组策略之软件限制策略-完全教程与规则示例

1、组策略之软件限制策略完全教程与规则示例导读实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调

2、整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 HYPERLINK /attachment.php?aid=211494&k=6918bb9c0f92f95dec300c7a3eb9dee3&t=1215521817¬humb=yes 20080304_d40265b8553a703daf15Xdar4Rohek4Y.jpg (31.85 KB)2008-5-28 04:06一.环境境变量、通配符符和优先先级关

3、于于环境变变量（假假定系统统盘为 C盘） %UUSERRPROOFILLE%表示示 C:Doocummentts aand Setttinngs当前用用户名 %HOOMEPPATHH% 表表示 CC:DDocuumennts andd Seettiingss当前前用户名名%ALLLUSSERSSPROOFILLE%表示示 C:Doocummentts aand SetttinngsAlll Usserss%CoomSppec%表表示 CC:WWINDDOWSSSyysteem322cmmd.eexe %APPPDAATA%表表示 CC:DDocuumennts andd Seettiingss

4、当前前用户名名Apppliicattionn Daata %ALLLAPPPDAATA%表表示 CC:DDocuumennts andd SeettiingssAlll UUserrsAAppllicaatioon DDataa %SSYSTTEMDDRIVVE% 表示 C:%HOMMEDRRIVEE% 表示示 C:%SYYSTEEMROOOT%表表示 CC:WWINDDOWSS %WWINDDIR% 表示 C:WINNDOWWS %TEMMP% 和 %TMPP%表示 C:Doccumeentss annd SSetttinggs当当前用户户名LLocaal SSetttinggsTTempp

5、 %PProggrammFilles%表表示 CC:PProggramm Fiiless %CCommmonPProggrammFilles%表表示 CC:PProggramm FiilessCoommoon FFilees 关关于通配配符：WWinddowss里面默默认* ：任意意个字符符（包括括0个），但不不包括斜斜杠? ：1个个或0个个字符几几个例子子*WWinddowss 匹配配 C:Wiindoows、D:Winndowws、EE:WWinddowss 以及及每个目目录下的的所有子子文件夹夹。C:wiin* 匹配 C:winnnt、C:winndowws、CC:wwinddir 以及

6、每每个目录录下的所所有子文文件夹。*.vvbs 匹配 Winndowws XXP PProffesssionnal 中具有有此扩展展名的任任何应用用程序。C:Apppliccatiion Filles*.* 匹配配特定目目录（AAppllicaatioon FFilees）中中的应用用程序文文件，但但不包括括Apppliccatiion Filles的的子目录录关于优优先级:1.绝绝对路径径 通配符符相对路路径 如如 C:Wiindoowsexpplorrer.exee *WWinddowssexxploorerr.exxe2.文文件型规规则 目录录型规则则 如若若a.eexe在在Winndo

7、wws目录录中，那那么 a.exee C:Winndowws3.环境变变量 = 相应应的实际际路径 = 注注册表键键值路径径如 %ProograamFiiless% = C:Prrogrram Filles = %HKEEY_LLOCAAL_MMACHHINEESOOFTWWAREEMiicroosofftWWinddowssCuurreentVVerssionnPrrogrramFFileesDiir%44.散列列规则比比任何路路径规则则优先级级都高总总的来说说，就是是规则越越匹配越越优先注注：1. 通配符符 * 并不包包括斜杠杠 。例如*WIINDOOWS 匹配 C:Winndowws，但

8、但不匹配配 C:SaandbboxWINNDOWWS2. * 和 * 是是完全等等效的，例如 *abcc = *abbc3. C:abbc*可可以直接接写为 C:abcc 或或者 CC:aabc，最后的的* 是是可以省省去的，因为软软件限制制策略的的规则可可以直接接匹配到到目录。4. 软件限限制策略略只对“指派的的文件类类型”列列表中的的格式起起效。例例如 *.txxt 不不允许的的，这样样的规则则实际上上无效，除非你你把TXXT格式式也加入入“指派派的文件件类型”列表中中。 HYPERLINK /attachment.php?aid=211495&k=496779812455b27ba837

9、e2173b63810b&t=1215521817¬humb=yes 指派的文文件类型型 属性性.jppg (27.83 KB)20088-3-2 003:5535. * 和 *.* 是有有区别的的，后者者要求文文件名或或路径必必须含有有“.”，而前前者没有有此限制制，因此此，*.* 的的优先级级比 * 的高高6. ?:* 与与 ?:*.* 是是截然不不同的，前者是是指所有有分区下下的每个个目录下下的所有有子文件件夹，简简单说，就是整整个硬盘盘；而 ?:*.* 仅包包括所有有分区下下的带“.”的的文件或或目录，一般情情况下，指的就就是各盘盘根目录录下的文文件。那那非一般般情况是是什么呢呢

