组策略软件限制策略

1、组策略软件限制策略导读实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。一.环境境变量、通配符符和优先先级关于于环境变

2、变量（假假定系统统盘为 C盘） %USSERPPROFFILEE% 表示示 C:Doocummentts aand Setttinngs当前用用户名 %HOOMEPPATHH% 表表示 C:Doccumeentss annd SSetttinggs当当前用户户名%AALLUUSERRSPRROFIILE% 表示 CC:DDocuumennts andd SeettiingssAlll UUserrs%CComSSpecc% 表示示 C:WIINDOOWSSysstemm32cmdd.exxe %APPPDATTA% 表表示 CC:DDocuumennts andd Seettiingss当前前

3、用户名名Apppliccatiion Datta %ALLLAPPPDATTA% 表表示 CC:DDocuumennts andd SeettiingssAlll UUserrsAAppllicaatioon DDataa %SSYSTTEMDDRIVVE% 表示 CC:%HHOMEEDRIIVE% 表示示 C:%SYYSTEEMROOOT% 表示 CC:WWINDDOWSS %WWINDDIR% 表示示 C:WIINDOOWS %TEEMP% 和 %TTMP% 表示 CC:DDocuumennts andd Seettiingss当前前用户名名Loccal SetttinngsTemmp %

4、ProograamFiiless% 表示示 C:Prrogrram Filles %CoommoonPrrogrramFFilees% 表表示 CC:PProggramm FiilessCoommoon FFilees 关关于通配配符：WWinddowss里面默默认* ：任意意个字符符（包括括0个），但不包包括斜杠杠? ：1个或0个字符符几个例例子*Winndowws 匹匹配 CC:WWinddowss、D:Winndowws、E:Winndowws 以以及每个个目录下下的所有有子文件件夹。CC:wwin* 匹配配 C:wiinntt、C:winndowws、C:winndirr 以及及每个目

5、目录下的的所有子子文件夹夹。*.vbss 匹配配 Wiindoows XP Proofesssioonall 中具具有此扩扩展名的的任何应应用程序序。C:Apppliicattionn Fiiless*.* 匹匹配特定定目录（Apppliccatiion Filles）中的应应用程序序文件，但不包包括Apppliicattionn Fiiless的子目目录关于于优先级级:1.绝对对路径 通通配符相相对路径径 如 C:Wiindoowsexpplorrer.exee *WWinddowssexxploorerr.exxe2.文件件型规则则 目录型型规则 如若a.exee在Winndowws目录录

6、中，那那么 aa.exxe C:Wiindoows33.环境境变量 = 相相应的实实际路径径 = 注册表表键值路路径如 %PProggrammFilles% = C:Proograam FFilees = %HHKEYY_LOOCALL_MAACHIINESOFFTWAAREMiccrossofttWiindoowsCurrrenntVeersiionProograamFiilessDirr%4.散列规规则比任任何路径径规则优优先级都都高总的的来说，就是规规则越匹匹配越优优先注：1. 通配符符 * 并不包包括斜杠杠 。例如*WINNDOWWS 匹匹配 CC:WWinddowss，但不不匹配 C

7、:SanndbooxWWINDDOWSS2. * 和和 * 是完完全等效效的，例例如 *aabc = *abcc3. C:abcc* 可可以直接接写为 C:abcc 或或者 CC:aabc，最后的的* 是可可以省去去的，因因为软件件限制策策略的规规则可以以直接匹匹配到目目录。44. 软软件限制制策略只只对“指派的的文件类类型”列表中中的格式式起效。例如 *.ttxt 不允许许的，这这样的规规则实际际上无效效，除非非你把TTXT格格式也加加入“指派的的文件类类型”列表中中。5. * 和 *.* 是是有区别别的，后后者要求求文件名名或路径径必须含含有“.”，而前前者没有有此限制制，因此此，*.*

8、的的优先级级比 * 的高高6. ?:* 与与 ?:*.* 是是截然不不同的，前者是是指所有有分区下下的每个个目录下下的所有有子文件件夹，简简单说，就是整整个硬盘盘；而 ?:*.* 仅包包括所有有分区下下的带“.”的文件件或目录录，一般般情况下下，指的的就是各各盘根目目录下的的文件。那非一一般情况况是什么么呢？请请参考第第7点7. ?:*.* 中的的“.” 可能使使规则范范围不限限于根目目录。这这里需要要注意的的是：有有“.”的不一一定是文文件，可可以是文文件夹。例如 F:ab.c，一一样符合合 ?:*.*，所所以规则则对F:abb.c下下的所有有文件及及子目录录都生效效。8.这是很很多人写写规

