组策略完全解析.docx

目录七寸”其实就是所谓的“打蛇打七寸”1原创组策略之软件限制策略完全教程与规则示例11七寸”其实就是所谓的“打蛇打七寸”七寸”其实就是所谓的“打蛇打七寸”，以击中要害为目的，而最大限度的不干扰其他操作，所以，如果要完成“七寸”的效果，就不能用全局规则的想法来考虑，而只能以point-to-point的模式来进行管制。诚然，组策略对于交互式的HIPS操作来说，可比性各有千秋，HIPS的API函数挂钩是一个一个的完成，胜在细致、直观，但是总会有漏掉的；而组策略的一个安全等级相当于一个现成的HIPS规则，这显然要比HIPS一个一个的HOOK高效得多，毕竟这是微软给我们提供好的，虽然也不能所每个安全等级都能面面俱到，但至少它胜在方便，上手简单。既然不能用全局规则的思路来编，那么就从系统目录一个一个来讲，至于其他盘符目录，可以在熟悉的条件下自己添加，这里仅举出系统盘策略。在XP系统，系统盘假设为C盘，那么其下无非就几个目录而已，Documents and Settings，Program Files，WINDOWS，一些Windows Installer软件的安装还会创建一个Config.Msi目录。关于通配符、优先级和环境变量，这里再赘述一遍，因为它很重要：* ：任意个字符（包括0个），但不包括斜杠。? ：1个或0个字符。优先级总的原则是：规则越匹配越优先。.绝对路径 通配符全路径如 C:Windowsexplorer.exe *Windowsexplorer.exe.文件名规则 目录型规则 如若a.exe在Windows目录中，那么 a.exe C:Windows.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%.对于同是目录规则，则能匹配的目录级数越多的规则越优先；对于同是文件名规则，优先级均相同。.若规则的优先级相同，按最受限制的规则为准。举例：绝对路径(如C:Windowssystem32cmd.exe) 通配符全路径(如*Windows*cmd.exe) 文件名规则(如cmd.exe) = 通配符文件名规则(如*.*) 部分绝对路径(不包含文件名，如 C:Windowssystem32 )=部分通配符路径（不包含文件名，如C:*system32 ） C:Windows=*常用的环境变量：%SystemDrive%表示 C:%AllUsersProfile%表示 C:Documents and SettingsAll Users%UserProfile%表示 C:Documents and Settings当前用户名%AppData%表示 C:Documents and Settings当前用户名Application Data%Temp% 和 %Tmp%表示 C:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles%表示 C:Program Files%CommonProgramFiles%表示 C:Program FilesCommon Files%WinDir%表示 C:WINDOWS%ComSpec%表示 C:WINDOWSsystem32cmd.exe=一、Documents and Settings于是我们来一步一步排除，在一些缓存目录未修改的前提下，首先需要排除的是三个用户程序目录，一些软件在安装完毕后会在这三个目录下创建相关文件：%AppData%* 不受限的%AppData%Local SettingsApplication Data* 不受限的%AllUsersProfile%Application Data* 不受限的然后在排除文档目录%UserProfile%My Documents 基本用户%AllUsersProfile%Documents 基本用户接着排除临时文件目录%Temp% 不受限的%Tmp% 不受限的最后在排除桌面目录%UserProfile%桌面 受限的%AllUsersProfile%桌面 受限的附加 *.lnk 不受限的排除完毕后，就可以放心的加上一条禁止规则 %SystemDrive%Documents and Settings，因为上面的这几个目录是我们常用到的，除了这几个目录，其他位置运行的文件基本都不是什么好东西。二、Program Files第一个目录搞定，慢慢接着往下来。Program Files目录相对来讲也很简单，受限禁止Program Files根目录运行程序，然后排除下一级目录：%ProgramFiles% 不允许的%ProgramFiles%* 不受限的然后把系统程序降权，限制其访问令牌，重点是联网的，尤其是浏览器：%ProgramFiles%Internet Explorer 基本用户%ProgramFiles%NetMeeting 基本用户%ProgramFiles%Outlook Express 基本用户%ProgramFiles%Windows Media Player 基本用户%ProgramFiles%Windows NT 基本用户关于一些其他程序的降权，可以参考我之前发的一个帖子：/thread-720738-1-1.html禁止一些存放软件用到的公用库目录，放心大胆的禁：%CommonProgramFiles%*.