要设置组策略

1、要设置组策略，先了解下系统环境变量和通配符，以及优先级环境变量在C盘为系统盘的情况下：%USERPROFILE%表示 C:Documents and Settings当前用户名这个文件夹%ALLUSERSPROFILE%表示 C:Documents and SettingsAll Users%APPDATA%表示 C:Documents and Settings当前用户名Application Data%ALLAPPDATA%表示 C:Documents and SettingsAll UsersApplication Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE%表示C

2、:%SYSTEMROOT%表示 C:WINDOWS%WINDIR%表示 C:WINDOWS%TEMP% 和 %TMP%表示 C:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles%表示 C:Program Files%CommonProgramFiles%表示 C:Program FilesCommon Files通配符?-表示任意单个字符*-任意个字符（包括0个），但不包括斜杠*或*?- 表示零个或多个含有反斜杠的字符,即包含子文件夹这里是网上的例子：*Windows 匹配 C:Windows、D:Windows、E:Wind

3、ows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的所有子文件夹。*.vbs匹配具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录路径规则优先级:1.绝对路径 通配符相对路径如 C:Windowsexplorer.exe *Windowsexplorer.exe 2.文件型规则 目录型规则如若a.exe在Windows目录中，那么 a.exe C:Windows注：如何区分文件规

4、则和目录规则？不严格地说，其区分标志为字符“.”。例如, *.* 就比 C:WINDOWS 的优先级要高，如果要排除WINDOWS根目录下的程序，就需要这样做 C:WINDOWS*.*而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.若两条规则路径等效，那么合成的结果是：从严处

5、理，以最低的权限为准。如“C:Windowsexplorer.exe 不受限的” + “C:Windowsexplorer.exe 不允许的”结果为“C:Windowsexplorer.exe 不允许的总的来说，就是路径越明显详细，该规则就越优先上面这些了解了以后，我们打开组策略编辑器 HYPERLINK /attachment.aspx?attachmentid=416939 0.JPG (51.19 K)20088-7-27 12:22:44 HYPERLINK /attachment.aspx?attachmentid=416940 1.JPPG (2388.133 K)20088-7-

6、27 12:22:444条默认认规则说说明整个个Winndowws目录录不受限限Winndowws下的的exee文件不不受限SSysttem332下的的exee文件不不受限整整个PrrogrramFFilees目录录不受限限我们右键键新建图图中使用用系统变变量，而而且是绝绝对路径径，这样样的规则则优先于于下面的的这种基基于文件件名的规规则这里里举个例例子说明明绝对路路径的优优先性如如果我们们只想运运行系统统盘SYYSTEEM322下的SVVCHOOST.exee(防止止病毒从从其它位位置启动动一个名名为SVVCHOOST.exee的文件件)就需要要添加下下面的两两个路径径规则规规则1：%SYY

7、STEEMROOOT%syysteem322svvchoost.exee 或者C:WINNDOWWS sysstemm32svcchosst.eexe不不受限的的（绝对对路径,优先于于下面的的规则）规则2：Svcchosst.eexe不不允许的的（基于于文件名名）简单单理解，规则11是规则则2的例外外，对于于Expplorrer.exee, llsasss.eexe 也需要要这样对对应设置置，主要要是路径径，千万万不要没没有例外外哦这样样，我们们可以利利用基于于文件名名的规则则，限制制一些仿仿冒的东东西，如如下图注注意不要要限制*.*.exee这样的的因为有有些软件件带有版版本号，比如ssre

8、nngLDDR2.0.eexe这这样就会会导致正正常软件件不能运运行限制制双后缀缀的程序序，要更更加明确确才行，最好是是 *.jpgg.exxe这样样添加或或者 *.?.eexe当当然这样样碰见这这样的iice22.0114.eexe的的正常程程序也会会限制小小的我图图省事，就把正正常程序序版本号号的点去去了。我用用的就是是*.*.exxe路径径规则模模板：若若要阻止止程序从从某个文文件夹及及所有子子目录中中启动，需要添添加的规规则应为为：某目录录* 不允允许的某某目录* 不不允许的的某目录录 不允允许的某某目录 不允许许的只限限制某文文件夹，不限制制子目录录，规则则为： HYPERLINK

9、/attachment.aspx?attachmentid=416941 2lujjingg.jppg (43.43 K)20088-7-27 12:22:44 HYPERLINK /attachment.aspx?attachmentid=416942 3.JPPG (1544.788 K)20088-7-27 12:22:44 HYPERLINK /attachment.aspx?attachmentid=416943 4.JPPG (58.61 K)20088-7-27 12:22:44 HYPERLINK /attachment.aspx?attachmentid=416944 5仿冒

10、.JPGG (994.440 KK)20088-7-27 12:22:44某目录 不允许许的某目目录* 不不受限的的实用规则则计划任任务禁止止：%SysstemmRooot%tassk 不不允许的的防止CHHM帮助助文档捆捆毒：%WinnDirr%hhh.eexe 受限的的%WinnDirr%wwinhhelpp.exxe 受受限的%WinnDirr%wwinhhlp332.eexe 受限的的U盘规则则:U盘盘符:* 不允许许的或不不信任的的或受限限的证书书规则没没用过不不说了散散列规则则(校验验和规则则)通常常用来阻阻止特定定文件，主要原原理是文文件有一一个散列列值，通通过这个个，来限限制病

11、毒毒和木马马运行我我们可以以去下载载样本（可别运运行啊），在其其它规则则中，新新建散列列规则点点击浏览览，找到到病毒执执行文件件，设置置限制即即可PSS：猫叔叔的解释释校验和和规则根据文文件MDD5值识识别文件件的规则则。一条条校验和和规则对对N个具有相相同MDD5值的的文件均均有效。路径规规则根据据路径及及文件名名识别文文件的规规则。一一般一条条明确指指出具体体路径及及文件名名的路径径规则只只对一个个特定的的文件有有效。注注意：11.“不不允许的的”级别，你可以以对一个个设定成成“不允许许的”文件进进行读取取、复制制、粘贴贴、修改改、删除除等操作作，组策策略不会会阻止，前提当当然是你你的用户

12、户级别拥拥有修改改该文件件的权限限2.“不受限限的”级别，不等于于完全不不受限制制，只是是不受软软件限制制策略的的附加限限制（受受父进程程权限的的限制）3.CC:WWinddowsssyysteem322GrrouppPollicyyMaachiineReggisttry.poll是我们们的组策策略配置置文件，可以备备份和共共享给他他人4.磁碟机机会删除除C:Winndowwsssysttem332GGrouupPooliccy目目录5.对于用用户自己己安装的的软件的的规则，按情况况添加看看了很多多地方的的文章，虽然这这些真的的有点儿儿复杂，但是这这些体会会希望大大家能明明白组策策略没有有防范AARP等等的措施施，它只只是辅助助Winndowws本身身既然有有这些功功能，为为什么如如果好好好利用配配合一下下杀软？那么即即可以加加强安全全防范，又解决决了易用用性，毕毕竟瑞星星主动防防御界面面要友好好简单得得多在使使用瑞星星时，相相信不是是所有的的人，对对于这些些“规则则”是什什么东西西都十分分清楚，学习组组策略和和权限，可以加加深对系系统的