9、则时时的误区区。首先先引用组策略略软件限限制策略略规则包包编写之之菜鸟入入门（修修正版）里的的一段： 引用:4、如何何保护上上网的安安全 在浏览览不安全全的网页页时，病病毒会首首先下载载到IEE缓存以以及系统统临时文文件夹中中，并自自动运行行，造成成系统染染毒，在在了解了了这个感感染途径径之后，我们可可以利用用软件限限制策略略进行封封堵 %SYYSTEEMROOOT%taaskss*.* 不不允许的的 （这个个是计划划任务，病毒藏藏身地之之一） %SYYSTEEMROOOT%Teemp*.* 不允允许的 %USSERPPROFFILEE%CCookkiess*.* 不不允许的的 %USSERP

10、PROFFILEE%LLocaal SSetttinggs*.* 不允许许的 （这个个是IEE缓存、历史记记录、临临时文件件所在位位置）说实话，上面引引用的部部分不少少地方都都是错误误的先不不谈这样样的规则则能否保保护上网网安全，实际上上这几条条规则在在设置时时就犯了了一些错错误例如如：%UUSERRPROOFILLE%Loccal Setttinngs*.* 不允许许的可以以看出，规则的的原意是阻阻止程序序从Loocall Seettiingss（包括括所有子子目录）中启动动现在大大家不妨妨想想这这规则的的实际作作用是什什么？先先参考注注1和注2，* 和* 是等等同的，而且不不包含字字符“”

11、。所以以，这里里规则的的实际效效果是 “禁止程程序从LLocaal SSetttinggs文件件夹的一一级子目目录中启启动”，不包包括Loocall Seettiingss根目录录，也不不包括二二级和以以下的子子目录。现在我我们再来来看看LLocaal SSetttinggs的一一级子目目录有哪哪些：TTempp、Temmporraryy Innterrnett Fiiless、Apppliccatiion Datta、Hisstorry。阻止程程序从TTempp根目录录启动，直接的的后果就就是很多多软件不不能成功功安装那那么，阻阻止程序序从Teempoorarry IInteerneet F

12、Filees根目目录启动动又如何何呢？实实际上，由于IIE的缓缓存并不不是存放放Temmporraryy Innterrnett Fiiless根目录录中，而而是存于于Temmporraryy Innterrnett Fiiless的子目目录Coonteent.IE55的子目目录里（-_-|），所以以这种写写法根本本不能阻阻止程序序从IEE缓存中中启动，是没有有意义的的规则若若要阻止止程序从从某个文文件夹及及所有子子目录中中启动，正确的的写法应应该是：某目录录* 某目录录* 某目目录 某目录录9. 引用:?:aautoorunn.innf 不不允许的的这是流传传的所谓谓防U盘病毒毒规则，事实上

13、上这条规规则是没没有作用用的，关关于这点点在 HYPERLINK /viewthread.php?tid=206247 关于各各种策略略防范UU盘病毒毒的讨论论 已经作作了分析析二.软件限限制策略略的3DD的实现现：“软件限限制策略略本身即即实现AAD，并并通过NNTFSS权限实实现FDD，同时时通过注注册表权权限实现现RD，从从而完成成3D的部部署”对于软软件限制制策略的的AD限制制，是由由权限指指派来完完成的，而这个个权限的的指派，用的是是微软内内置的规规则，即即使我们们修改“用户权权限指派派”项的内内容，也也无法对对软件限限制策略略中的安安全等级级进行提提权。所所以，只只要选择择好安全全

14、等级，AD部分分就已经经部署好好了，不不能再作作干预而而软件件件限制策策略的FFD和RD限制制，分别别由NTTFS权权限、注注册表权权限来完完成。而而与ADD部分不不同的是是，这样样限制是是可以干干预的，也就是是说，我我们可以以通过调调整NTTFS和和注册表表权限来来配置FFD和RD，这这就比AAD部分分要灵活活得多。小结一一下，就就是ADD用用户权利利指派FFDNTFFS权限限RD注册册表权限限先说ADD部分，我我们能选选择的就就是采用用哪种权权限等级级，微软软提供了了五种等等级：不不受限的的、基本本用户、受限的的、不信信任的、不允许许的。不不受限的的，最高高的权限限等级，但其意意义并不不是

