软件限制策略.xls

软软 件件 限限 制制 策策 略略 进入本地安全策略的路径 1 开始 设置 控制面板 管理工具 本地安全策略 2 直接运行secpol msc s就能打开管理工具 即时刷新命令 gpupdate exe wait 1 注意 红色字体的路径项在操作设置时请注意 有可能对以后的安装软件等操作有影响 01 用户文件目 录限制 路径 不允许的 USERPROFILE 桌面 02路径 不允许的 USERPROFILE Local Settings Temp 03路径 不允许的 USERPROFILE Local Settings Temporary Internet Files 04路径 不允许的 BAT 05路径 不允许的 SCR 06路径 不允许的 C 07路径 不允许的 C Program Files 08路径 不允许的 C Program Files Common Files 09路径 不允许的 C WINDOWS Temp 10路径 不允许的 C WINDOWS Config 11路径 不允许的 C WINDOWS system32 LOG 12路径 不允许的 C WINDOWS system32 drivers 13路径 不允许的 C WINDOWS Downloaded Program Files 14 IE限制策略 路径1 散列3 路径 不允许的 C Program Files Internet Explorer 15散列 不受限的 HMMAPI DLL 6 0 3790 1830 16散列 不受限的 IEDW EXE 5 2 3790 2732 17散列 不受限的 IEXPLORE EXE 6 0 3790 1830 18 SYSTEM32 目录下 容易被木马 伪装的EXE 路径20 散列20 路径 不允许的 CSRSS 19散列 不受限的 CSRSS EXE 5 2 3790 0 20路径 不允许的 LSASS 21散列 不受限的 LSASS EXE 5 2 3790 0 22路径 不允许的 RUND 32 23散列 不受限的 RUNDLL32 EXE 5 2 3790 1830 24路径 不允许的 SMSS 25散列 不受限的 SMSS EXE 5 2 3790 1830 26路径 不允许的 SVCH ST 27散列 不受限的 SVCHOST EXE 5 2 3790 1830 28路径 不允许的 WIN G N 29散列 不受限的 WINLOGON EXE 5 2 3790 1830 30散列 不受限的 alg exe 31路径 不允许的 a g 32散列 不受限的 cmd exe 33路径 不允许的 cmd 34散列 不受限的 conime exe 35路径 不允许的 c nime 36散列 不受限的 dllhost exe 37路径 不允许的 d h st 38散列 不受限的 dxdiag exe 39路径 不允许的 dxdiag 40散列 不受限的 notepad exe 41路径 不允许的 n tepad 42散列 不受限的 progman exe 43路径 不允许的 pr gman 44散列 不受限的 regedt32 exe 45路径 不允许的 regedt32 46散列 不受限的 runas exe 47路径 不允许的 runas 48散列 不受限的 services exe 49路径 不允许的 services 50散列 不受限的 sndvol32 exe 51路径 不允许的 sndv 32 52散列 不受限的 spoolsv exe 53路径 不允许的 sp sv 54散列 不受限的 taskmgr exe 55路径 不允许的 taskmgr 56散列 不受限的 user exe 57路径 不允许的 user 58 windows s ystem32下 面的后缀为 COM的14个 文件 路径 不允许的 COM 59散列 不受限的 60散列 不受限的 61散列 不受限的 62散列 不受限的 63散列 不受限的 64散列 不受限的 65散列 不受限的 66散列 不受限的 SYSTEM32 目录下 容易被木马 伪装的EXE 路径20 散列20 67散列 不受限的 68散列 不受限的 69散列 不受限的 70散列 不受限的 71散列 不受限的 72散列 不受限的 73 windows 里做9个必 要的散列 路径 不允许的 C WINDOWS exe 74路径 不允许的 EXP RER 75散列 不受限的 EXPLORER EXE 76散列 不受限的 hh exe 77散列 不受限的 regedit exe 78散列 不受限的 notepad exe 79散列 不受限的 taskman exe 80散列 不受限的 twunk 16 exe 81散列 不受限的 twunk 32 exe 82散列 不受限的 winhelp exe 83散列 不受限的 winhlp32 exe windows s ystem32下 面的后缀为 COM的14个 文件 禁止当前用户桌面上所有文件的运行 禁止当前用户临时文件目录下 不含子目录 所有文件的运行 禁止当前用户临时文件目录下 不含子目录 所有文件的运行 禁止任何路径下的批处理文件运行 禁止任何路径下的 scr 屏幕保护 文件运行 禁止C 根目录下所有文件的运行 此目录下不应有可执行文件 禁止此级目录下 不含子目录 所有文件的运行 此目录下不应有可执行文件 禁止此级目录下 不含子目录 所有文件的运行 禁止WINDOWS临时文件目录下 不含子目录 所有文件的运行 此目录下不应有可执行文件 禁止此级目录下 不含子目录 所有文件的运行 此级目录下不应该有后缀名为LOG的文件 此目录下不应有可执行文件 禁止此级目录下 不含子目录 所有文件的运行 禁止WINDOWS临时文件目录下 不含子目录 所有文件的运行 此目录下只有以下3个文件 禁止IE目录下 不含子目录 所有文件的运行 所在位置 C Program Files Internet Explorer 赋予HMMAPI DLL可运行权限 此文件为ie 运行时需调用的动态链接库文件 所在位置 C Program Files Internet Explorer 赋予IEDW EXE可运行权限 这个是微软新 加的IE崩溃检测程序 当IE运行中崩溃时 插件以及崩溃管理系统将分析崩溃时都运行了那些插 件 并提交给用户 所在位置 C Program Files Internet Explorer 赋予IEXPLORE EXE可运行权限 这是Microsoft Internet Explorer的主程序 这不是纯粹的 系统程序 但是如果终止它 可能会导致不可知的问题 阻止任何目录下的伪装成系统文件csrss exe程序的运行 所在位置 C WINDOWS system32 csrss exe是系统的正常进程 是核心部分 客户端服务子系统 用以控制图形相关子系统 系统中只有一个CSRSS EXE进程 若以上系统中出现两个 其中一个位于 Windows文件夹中 则是感染了Trojan Gutta或W32 Netsky AB mm病毒 阻止任何目录下的伪装成系统文件LSASS EXE程序的运行 