*%CommonProgramFiles%DESIGNER%CommonProgramFiles%Microsoft Shared%CommonProgramFiles%MSSoap%CommonProgramFiles%ODBC%CommonProgramFiles%Services%CommonProgramFiles%SpeechEngines%CommonProgramFiles%System最后添加 %CommonProgramFiles% 基本用户，作用于一些用户文件，比如Adobe，Tencent.这样Program Files目录就排除完毕，是不是很简单？没错，追求基本安全的方法就是这样容易上手。三、Windows备受争议的Windows目录，但别看Windows目录下目录这么多，多数病毒的隐匿居所基本都是一些常见的目录，慢慢来：先排除Windows目录下的一些常用程序：explorer.exeNOTEPAD.exeregedit.exeTASKMAN.exesoundman.exeamcap.exeRTHDCPL.exeRTLCPL.exetaskman.exe需要降权为基本用户的一些程序：hh.exe 防帮助文件捆绑winhelp.exe 防chm格式文件捆绑winhlp32.exe （此文件在Windows目录和system32目录都有）至于一些用户程序会在Windows下建立的一些程序，不是很多的，自己手动排除下就可以了。然后禁止一些高危目录：%WinDir%Debug 调试目录%WinDir%Downloaded Program Files 防IE插件%WinDir%Fonts 字体目录，一般程序不会在此目录启动%WinDir%inf 用于存放驱动信息目录%WinDir%Offline Web Pages 脱机浏览文件目录%WinDir%system 16位系统文件目录，一般程序不会在此目录启动%WinDir%tasks 禁止计划任务目录启动可疑程序%WinDir%Temp 高危系统变量，禁止%WinDir%WinSxS 系统重要组件，一般程序不会在此目录启动最后加上两条：%WinDir% 不允许的%WinDir%* 不受限的顺承接入下一目录，鱼龙混杂的system32，既然不考虑全局，那么可以只禁止一些高危目录:%WinDir%system32Com 除了系统自有的程序，一般程序不会在此目录启动%WinDir%system32config 系统配置目录，包括注册表%WinDir%system32dllcache 备份目录，一般程序不会在此目录启动%WinDir%system32drivers 驱动目录，一般程序不会在此目录启动%WinDir%system32ShellExt 危险目录，禁止%WinDir%system32spool 打印机目录，不用打印机的话可以禁止%WinDir%system32wins 危险目录，禁止然后再禁止一些不必要的系统程序：%WinDir%system32at.exe 计划任务，很少用到%WinDir%system32autoconv.exe 防止启动中转换系统%WinDir%system32autofmt.exe 防止启动中格式化%WinDir%system32cacls.exe 管制访问控制列表%WinDir% 格式化命令，禁止%WinDir%system32Fsutil.exe 用于执行多种系统相关的任务，高级用户才能使用%WinDir%system32ntsd.exe 危险调试程序，禁止%WinDir%system32regini.exe 修改注册表权限，禁止%WinDir%system32replace.exe 替换保护文件和正在运行的文件，禁止%WinDir%system32sc.exe 配置服务用，防被恶意调用%WinDir%system32subst.exe 将路径与驱动器盘符关联，很少用到%WinDir%system32taskkill.exe 命令行结束进程工具，禁止%WinDir%system32wscript.exe 脚本宿主，防止恶意脚本当然，这些往往要根据个人知识掌握度来添加。这样一来Windows和system32目录差不多也排除完毕，没有设置 %WinDir%* 基本用户是因为那样基本相当于系统目录全局规则，而且还要做很多排除工作。四、其他相关目录1.输入法目录的限制：%WinDir%ime 受限的%WinDir%system32IME 受限的2.禁止可移动磁盘：U盘盘符:* 不信任的或不允许的都可以3.禁止系统盘根目录：%SystemDrive%*.* 不信任的或不允许的都可以4.禁止双后缀恶意程序：*.*.bat*.*.chm*.*.cmd*.*.pif*.*.vbs*.?peg.exe*.rm?.exe*.torrent.exe*.?.exe （其中?可以是mp3、avi、doc、rar等，觉得这个限制太严厉的话，就拆开写，一些常见的都可以写进去。）5.