15、完全全的不受受限，而而是“软件访访问权由由用户的的访问权权来决定定”，即继继承父进进程的权权限。基基本用户户，基本本用户仅仅享有“跳过遍遍历检查查”的特权权，并拒拒绝享有有管理员员的权限限。受限限的，比比基本用用户限制制更多，也仅享享有“跳过遍遍历检查查”的特权权。不信信任的，不允许许对系统统资源、用户资资源进行行访问，直接的的结果就就是程序序将无法法运行。不允许许的，无无条件地地阻止程程序执行行或文件件被打开开很容易易看出，按权限限大小排排序为 不受限限的 基本本用户 受受限的 不不信任的的 不允许许的其中中，基本本用户 、受限限的、不不信任的的 这三个个安全等等级是要要手动打打开的具具体做

16、法法：打开开注册表表编辑器器，展开开至HKKEY_LOCCAL_MACCHINNESSOFTTWARREPPoliicieesMMicrrosooftWinndowwsSSafeerCCodeeIdeentiifieers新新建一个个DOWWRD，命名为为Levvelss，其值值可以为为0 x1100000 /增加加受限的的0 x2200000 /增加加基本用用户0 xx300000 /增增加受限限的，基基本用户户0 x3310000 /增加加受限的的，基本本用户，不信任任的设成成0 x3310000（即即413310000）即即可如图图：再强调两两点：11.“不允许许的”级别不不包含任任何F

17、DD操作。你可以以对一个个设定成成“不允许许的”文件进进行读取取、复制制、粘贴贴、修改改、删除除等操作作，组策策略不会会阻止，前提当当然是你你的用户户级别拥拥有修改改该文件件的权限限2.“不受限限的”级别不不等于完完全不受受限制，只是不不受软件件限制策策略的附附加限制制。事实实上，“不受限限的”程序在在启动时时，系统统将赋予予该程序序的父进进程的权权限字，该程序序所获得得的访问问令牌决决定于其其父进程程，所以以任何程程序的权权限将不不会超过过它的父父进程。权限的的分配与与继承:这里的的讲解默默认了一一个前提提：假设设你的用用户类型型是管理理员。在在没有软软件限制制策略的的情况下下，很简简单，如

18、如果程序序a启动程程序b，那么么a是b的父进进程，bb继承a的权限限现在把把a设为基基本用户户，b不做限限制（把把b设为不不受限或或者不对对b设置规规则效果果是一样样的）然然后由aa启动b，那么么b的权限限继承于于a，也是是基本用用户，即即:a（基本本用户）- b（不不受限的的） = b（基本用用户）若若把b设为基基本用户户，a不做限限制，那那么a启动b后，b仍然为为基本用用户权限限，即aa（不受受限的）- b（基基本用户户） = b（基本用用户）可可以看到到，一个个程序所所能获得得的最终终权限取取决于：父进程程权限 和 规则限限定的权权限 的最低低等级，也就是是我们所所说的最最低权限限原则举

19、举一个例例：若我我们把IIE设成成基本用用户等级级启动，那么由由IE执行行的任何何程序的的权限都都将不高高于基本本用户级级别，只只能更低低。所以以就可以以达到防防范网马马的效果果即使使IE下载载病毒并并执行了了，病毒毒由于权权限的限限制，无无法对系系统进行行有害的的更改，如果重重启一下下，那么么病毒就就只剩下下尸体了了。甚至至，我们们还可以以通过NNTFSS权限的的设置，让IEE无法下下载和运运行病毒毒，不给给病毒任任何的机机会。FFD：NTFFS权限限* 要求求磁盘分分区为NNTFSS格式 *其实Miicroosofft WWinddowss 的每每个新版版本都对对 NTTFS 文件系系统进

20、行行了改进进。NTTFS 的默认认权限对对大多数数组织而而言都已已够用。NTFFS权限限的分配配1.如果果一个用用户属于于多个组组，那么么该用户户所获得得的权限限是各个个组的叠叠加2.“拒绝”的优先先级比“允许”要高例如如：用户户A 同时时属于AAdmiinisstraatorrs和Eveeryoone组组，若AAdmiinisstraatorrs组具具有完全全访问权权，但EEverryonne组拒拒绝对目目录的写写入，那那么用户户A的实际际权限是是：不能能对目录录写入，但可以以进行除除此之外外的任何何操作高高级权限限名称 描述 （包括括了完整整的FDD和部分分AD） 引用:遍历文件件夹/运行