10、？请参参考第77点7. ?:*.* 中中的“.” 可可能使规规则范围围不限于于根目录录。这里里需要注注意的是是：有“.”的的不一定定是文件件，可以以是文件件夹。例例如 FF:aab.cc，一样样符合 ?:*.*，所以以规则对对F:ab.c下的的所有文文件及子子目录都都生效。8.这这是很多多人写规规则时的的误区。首先引引用组组策略软软件限制制策略规规则包编编写之菜菜鸟入门门（修正正版）里的一一段： 引用:4、如何何保护上上网的安安全 在在浏览不不安全的的网页时时，病毒毒会首先先下载到到IE缓缓存以及及系统临临时文件件夹中，并自动动运行，造成系系统染毒毒，在了了解了这这个感染染途径之之后，我我们可

11、以以利用软软件限制制策略进进行封堵堵 %SSYSTTEMRROOTT%ttaskks*.* 不允许许的 （这个是是计划任任务，病病毒藏身身地之一一） %SYSSTEMMROOOT%Temmp*.* 不允许许的 %USEERPRROFIILE%Coookiies*.* 不允允许的 %USSERPPROFFILEE%LLocaal SSetttinggs*.* 不允许许的（这个个是IEE缓存、历史记记录、临临时文件件所在位位置）说实话，上面引引用的部部分不少少地方都都是错误误的先不不谈这样样的规则则能否保保护上网网安全，实际上上这几条条规则在在设置时时就犯了了一些错错误例如如：%UUSERRPRO

12、OFILLE%Loccal Setttinngs*.*不不允许的的可以看看出，规规则的原原意是阻阻止程序序从Loocall Seettiingss（包括括所有子子目录）中启动动现在大大家不妨妨想想这这规则的的实际作作用是什什么？先先参考注注1和注注2，* 和和* 是是等同的的，而且且不包含含字符“”。所以，这里规规则的实实际效果果是 “禁止程程序从LLocaal SSetttinggs文件件夹的一一级子目目录中启启动”，不包括括Loccal Setttinngs根根目录，也不包包括二级级和以下下的子目目录。现现在我们们再来看看看Loocall Seettiingss的一级级子目录录有哪些些：T

13、eemp、Temmporraryy Innterrnett Fiiless、Apppliicattionn Daata、Hisstorry。阻阻止程序序从Teemp根根目录启启动，直直接的后后果就是是很多软软件不能能成功安安装那么么，阻止止程序从从Temmporraryy Innterrnett Fiiless根目录录启动又又如何呢呢？实际际上，由由于IEE的缓存存并不是是存放TTempporaary Intternnet Filles根根目录中中，而是是存于TTempporaary Intternnet Filles的的子目录录Conntennt.IIE5的的子目录录里（-_-|），所以这这

14、种写法法根本不不能阻止止程序从从IE缓缓存中启启动，是是没有意意义的规规则若要要阻止程程序从某某个文件件夹及所所有子目目录中启启动，正正确的写写法应该该是：某某目录* 某目录录* 某目录录 某某目录99. 引用:?:aautoorunn.innf 不不允许的的这是流传传的所谓谓防U盘盘病毒规规则，事事实上这这条规则则是没有有作用的的，关于于这点在在 HYPERLINK /viewthread.php?tid=206247 关于于各种策策略防范范U盘病病毒的讨讨论 已已经作了了分析二二.软件件限制策策略的33D的实实现：“软件限限制策略略本身即即实现AAD，并并通过NNTFSS权限实实现FDD，

15、同时时通过注注册表权权限实现现RD，从而完完成3DD的部署署”对于于软件限限制策略略的ADD限制，是由权权限指派派来完成成的，而而这个权权限的指指派，用用的是微微软内置置的规则则，即使使我们修修改“用用户权限限指派”项的内内容，也也无法对对软件限限制策略略中的安安全等级级进行提提权。所所以，只只要选择择好安全全等级，AD部部分就已已经部署署好了，不能再再作干预预而软件件件限制制策略的的FD和和RD限限制，分分别由NNTFSS权限、注册表表权限来来完成。而与AAD部分分不同的的是，这这样限制制是可以以干预的的，也就就是说，我们可可以通过过调整NNTFSS和注册册表权限限来配置置FD和和RD，这就