禁止一些特殊的后缀：*.cmd 高危格式 禁止?.exe 高危格式 禁止6.降权一些特殊的后缀：*.scr 基本用户（防止恶意scr屏保）因为cmd和bat在组策略里是单独处理的，也就是说，禁止cmd之后，bat也可以独立运行，所以：%ComSpec% 基本用户*.bat 基本用户（bat等一些格式降权后双击会提示无关联操作，这个可能与open方式有关，此时可以通过调用的方式打开，如Win+R，处理的过程仍然是以基本用户权限运行的cmd，或者更简单的方式创建快捷方式。）7.特殊的系统目录：?:Recycle? 回收站目录 不信任的或不允许的都可以?:System Volume Information 系统还原目录 不信任的或不允许的都可以8.至于伪装系统程序名，还是写上一些吧：alg.exe 不允许的%WinDir%system32alg.exe 不受限的csrss.exe 不允许的%WinDir%system32csrss.exe 不受限的explorer.exe 不允许的%WinDir%explorer.exe 不受限的lsass.exe 不允许的%WinDir%system32lsass.exe 不受限的smss.exe 不允许的%WinDir%system32smss.exe 不受限的svchost.exe 不允许的%WinDir%system32svchost.exe 不受限的winlogon.exe 不允许的%WinDir%system32winlogon.exe 不受限的spoolsv.exe、userinit.exe等等以此类推.9.排除一些相关文件：*.ade 不受限的 Access项目文件*.adp 不受限的 Access项目文件*.chm 不受限的 CHM格式文件*.hlp 不受限的 帮助文件*.mdb 不受限的 数据库文件*.mde 不受限的 数据库文件*.msi 不受限的 微软Windows Installer安装包*.msp 不受限的 微软Windows Installer修补包*.pcd 不受限的 PCD格式文件10.可以利用组策略禁止一些插件（可选），例如：*bar*.*cnnic*.*coopen*.*11.排除system32下的14个MS-DOS文件，然后加入*.com不允许的（可选）。这样一来，该禁止的危险都禁止掉了，安全的动作基本也都放行掉，“七寸”这个关键点可以说把握的比较到位了。AD的部分基本差不太多，但不要认为基本用户就足够安全了，基本用户虽然很强大，无法控制System等级的进程，但基本用户下的进程可以通过注入或发送消息的方法控制其他高等级的进程，如explorer，控制了explorer能做什么？不用我说想必也能知道了吧.=五、注册表部分微软默认的注册表权限限制得宽松有至，一些程序降权后是无法对HKLM下的键值进行修改的，最多也就是只读，但基本用户的程序是有当前操作用户的权限的，也就是通常使用的administrator权限（但没有administrators组的权限），所以基本用户在操作HKCU键值的时候会以当前用户的权限来操作，也就是说，基本用户下的程序是有权限来对HKCU下的键值进行修改和删除的，所以一些修改主页的流氓程序就会钻这个空子，对付这一类的不再赘述了，安全软件，HIPS，选择安全的下载点都可以防范，这里说一些值得思考的地方：映像劫持，话说在AV终结者爆发之前，有多少用户把IFEO设置只读了呢：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsU盘自动运行：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2系统自启动：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunDLL加载自启动（可选）：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs有关IE的键值太多，Winlogon和Explorer的自启动也不少，不一一列举了，也不建议都设置只读属性，系统的权限设置最大的优点是底层，而最大的缺点就是不够灵活，这也是很多人不喜欢组策略+系统权限的原因吧，如果要一项一项来设置，疯掉了=六、NTFS权限部分也是个麻烦事。同样，Microsoft默认的够用，可以考虑用默认的：重要资料（文件夹）只读，重要文件备份只读，这个不解释了。允许启动程序的地方不允许创建文件-Internet Explorer目录，允许创建文件的地方不允许启动程序-IE临时文件目录、下载目录，至于%Temp%可以考虑为了软件的安装而允许运行程序，如果有从浏览器下载下来的病毒运行，它的权限也是继承了浏览器的权限，无法对关键目录进行破坏。工作量大点的，可以参考：Program Files和其它程序目录允许Users读取和运行不允许写，或者保持已存在文件的只读只允许创建和写新文件，再或者系统关键目录的白名单。最后说一说everyone这个组别，顾名思义，这个组别适应于所有的用户，所以这个组别的权限必须是最低的，而且一定不要高于只读权限的users组。