21、文文件 （遍历历文件夹夹可以不不管，主主要是“运行文文件”，若无无此权限限则不能能启动文文件，相相当于AAD的运运行应用用程序）允许或或拒绝用用户在整整个文件件夹中移移动以到到达其他他文件或或文件夹夹的请求求，即使使用户没没有遍历历文件夹夹的权限限（仅适适用于文文件夹）。列出出文件夹夹/读取数数据允许许或拒绝绝用户查查看指定定文件夹夹内文件件名和子子文件夹夹名的请请求。它它仅影响响该文件件夹的内内容，而而不影响响您对其其设置权权限的文文件夹是是否会列列出（仅仅适用于于文件夹夹）。读读取属性性 （FD的读读取）允允许或拒拒绝查看看文件中中数据的的能力（仅适用用于文件件）。读读取扩展展属性允允许或

22、拒拒绝用户户查看文文件或文文件夹属属性（例例如只读读和隐藏藏）的请请求。属属性由 NTFFS 定定义。创创建文件件/写入数数据 （FD的创创建）“创建文文件”允许或或拒绝在在文件夹夹中创建建文件（仅适用用于文件件夹）。“写入数数据”允许或或拒绝对对文件进进行修改改并覆盖盖现有内内容的能能力（仅仅适用于于文件）。创建建文件夹夹/追加数数据“创建文文件夹”允许或或拒绝用用户在指指定文件件夹中创创建文件件夹的请请求（仅仅适用于于文件夹夹）。“追加数数据”允许或或拒绝对对文件末末尾进行行更改而而不更改改、删除除或覆盖盖现有数数据的能能力（仅仅适用于于文件）。写入入属性 （即改改写操作作了，FFD的写写

23、）允许许或拒绝绝用户对对文件末末尾进行行更改，而不更更改、删删除或覆覆盖现有有数据的的请求（仅适用用于文件件）。 即写操操作写入入扩展属属性允许许或拒绝绝用户更更改文件件或文件件夹属性性（例如如只读和和隐藏）的请求求。属性性由 NNTFSS 定义义。删除除子文件件夹和文文件 （FD的删删除）允允许或拒拒绝删除除子文件件夹和文文件的能能力，即即使子文文件夹或或文件上上没有分分配“删除”权限（适用于于文件夹夹）。删删除 （与上上面的区区别是，这里除除了子目目录及其其文件，还包括括了目录录本身）允许或或拒绝用用户删除除子文件件夹和文文件的请请求，即即使子文文件夹或或文件上上没有分分配“删除”权限（适

24、用于于文件夹夹）。读读取权限限 （NTFFS权限限的查看看）允许许或拒绝绝用户读读取文件件或文件件夹权限限（例如如“完全控控制”、“读取”和“写入”）的请请求。更更改权限限 （NTFFS权限限的修改改）允许许或拒绝绝用户更更改文件件或文件件夹权限限（例如如“完全控控制”、“读取”和“写入”）的请请求。取取得所有有权 允许或或拒绝取取得文件件或文件件夹的所所有权。文件或或文件夹夹的所有有者始终终可以更更改其权权限，而而不论用用于保护护该文件件或文件件夹的现现有权限限如何。 以基本用用户为例例，基本本用户能能做什么么？在系系统默认认的NTTFS权权限下，基本用用户对系系统变量量和用户户变量有有完全

25、访访问权，对系统统文件夹夹只读，对Prrogrram Filles的的公共文文件夹只只读，DDocuumennt aand Setttinng下，仅对当当前用户户目录有有完全访访问权，其余不不能访问问如果觉觉得以上上的限制制严格了了或者宽宽松了，可以自自行调整整各个目目录和文文件的NNTFSS权限。如果发发现浏览览器在基基本用户户下无法法使用某某些功能能的，很很多都是是由于NNTFSS权限造造成的，可以尝尝试调整整对应的的NTFFS权限限基本用用户、受受限用户户属于以以下组UUserrsAuutheentiicatted UseersEEverryonneINNTERRACTTIVEE但受限限

