止恶意捆绑）、下载工具（防止直接从下载工具里安装软件感染恶意程序）、翻译工具、聊天工具（防文件传输恶意程序）和邮件客户端，有其他需要的可以另行添加。四、高危文件和系统危险进程禁了绝大多数通常用不上的系统程序。前面的禁止打开危险文件总觉得写的有点牵强，不过有些小网站下来的软件，不管是封装的还是绿色自解压的，都会起一些诱惑你去点击的文件名（后缀多为.bat，.reg），小则篡改主页，大则中毒瘫痪，所以上面的几条有时候还是可以派上用处的（reg等后缀只是防止被误打开，但可以通过Win+R调用的方式导入）；另外我本想把verclsid和mshta给处理掉，无奈写完规则后发现搜索功能无法使用，控制面板里的账户也无法切换，于是便索性禁了hta，于是又想，一不做二不休，脚本也禁= =、五、系统危险目录禁系统目录同上，没有太大的更改和细分。建议把IE缓存（Temporary Internet Files）还有其他浏览器的临时文件目录转移到其他磁盘目录，比如D:Temp（?:T?mp 不允许来禁止从缓存启动程序）一来缩小C盘空间占用，二来减少磁盘碎片的增加以便提高运行速度。但不管怎么设置，%Temp%和%Tmp%可不受限，但Temporary Internet Files必须不允许，二者最好不要混放同一目录以防发生冲突。六、伪装系统进程相关禁止伪装系统进程，多少能起一部分作用，主流规则黑名单、样本区样本、网络相关资料皆韦编三绝。作为常见的，算是比较全的了吧，伪装系统进程的名字我写的比较严厉，可自行更改。七、伪装系统文件（夹）相关文件（夹）病毒仿佛牛仔裤，不是每年都流行，但基本随处可见。伪装系统文件和文件夹的规则也不多赘述，同样是希望能起一些作用。八、特殊目录和用户自定义目录?:Installer 为可安装软件的文件夹，可以建立在每个盘符的根目录下，?:Program Files* 是给一些安装软件不喜欢放在系统盘里的同学准备的，?:Game* 和?:Study* 归为游戏与学习类文件存放目录，有玩有学，寓教于乐，劳逸结合不喜欢可以删除，建立自己喜欢的目录。需要注意的是，*.bat的优先级要大于?:Program Files*（文件名路径），如果允许指定目录下bat等后缀的执行可以修改?:Program Files*为?:Program Files*，比如允许E:Program FilesWopti下执行bat文件，可以修改E:Program FilesWopti为E:Program FilesWopti*不受限。九、用户程序管制其实软件限制策略里不一定非得防恶意插件和病毒，完全可以依靠自己喜欢的方式来管制一些程序的运行，美其名曰“死策略的灵活化”，在此把QQ相关的一系列自启动程序（设置不自动更新仍然会更新），搜狗的输入法自运行更新程序以及WPS自动更新程序（设置不自动更新仍然会启动）一一列黑，其他的还请根据请个人口味酌情添加，活学活用根据指派的文件类型，添加常见文件类型保证其可以被正常打开。十、系统正常进程常用系统程序和目录的排除，不细说了。策略基本用图片表示的差不多了，并加入一些容易遗漏的死角，如果非要说到通用性，自然和气流规则比九牛一毛了，毕竟在帖子开始的时候已经表明此策略适合的人群，多多打磨，排除日常使用的一些影响后，衍生出来的防护效果就会更加强大明显。=你看到一条分割线=补充说明看来看去此规则还是比较适合低配置机？！因为软件限制策略这样底层的防御基本不怎么占用资源，虽然本人的机器配置一般般，但我还是喜欢黾勉使用系统可利用资源来完成最大限度的防护，呃，不喜欢装安全软件，是不是属于一种心理变态.补充一下，磁盘格式最好是NTFS格式（微软的注册表和文件的默认NTFS权限设置已经够用，除非你对多数注册表项和目录的设置比较了解，否则不建议更改），让软件限制策略充分发挥其性能，完成3D部署。为了防止恶意程序干掉Registry.pol这里简单阐述下，既然已经使用了软件策略来写全局，那么通常只需限制users组的权限即可，降权于基本用户的程序只保留了对系统目录只读的访问令牌，所以在对users组的调整的同时大可以保留admin的完全访问权来方便日常的修改操作，不过想满足一些特殊需求（误删，尽管这样的操作很少出现），可以利用NTFS权限限制Machine目录和文件；防止他人篡改和关闭组策略，可直接用NTFS限制GroupPolicy文件夹进而无权访问。关于软件限制策略的备份，直接备份Registry.pol这个文件就可以了，注册表（HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSafer）键值无需备份，看图选中部分：同为%Windir%pchealth 禁止危险目录，但每次新建同名规则的ID（HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers0Paths0074b871-60ae-4cbf-8a82-820ac4b88305里的0074b871-60ae-4cbf-8a82-820ac4b88305）都不同，HIPS区有人测试过，不幸的是找不到坟了，但值得肯定。经测试删除Registry.pol，刷新组策略，注册表还在，但软件限制策略已丢失；保存Registry.pol文件的情况下，删除注册表文件，刷新组策略，注册表值重新生成，虽然开机启动后软件限制策略是通过加载注册表生效，但锁定注册表却无法解决重做系统后的麻烦，所以直接保存Registry.pol此文件即可。=你看到一条分割线=示例使用此规则的时候如果发现某些程序在弹出窗口的情况下无法正常运行，请在控制面板里的管理工具事件查看器应用程序里（eventvwr.msc）查看是否是规则出了问题，进而修改成适合自己的规则