有鉴于此，在一个用户属于多个组的时候，该用户所获得的权限是各个组的叠加，因为“拒绝”要比“允许”的优先级要高，所以不需要相关的权限取消打勾即可，故尽量不要使用“拒绝”，不然Adm权限下的程序也会受影响，例如用户kafan同时属于Administrators和Everyone组，若Administrators组具有完全访问权，但Everyone组拒绝写目录，那么该用户的实际权限则不能对目录进行写如操作，但除此之外其他任意的操作都可以进行。为了满足一些人降权后的特殊需求，提供禁止基本用户程序在磁盘根目录创建文件的方法，很简单：打开所有隐藏属性，确保各盘符下的文件夹和文件复制继承了各盘符的NTFS权限后，删除Users组的其他权限，只保留读取和运行。=码字好累说了这么多，就是提供一些有安全软件防护组合的条件下对一些危险操作的禁止，老帖中有很多隐匿的精品回复，而置顶教程和规则贴也不少，简单些的防入口，全面些的控全局，希望以上内容能起到给一些喜欢自己定制规则的人自我揣摩的思路，这也是我发这个帖子的初衷。对于一些喜欢不直接套用规则的人，我觉得这个想法还算不错，匹配自己使用环境的策略才是好策略，拿来主义好，可惜的是，不加修改直接引用就会导致好的不明显那么，感谢下看到这里的人吧，你们辛苦了（其实我也很辛苦）上图一张附规则示例文件，内有说明，仅供交流学习使用。使用前注意备份原文件（GroupPolicy目录不可手工建立，新建默认策略后运行，熟练使用eventvwr.msc查看日志为上）Registry.7z(46.55 KB, 下载次数: 683)备份下载地址-点击进入=就说这么多吧，写来写去怎么感觉越来越肤浅.一些不成熟的个人建议，欢迎批评指正，感激涕零。以上原创组策略之软件限制策略完全教程与规则示例。注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大 防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量（假定系统盘为 C盘）%USERPROFILE%表示 C:Documents and Settings当前用户名%HOMEPATH% 表示 C:Documents and Settings当前用户名%ALLUSERSPROFILE%表示 C:Documents and SettingsAll Users%ComSpec%表示 C:WINDOWSSystem32cmd.exe%APPDATA%表示 C:Documents and Settings当前用户名Application Data%ALLAPPDATA%表示 C:Documents and SettingsAll UsersApplication Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT%表示 C:WINDOWS%WINDIR% 表示 C:WINDOWS%TEMP% 和 %TMP%表示 C:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles%表示 C:Program Files%CommonProgramFiles%表示 C:Program FilesCommon Files关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个或0个字符几个例子*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录关于优先级:总的原则是:规则越匹配越优先1.绝对路径 通配符全路径如 C:Windowsexplorer.exe *Windowsexplorer.exe2.文件名规则 目录型规则 如若a.exe在Windows目录中，那么 a.exe C:Windows3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.对于同是目录规则，则能匹配的目录级数越多的规则越优先 对于同是文件名规则，优先级均相同5.散列规则比任何路径规则优先级都高6.若规则的优先级相同，按最受限制的规则为准举例说明，例如cmd的全路径是 C:Windowssystem32cmd.exe那么，优先级顺序是：绝对路径(如C:Windowssystem32cmd.exe)通配符全路径(如*Windows*cmd.exe)文件名规则(如cmd.exe)=通配符文件名规则(如*.*)部分绝对路径(不包含文件名，如C:Windowssystem32)=部分通配符路径（不包含文件名，如C:*system32）C:Windows=*注：1.通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Windows，但不匹配 C:SandboxWINDOWS2. * 和 * 是完全等效的，例如 *abc = *abc3. C:abc*可以直接写为 C:abc 或者 C:abc，最后的* 是可以省去的，因为软件限制策略的规则可以直接匹配到目录。