26、用户权权限更低低，无论论NTFFS权限限如何，受限用用户始终终受到限限制。调调整权限限时，主主要利用用到的组组为 UUserrs例：对用户户变量TTempp目录进进行设置置，禁止止基本用用户从该该目录运运行程序序，可以以这样做做：首先先进入“高级”选项，取消勾勾选“从父项项继承那那些可以以应用到到子对象象的权限限项目，包括那那些在此此明确定定义的项项目(II)”然后设置置Useers的的权限如如图这样基本本用户下下的程序序就无法法从Teemp启启动文件件了注意意：1. 不要要使用“拒绝”，不然然管理员员权限下下的程序序也会受受影响22. eeverryonne组的的权限适适用于任任何人、任何程

27、程序，故故eveeryoone组组的权限限不能太太高，至至少要低低于Usserss组其实利利用NTTFS权权限还可可以实现现很多功功能又例例如，如如果想保保护某些些文件不不被修改改或删除除，可以以取消UUserrs的删删除和写写入权限限，从而而限制基基本用户户，达到到保护重重要文件件的效果果当然，也可以以防止基基本用户户运行指指定的程程序以下下为微软软建议进进行限制制的程序序：reegeddit.exeearpp.exxeatt.exxeatttriib.eexeccaclls.eexeddebuug.eexeeedliin.eexeeevenntcrreatte.eexeeevennttrr

28、igggerss.exxefttp.eexennbtsstatt.exxeneet.eexennet11.exxeneetshh.exxeneetsttat.exeensllookkup.exeentbbackkup.exeercpp.exxereeg.eexerregeedt332.eexerregiini.exeereggsvrr32.exeerexxec.exeerouute.exeershh.exxescc.exxeseeceddit.exeesubbst.exeesysstemminffo.eexettelnnet.exeetfttp.eexettlnttsvrr.exxeRDD部分

29、：注册表表权限。由于微微软默认认的注册册表权限限分配已已经做得得很好了了，不需需要作什什么改动动，所以以这里就就直接略略过了三三.关于组组策略规规则的设设置：规规则要顾顾及方便便性，因因此不能能对自己己有过多多的限制制，或者者最低限限度地，即使出出现限制制的情况况，也能能方便地地进行排排除规则则要顾及及安全性性，首先先要考虑虑的对象象就是浏浏览器等等上网类类软件和和可移动动设备所所带来的的威胁。没有这这种防外外能力的的规则都都是不完完整或者者不合格格的基于于文件名名防病毒毒、防流流氓的规规则不宜宜多设，甚至可可以舍弃弃。一是是容易误误阻，二二是病毒毒名字可可以随便便改，特特征库式式的黑名名单只

30、会会跟杀软软的病毒毒库一样样滞后。于是，我们有有两种方方案：如如果想限限制少一一点的，可以只只设防“入口”规则，主要面面向U盘和浏浏览器如如果想安安全系数数更高、全面一一点的，可以考考虑全局局规则+白名单单最后布布置几道道作业 ，看看看大家对对上面的的内容消消化得如如何 1. 在规则则“F:*.* 不不允许”下，下下面那些些文件不不能被打打开？AA:F:a.exeeB.FF:FFoldder.1bb.exxeC.F:Follderr1FFoldder.2CC.txxtD.F:Follderr1FFoldder.2FFoldder.3dd.exxe2. 在以管管理员身身份登陆陆的情况况下，建建立

31、规则则如下：%Teemp% 受限限的%UUSERRPROOFILLE%Loccal SetttinngsTemmporraryy Innterrnett Fiiless 不允允许的%ProograamFiiless%IInteerneet EExplloreeriiexpplorre.eexe 基本用用户%HHKEYY_CUURREENT_USEERSSofttwarreMMicrrosooftWinndowwsCCurrrenttVerrsioonEExplloreerSShelll FFoldderssDeeskttop% 不受限限的在这这四条规规则下，假设这这样的情情况：iiexpplo

32、rre.eexe 下载一一个teest.exee到Temmporraryy Innterrnett Fiiless目录，然后复复制到TTempp目录，再从TTempp目录中中运行ttestt.exxe，（复制和和运行的的操作都都是IEE在做），然后后由teext.exee释放 ttestt2.eexe到到桌面，并运行行tesst2.exee。那么teest22.exxe的访访问令牌牌为：AA.不受受限的 B.不允许许的 CC.基本本用户 D.受受限的33. 试说出出 F:wiin* 和 F:wiin* 的区区别4. 若想限限制QQQ的行为为，例如如右下方方弹出的的广告，并不允允许QQQ调用浏浏