所在位置 C WINDOWS system32 lsass exe是一个系统进程 用于微软Windows系统的安全机 制 它用于本地安全和登陆策略 lsass exe也有可能是Windang worm irc ratsou b Webus B MyDoom L Randex AR Nimos worm创建的 病毒通过软盘 群发邮件和P2P文件共 享进行传播 阻止任何目录下的伪装成系统文件RUNDLL32 EXE程序的运行 所在位置 C WINDOWS system32 Rundll32为了需要调用DLLs的程序 阻止任何目录下的伪装成系统文件SMSS EXE程序的运行 所在位置 C WINDOWS system32 SMSS EXE进程为会话管理子系统用以初始化系统变量 负责启 动用户会话 这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的Winlogon Win32 Csrss exe 线程和设定的系统变量作出反映 在启动这些进程后 它等待Winlogon或者 Csrss结束 如果这些过程时正常的 系统就关掉了 如果发生了什么不可预料的事情 smss exe就 会让系统停止响应 注意 如果系统中出现了不只一个smss exe进程 而且有的smss exe路径是 WINDIR SMSS EXE 那就是中了TrojanClicker Nogard a病毒 阻止任何目录下的伪装成系统文件SVCHOST EXE程序的运行 所在位置 C WINDOWS system32 Service Host Process是一个标准的动态连接库主机处理服务 Svchost exe文件对那些从动态连接库 DLL 中运行的服务来说是一个普通的主机进程名 Svhost exe文件定位在系统的Windows system32文件夹下 在启动的时候 Svchost exe检查注 册表中的位置来构建需要加载的服务列表 这就会使多个Svchost exe在同一时间运行 在XP中一般有 4个以上的Svchost exe服务进程 Svchost exe是系统的核心进程 不是病毒进程只会在 C Windows System32目录下找到一个Svchost exe程序 如果你在其他目录下发现Svchost exe 程序的话 那很可能就是中毒了 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 软软 件件 限限 制制 策策 略略 进入本地安全策略的路径 1 开始 设置 控制面板 管理工具 本地安全策略 2 直接运行secpol msc s就能打开管理工具 即时刷新命令 gpupdate exe wait 1 注意 红色字体的路径项在操作设置时请注意 有可能对以后的安装软件等操作有影响 所在位置 C WINDOWS system32 WinLogon exe是Windows NT登陆管理器 它用于处理系统 的登陆和登陆过程 该进程非常重要 注意 winlogon exe也可能是W32 Netsky D mm蠕虫病毒 该病毒通过Email传播 当你打开病毒发送的附件时 即会被感染 该病毒会创建SMTP引擎在受害者 的计算机上 群发邮件进行传播 该病毒允许攻击者访问你的计算机 窃取密码和个人数据 该进程的 安全等级是建议删除 所在位置 C WINDOWS system32 alg exe用于处理Windows网络连接共享和网络连接防火墙 这个程序对系统正常运行非常重要 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 cmd exe是一个32位的命令行程序 这不是纯粹的系统程序 如果终止它 可能会导致不可知的问题 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 dllhost exe用于管理DLL应用 这个程序对你系统的正常运 行是非常重要的 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 DirectX 检测程序 运行检测本机硬件加速情况 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 notepad exe是Windows自带的记事本程序 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 progman exe是从Windows3 0延续下来的 程序管理器 相当于现在的Explorer exe 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 Regedt32 exe是Windows的配置编辑器 它用于修改 Windows配置数据库或注册表使用它修改注册表值时必须格外小心 注册表中的值丢失或不正确 将导致安装的 Windows无法使用 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 conime exe是输入法编辑器相关程序 注意 conime exe同 时可能是一个bfghost1 0远程控制后门程序 此程序允许攻击者访问你的计算机 窃取密码和 个人数据 建议立即删除此进程 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 services exe是微软Windows操作系统的一部分 用于管理 启动和停止服务 也会处理在计算机启动和关机时运行服务 这个程序对系统是非常重要的 不 过services也可能是W32 Randex R 储存在 systemroot system32 目录 和Sober P 储存 在 systemroot Connection Wizard Status 目录 木马 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 Windows声音控制进程在任务栏驻留用以控制音量和声卡相关 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 Windows打印服务相关 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 taskmgr exe用于Windows任务管理器 它显示你系统中正在 运行的进程 该程序使用Ctrl Alt Del打开 这不是纯粹的系统程序 但是如果终止它 可能 会导致不可知的问题 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 所在位置 C WINDOWS system32 阻止任何目录下的伪装成系统文件WINLOGON EXE程序的运行 禁止任何路径下的 com文件运行 所在位置 C WINDOWS system32 显示活动控制台代码页数量 所在位置 C WINDOWS system32 是32位msdos环境下的命令解释器 所在位置 C WINDOWS system32 比较两张软