4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。而且默认不对加载dll进行限制，除非在“强制”选项中指定： 5. * 和 *.* 是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.* 的优先级比 * 的高6. ?:* 与 ?:*.* 是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹，简单说，就是整个硬盘；而 ?:*.* 仅包括所有分区下的带“.”的文件或目录，一般情况下，指的就是各盘根目录下的文件。那非一般情况是什么呢？请参考第7点7. ?:*.* 中的“.” 可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定是文件，可以是文件夹。例如 F:ab.c，一样符合 ?:*.*，所以规则对F:ab.c下的所有文件及子目录都生效。8.这是很多人写规则时的误区。首先引用组策略软件限制策略规则包编写之菜鸟入门（修正版）里的一段：4、如何保护上网的安全在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵%SYSTEMROOT%tasks*.* 不允许的 （这个是计划任务，病毒藏身地之一）%SYSTEMROOT%Temp*.* 不允许的%USERPROFILE%Cookies*.* 不允许的%USERPROFILE%Local Settings*.* 不允许的（这个是IE缓存、历史记录、临时文件所在位置）说实话，上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全，实际上这几条规则在设置时就犯了一些错误例如：%USERPROFILE%Local Settings*.*不允许的可以看出，规则的原意是阻止程序从Local Settings（包括所有子目录）中启动现在大家不妨想想这规则的实际作用是什么？先参考注1和注2，* 和* 是等同的，而且不包含字符“”。所以，这里规则的实际效果是 “禁止程序从Local Settings文件夹的一级子目录中启动”，不包括Local Settings根目录，也不包括二级和以下的子目录。现在我们再来看看Local Settings的一级子目录有哪些：Temp、Temporary Internet Files、Application Data、History。阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装那么，阻止程序从Temporary Internet Files根目录启动又如何呢？实际上，由于IE的缓存并不是存放Temporary Internet Files根目录中，而是存于Temporary Internet Files的子目录Content.IE5的子目录里（-_-|），所以这种写法根本不能阻止程序从IE缓存中启动，是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动，正确的写法应该是：某目录*某目录*某目录某目录9.?:autorun.inf 不允许的这是流传的所谓防U盘病毒规则，事实上这条规则是没有作用的，关于这点在关于各种策略防范U盘病毒的讨论已经作了分析二.软件限制策略的3D的实现：“软件限制策略通过降权实现AD，并通过NTFS权限实现FD，同时通过注册表权限实现RD，从而完成3D的部署”对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微软内置的规则，即使我们修改“用户权限指派”项的内容（这个是对登陆用户的权限而言），也无法对软件限制策略中的安全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表权限来配置FD和RD，这就比AD部分要灵活得多。小结一下，就是AD用户权利指派（内置的安全等级）FDNTFS权限RD注册表权限先说AD部分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。基本用户，基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。受限的，比基本用户限制更多，也仅享有“跳过遍历检查”的特权。不信任的，不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。不允许的，无条件地阻止程序执行或文件被打开很容易看出，按权限大小排序为 不受限的 基本用户 受限的 不信任的 不允许的其中，基本用户 、受限的、不信任的 这三个安全等级是要手动打开的具体做法：打开注册表编辑器，展开至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一个DWORD值，命名为Levels，其值可以为0x10000 /增加受限的0x20000 /增加基本用户0x30000 /增加受限的，基本用户0x31000 /增加受限的，基本用户，不信任的设成0x31000（即4131000）即可如图：或者将下面附件中的reg双击导入注册表即可safer.rar(279 Bytes, 下载次数: 2135)再强调两点：1.