33、览器，可以怎怎么做？答对两两题即及及格。不不过貌似似还是有有些难度度规则部部分基础础部分，如何建建立规则则：首先先，打开开组策略略开始-运行，输入 “gpeeditt.mssc”（不包包含引号号）并回回车。在在弹出的的对话框框中，依依次展开开 计算机机配置-Winndowws设置置-安全设设置-软件限限制策略略如果你你之前没没有配置置过软件件限制策策略，那那么可以以在菜单单栏上选选择 操作-创建新新的策略略如图然后转到到“其它规规则”项，在在菜单栏栏选择“操作”，在下下拉菜单单选择“新路径径规则”在弹出出的对话话框中，就可以以编辑规规则了华华丽丽的的分割线线软件件限制策策略的其其实并不不复杂，

34、在规则则设置上上是十分分简单的的，只有有五个安安全级别别，不像像HIPPS那样样，光AAD部分分就细分分成N项。但软软件限制制策略的的难点在在于：如如何确保保你的规规则真正正有效并并按你的的意愿去去工作，即如何何保证规规则的正正确性和和有效性性。附上上题目的的参考答答案1.D考考点：注注2、注4、注7这题的的C选项是是陷阱，因为TTXT文文件不在在规则的的阻挡范范围之内内。D项参考考注7，F:Follderr1FFoldder.2FFoldder.3 （注意“.”）正好好能匹配配 F:*.*，因此此Follderr.3下下面的EEXE文文件不能能被打开开2.DD说明：此题的的考点为为“AD权限

35、限的分配配/最低权权限原则则”我们先先整理一一下父子子进程的的关系：iexxploore.exee - teest.exee - teest22.exxe（基基本用户户） （受限限的） （受限限的）其其中，ttestt.exxe从Temmp目录录启动，受规则则“%Teemp% 受限的的”的限制制，其权权限降为为“受限的的”。tesst2.exee从桌面面启动，虽然桌桌面的 程序是是不受限限的，但但由于其其父进程程为teest.exee，故继继承teest.exee的权限限，故ttestt2.eexe的的最终获获得访问问令牌还还是“受限的的”另外要要注意的的是，复复制、创创建文件件等操作作都不会

36、会构成权权限的继继承3.考点：注1、注3、综合合分析说说明：FF:wwin* 和 F:wiin* 仅相相差一个个字符 “”，由注注1可知，* 并不不包括斜斜杠。那那么斜杠杠“”在这里里的作用用是什么么？实际际上，这这个斜杠杠在规则则中的作作用相当当于声明明斜杠前前的路径径指的是是目录，而不是是文件，注意到到这点后后，就可可以看出出区别了了：F:wiin* 既可以以匹配到到 F:wiindoows、F:winndirr、F:winnrarr等目录录，也可可以匹配配到F:wiinraar.eexe、F:winnNT.batt等文件件而F:winn* 仅能匹匹配到目目录4.考点：NTFFS权限限此题

37、答答案不唯唯一，只只要是合合理可行行的方案案即可下下面答案案仅供参参考：限限制QQQ的行为为，可以以把QQQ设为基基本用户户。防止止QQ广告告，可以以对Teenceent下下的ADD目录调调整NTTFS权权限取消Usserss组的创创建、写写入权限限不允许许QQ调用用浏览器器，可以以对IEE调整NTTFS权权限取消Usserss组的“读取和和运行”的权限限下面将详详细讨论论规则部部分一、再次强强调一下下通配符符的使用用Winndowws里面面默认* ：任任意个字字符（包包括0个），但不包包括斜杠杠? ：1个或0个字符符在组策策略中*不包括括斜杠，这和HHIPSS是不同同的，一一定要注注意例如如

38、：C:Wiindoowssysstemm32 可以表表示为 *syysteem322而以下下的表达达式都是是无效的的：*sysstemm32 、sysstemm32*、sysstemm32二二、根目目录规则则软件限限制策略略对初学学者来说说有一定定的难度度，因为为它没有有HIPPS那么么丰富的的功能选选项，故故利用规规则实现现某一功功能需要要一定的的技巧。根目录录规则就就是一例例（禁止止在某个个目录的的根目录录下的程程序行为为）若在在EQ中，设置规规则时取取消“包含该该目录下下面的所所有文件件”选项就就可以保保证规则则仅对根根目录起起效而组组策略却却不是那那么简单单就可以以做到。看看下面面的规