“不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限2.“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限字，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。权限的分配与继承:这里的讲解默认了一个前提：假设你的用户类型是管理员。在没有软件限制策略的情况下，很简单，如果程序a启动程序b，那么a是b的父进程，b继承a的权限现在把a设为基本用户，b不做限制（把b设为不受限或者不对b设置规则效果是一样的）然后由a启动b，那么b的权限继承于a，也是基本用户，即:a（基本用户）- b（不受限的） = b（基本用户）若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即a（不受限的）- b（基本用户） = b（基本用户）可以看到，一个程序所能获得的最终权限取决于：父进程权限 和 规则限定的权限 的最低等级，也就是我们所说的最低权限原则举一个例：若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只剩下尸体了。甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的机会。FD：NTFS权限* 要求磁盘分区为NTFS格式 *其实Microsoft Windows 的每个新版本都对 NTFS 文件系统进行了改进。NTFS 的默认权限对大多数组织而言都已够用。注：设置前请先在“文件夹选项”中取消选中“使用简单文件共享（推荐）”NTFS权限的分配1.如果一个用户属于多个组，那么该用户所获得的权限是各个组的叠加2.“拒绝”的优先级比“允许”要高例如：用户A 同时属于Administrators和Everyone组，若Administrators组具有完全访问权，但Everyone组拒绝对目录的写入，那么用户A的实际权限是：不能对目录写入，但可以进行除此之外的任何操作高级权限名称 描述（包括了完整的FD和部分AD）遍历文件夹/运行文件（遍历文件夹可以不管，主要是“运行文件”，若无此权限则不能启动文件，相当于AD的运行应用程序）允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍历文件夹的权限（仅适用于文件夹）。列出文件夹/读取数据允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容，而不影响您对其设置权限的文件夹是否会列出（仅适用于文件夹）。读取属性 （FD的读取）允许或拒绝查看文件中数据的能力（仅适用于文件）。读取扩展属性允许或拒绝用户查看文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。创建文件/写入数据 （FD的创建）“创建文件”允许或拒绝在文件夹中创建文件（仅适用于文件夹）。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力（仅适用于文件）。创建文件夹/追加数据“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求（仅适用于文件夹）。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力（仅适用于文件）。写入属性 （即改写操作了，FD的写）允许或拒绝用户对文件末尾进行更改，而不更改、删除或覆盖现有数据的请求（仅适用于文件）。即写操作写入扩展属性允许或拒绝用户更改文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。删除子文件夹和文件 （FD的删除）允许或拒绝删除子文件夹和文件的能力，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。删除 （与上面的区别是，这里除了子目录及其文件，还包括了目录本身）允许或拒绝用户删除子文件夹和文件的请求，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。读取权限 （NTFS权限的查看）允许或拒绝用户读取文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。更改权限 （NTFS权限的修改）允许或拒绝用户更改文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。取得所有权允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。以基本用户为例，基本用户能做什么？在系统默认的NTFS权限下，基本用户对系统变量和用户变量有完全访问权，对系统文件夹只读，对Program Files的公共文件夹只读，Document and Setting下，仅对当前用户目录有完全访问权，其余不能访问关于基本用户的相关详细介绍，请看这里：/viewthread.php?tid=282171&highlight=如果觉得以上的限制严格了或者宽松了，可以自行调整各个目录和文件的NTFS权限。如果发现浏览器在基本用户下无法使用某些功能的，很多都是由NTFS权限造成的，可以尝试调整对应文件或文件夹的NTFS权限NTFS权限的调整基本用户、受限用户属于以下组UsersAuthenticated UsersEveryoneINTERACTIVE调整权限时，主要利用到的组为 Users为什么是Users组？因为调整Users的权限可以限制基本用户、受限用户，但却不会影响到管理员，这样就既保证了使用基本用户的安全性和管理员帐户下的操作的方便性例：对用户变量Temp目录进行设置，禁止基本用户从该目录运行程序，可以这样做：首先进入“高级”选项，取消勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目(I)”然后设置Users的权限如图然后把除Administrators、Users、SYSTEM之外的所有组都删除之这样基本用户下的程序就无法从Temp启动文件了注意：1. 不要使用“拒绝”，不然管理员权限下的程序也会受影响2. everyone组的权限适用于任何人、任何程序，故everyone组的权限不能太高，至少要低于Users组其实利用NTFS权限还可以实现很多功能又例如，如果想保护某些文件不被修改或删除，可以取消Users的删除和写入权限，从而限制基本用户，达到保护重要文件的效果当然，也可以防止基本用户运行指定的程序以下为微软建议进行限制的程序：regedit.exearp.exeat.exeattrib.execacls.exedebug.exeedlin.exeeventcreate.exeeventtriggers.exeftp.exenbtstat.exenet.exenet1.exenetsh.exenetstat.exenslookup.exentbackup.exercp.exereg.exeregedt32.exeregini.exeregsvr32.exerexec.exeroute.exersh.exesc.exesecedit.exesubst.exesysteminfo.exetelnet.exetftp.exetlntsvr.exeRD部分：注册表权限。由于微软默认的注册表权限分配已经做得很好了，不需要作什么改动，所以这里就直接略过了三.关于组策略规则的设置：规则要顾及方便性，因此不能对自己有过多的限制，或者最低限度地，即使出现限制的情况，也能方便地进行排除规则要顾及安全性，首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的威胁。没有这种防外能力的规则都是不完整或者不合格的基于文件名防病毒、防流氓的规则不宜多设，甚至可以舍弃。一是容易误阻，二是病毒名字可以随便改，特征库式的黑名单只会跟杀软的病毒库一样滞后。于是，我们有两种方案：如果想限制少一点的，可以只设防“入口”规则，主要面向U盘和浏览器如果想安全系数更高、全面一点的，可以考虑全局规则+白名单具体内容见二楼待续.最后布置几道作业，看看大家对上面的内容消化得如何1.在规则“F:*.*不允许”下，下面那些文件不能被打开？A:F:a.exeB.F:Folder.1b.exeC.F:Folder1Folder.2C.txtD.F:Folder1Folder.2Folder.3d.exe2.在以管理员身份登陆的情况下，建立规则如下：%Temp% 受限的%USERPROFILE%Local SettingsTemporary Internet Files 不允许的%ProgramFiles%Internet Exploreriexplore.exe 基本用户%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersDesktop%不受限的在这四条规则下，假设这样的情况：iexplore.exe 下载一个test.exe到Temporary Internet Files目录，然后复制到Temp目录，再从Temp目录中运行test.exe，（复制和运行的操作都是IE在做），然后由text.exe释放test2.exe到桌面，并运行test2.exe。那么test2.exe的访问令牌为：A.不受限的 B.不允许的 C.基本用户 D.受限的3.试说出 F:win* 和 F:win* 的区别4.若想限制QQ的行为，例如右下方弹出的广告，并不允许QQ调用浏览器，可以怎么做？答对两题即及格。不过貌似还是有些难度规则部分基础部分，如何建立规则：首先，打开组策略开始-运行，输入 “gpedit.msc”（不包含引号）并回车。在弹出的对话框中，依次展开 计算机配置-Windows设置-安全设置-软件限制策略如果你之前没有配置过软件限制策略，那