39、则则： 引用:C:PProggramm Fiiless*.* 不不允许的的前面已经经提过，* 不包包含斜杠杠，因此此这个规规则可视视为Prrogrram Filles的的根目录录规则。在此规规则下，形如 C:Prrogrram Fillesa.eexe 等程序序将不能能启动。但这规规则可能能导致一一些问题题，因为为通配符符即可以以匹配到到文件，也可以以匹配到到文件夹夹。如果果Proograam FFilees存在在带有“.”的目录录（形如如C:Proograam FFileesTTTpllayeer5.2），一样可可以和规规则 C:Proograam FFilees*.* 匹配，这将导导致该文

40、文件夹下下的程序序无法运运行，造造成误伤伤。改进进一下的的话，可可以用两两条规则则来实现现根目录录限制如如 引用:C:PProggramm Fiiless 不不允许的的C:Proograam FFilees* 不受受限的这样就保保证了子子目录的的程序不不受规则则影响三三、一些些规则的的模板根根目录规规则： 某目目录* + 某目目录*目录规规则（包包含目录录中所有有文件）： 某某目录* 或 某目录录 或 某目录录含“*”的目录录规则： 某目目录* （注注意要加加上斜杠杠“”）文件型型规则： a.exee 、*.ccom 等绝对路路径规则则： 如如 C:Wiindoowsexpplorrer.ex

41、ee全局型型规则： *这里需需要说明明的是，为什么么全局型型规则要要使用“*”？因为 * 属于于仅有通通配符的的规则，其覆盖盖范围是是最大的的，而优优先级是是最低的的，不会会遗漏，便于排排除，最最适合作作为全局局规则。对比“*.*”，一个个字符“.”的存在在使规则则的优先先级提高高了，这这将会给给排除工工作带来来不便四四、规则则实例11. 保保证上网网安全很很多人问问，浏览览毒网时时，病毒毒会下载载到什么么位置执执行？首首先是，下载到到网页缓缓存中（Conntennt.IIE5），这点点很多人人都注意意到了。不过呢呢，病毒毒一般却却不会选选择在缓缓存中执执行，而而是通过过浏览器器复制病病毒文件

42、件到其它它目录，例如WWinddowss。sysstemm32、Temmp，当当前用户户文件夹夹、桌面面、系统统盘根目目录、PProggrammFilles根根目录及及其公有有子目录录、浏览览器所在在目录等等所以在在这里再再重复一一次已说说过N次的话话，不要要以为把把缓存目目录设为为不允许许的就万万事大吉吉了。 至于防防范，比比较好的的方法就就是禁止止浏览器器在敏感感位置新新建文件件，这点点使用“浏览器器基本用用户”就可以以做到，规则如如下 引用:%ProograamFiiless%IInteerneet EExplloreeriiexpplorre.eexe 基基本用户户如果使用用的是其其它

43、浏览览器，也也可以设设成 基本用用户若配配合以下下规则，效果更更佳： 引用:*Doocummentts aand Setttinngs 不不允许的的 程序序一般不不会从DDocuumennts andd Seettiingss中启动动%ALLLAPPPDAATA%* 不不受限的的 允许许程序从从Apppliccatiion Datta的子子目录启启动%AAPPDDATAA% 不不允许的的 当前前用户的的Apppliccatiion Datta目录录限制%APPPDATTA%* 不受限限的 允允许程序序从Apppliicattionn Daata的的子目录录启动%SysstemmDriive%*

44、.* 不不允许的的 禁止止程序从从系统盘盘根目录录启动%Temmp% 不受限限的 允允许程序序从Teemp目目录启动动，安装装软件必必须%TTMP% 不受受限的 同上并设置用用户变量量Temmp的NTFFS权限限：Teemp的的默认路路径为 Doccumeentss annd SSetttinggsAAdmiinisstraatorrLoocall SeettiingssTeemp在在系统盘盘格式为为NTFFS的情情况下，右击TTempp文件夹夹，选择择“安全”项，取取消Usserss组的“读取与与运行”权限即即可。（同时要要取消EEverryonne组的的访问权权，且保保证Addminnis

45、ttrattorss组具有有完全访访问权限限）如此此设置的的作用是是：基本本用户下下的程序序将无法法从Teemp文文件夹运运行程序序2.UU盘规则则比较实实际的做做法是 引用:U盘:* 不允许许的、不不信任的的、受限限的，都都可以不允许的的安全度度更高一一些，这这样也不不会影响响U盘的一一般使用用（正常常拷贝、删除等等）假设设你的UU盘一般般盘符是是I，那么么规则可可以写成成： 引用:I:* 不允许许的3.双后后缀文件件防范规规则以下下是微软软的帮助助： 引用:注意某些些病毒使使用的文文件具有有两个扩扩展名以以使得危危险文件件看起来来像安全全的文件件。例如如，Doocummentt.txxt.

46、eexe 或 Phhotoos.jjpg.exee。最后后面的扩扩展名是是 Wiindoows 将尝试试打开的的扩展名名。具有有两个扩扩展名的的合法文文件非常常少，因因此避免免下载或或打开这这种类型型的文件件。 有些文文件下载载起来比比程序或或宏文件件更安全全，例如如文本 (.ttxt) 或图图像 (.jppg, .giif, .pnng) 文件。但是，仍然要要警惕未未知的来来源，因因为已知知这些文文件中的的一些文文件使用用了特意意精心设设计的格格式，可可以利用用计算机机系统的的漏洞。双后缀文文件可能能的形式式比较多多，这里里仅放出出谍照一一张4.全局局规则就就一条： 引用:* 基本本用户如果

47、设成成受限的的或者不不信任/不允许许的话，无疑会会更安全全，但也也会带来来一些不不便。综综合考虑虑还是基基本用户户比较适适合在全全局规则则下，肯肯定需要要对合法法的程序序进行排排除的。在排除除的时候候，你就就会发现现使用 * 作作为全局局规则的的优越性性了任何一一条规则则的优先先级都比比它高，所以我我们可以以很方便便地进行行排除。为了减减少排除除的工作作量，这这里建议议大家把把软件集集中安装装在少数数的目录录，例如如ProograamFiiless目录，那么排排除时就就可以对对整个目目录进行行，不必必慢慢添添加示例例排除规规则： 引用:%ProograamFiiless% 不受受限的 （软件件

48、所在目目录）*ApppliicattionnSettupss 不受受限的 （安装装软件用用的文件件夹）还要排除除一些文文件格式式，以使使其被正正常打开开： 引用:*.lnnk 不不受限的的*.aade 不受受限的*.addp 不受限限的*.msii 不不受限的的*.mmsp 不受受限的*.chhm 不受限限的*.hlpp 不不受限的的*.ppcd 不受受限的5. 其其它辅助助规则CCMD限限制策略略： 引用:%Commspeec% 基本用用户注意：在在组策略略中，微微软把ccmd.exee和批处处理是分分开处理理的，即即使把ccmd设设成“不允许许的”，仍然然可以运运行.bbat等等批处理理由

49、于桌桌面一般般只放快快捷方式式，所以以 引用:%HKEEY_CCURRRENTT_USSERSofftwaareMiccrossofttWiindoowsCurrrenntVeersiionExpplorrerSheell FollderrsDDeskktopp% 不允允许的同时要让让快捷方方式能够够正常工工作： 引用:*.lnnk 不受限限的计划任务务功能很很少会用用到，所所以 引用:%SysstemmRooot%tassk 不不允许的的帮助文件件阅读器器的管制制策略： 引用:%WinnDirr%hhh.eexe 基本用用户 （防范范CHMM捆毒）%WiinDiir%winnhellp.ee

50、xe 基本用用户%WWinDDir%wiinhllp322.exxe 基基本用户户脚本宿主主管制 引用:%WinnDirr%ssysttem332?scrriptt.exxe 受限限的（或或者直接接不允许许）一些不会会有程序序启动的的位置、一些极极少用到到的系统统程序，你不用用但病毒毒会用，所以建建议禁止止.规规则可以以有很多多，大可可自己发发挥，放放出图一一张：禁止伪装装系统程程序如： 引用:lsasss.eexe 不允许许的%WWinDDir%syysteem322lssasss.exxe 不不受限的的剩下的规规则就留留给各位位自由发发挥了至至此，教教程完毕毕 组策略略规则发发布：根根据防入入口和全全局防护护的思路路，做了了两套规规则简单规规则和全全局规则则 简单规规则说明明：以基基本用户户限制主主流浏览览器Avvantt.exxe BBrexxpo.exee fiireffox.exee GEE.exxe GGreeenBrro