16、比比AD部部分要灵灵活得多多。小结结一下，就是AAD用户权权利指派派FDNTTFS权权限RDD注注册表权权限先说说AD部部分，我我们能选选择的就就是采用用哪种权权限等级级，微软软提供了了五种等等级：不不受限的的、基本本用户、受限的的、不信信任的、不允许许的。不不受限的的，最高高的权限限等级，但其意意义并不不是完全全的不受受限，而而是“软软件访问问权由用用户的访访问权来来决定”，即继继承父进进程的权权限。基基本用户户，基本本用户仅仅享有“跳过遍遍历检查查”的特特权，并并拒绝享享有管理理员的权权限。受受限的，比基本本用户限限制更多多，也仅仅享有“跳过遍遍历检查查”的特特权。不不信任的的，不允允许对

17、系系统资源源、用户户资源进进行访问问，直接接的结果果就是程程序将无无法运行行。不允允许的，无条件件地阻止止程序执执行或文文件被打打开很容容易看出出，按权权限大小小排序为为 不受受限的 基基本用户户 受限的的 不信任任的 不允允许的其其中，基基本用户户 、受受限的、不信任任的 这这三个安安全等级级是要手手动打开开的具体体做法：打开注注册表编编辑器，展开至至HKEEY_LLOCAAL_MMACHHINEESOOFTWWAREEPoolicciessMiicroosofftWWinddowssSaaferrCoodeIIdenntiffierrs新建建一个DDOWRRD，命命名为LLeveels，其

18、值可可以为00 x1000000 /增增加受限限的0 xx200000 /增加加基本用用户0 xx300000 /增加加受限的的，基本本用户00 x3110000 /增增加受限限的，基基本用户户，不信信任的设设成0 xx310000（即411310000）即可如如图： HYPERLINK /attachment.php?aid=213949&k=a44108576e3d2774749b35e427f02ead&t=1215521817¬humb=yes 注册表编编辑器.jpgg (449.552 KKB)20088-3-5 114:116或者将下下面附件件中的rreg双双击导入入注册表表

19、即可 HYPERLINK file:/E:文档电脑教程组策略safer.rar ssafeer.rrar (2779 BBytees) HYPERLINK /attachment.php?aid=213950&k=ecfa2c040f4a9b2d59b277c3e1964cda&t=1215521817 safeer.rrar (2779 BBytees)LLeveels设设置下载载次数: 444420088-3-5 114:116再强调两两点：11.“不不允许的的”级别别不包含含任何FFD操作作。你可可以对一一个设定定成“不不允许的的”文件件进行读读取、复复制、粘粘贴、修修改、删删除等操操作

20、，组组策略不不会阻止止，前提提当然是是你的用用户级别别拥有修修改该文文件的权权限2.“不不受限的的”级别别不等于于完全不不受限制制，只是是不受软软件限制制策略的的附加限限制。事事实上，“不受受限的”程序在在启动时时，系统统将赋予予该程序序的父进进程的权权限字，该程序序所获得得的访问问令牌决决定于其其父进程程，所以以任何程程序的权权限将不不会超过过它的父父进程。权限的的分配与与继承:这里的的讲解默默认了一一个前提提：假设设你的用用户类型型是管理理员。在在没有软软件限制制策略的的情况下下，很简简单，如如果程序序a启动动程序bb，那么么a是bb的父进进程，bb继承aa的权限限现在把把a设为为基本用用

21、户，bb不做限限制（把把b设为为不受限限或者不不对b设设置规则则效果是是一样的的）然后后由a启启动b，那么bb的权限限继承于于a，也也是基本本用户，即:aa（基本本用户）- b（不不受限的的） = b（基本用用户）若若把b设设为基本本用户，a不做做限制，那么aa启动bb后，bb仍然为为基本用用户权限限，即aa（不受受限的）- b（基基本用户户） = b（基本用用户）可可以看到到，一个个程序所所能获得得的最终终权限取取决于：父进程程权限 和 规规则限定定的权限限 的最最低等级级，也就就是我们们所说的的最低权权限原则则举一个个例：若若我们把把IE设设成基本本用户等等级启动动，那么么由IEE执行的的

22、任何程程序的权权限都将将不高于于基本用用户级别别，只能能更低。所以就就可以达达到防范范网马的的效果即使使IE下下载病毒毒并执行行了，病病毒由于于权限的的限制，无法对对系统进进行有害害的更改改，如果果重启一一下，那那么病毒毒就只剩剩下尸体体了。甚甚至，我我们还可可以通过过NTFFS权限限的设置置，让IIE无法法下载和和运行病病毒，不不给病毒毒任何的的机会。FD：NTFFS权限限* 要要求磁盘盘分区为为NTFFS格式式 *其其实Miicroosofft WWinddowss 的每每个新版版本都对对 NTTFS 文件系系统进行行了改进进。NTTFS 的默认认权限对对大多数数组织而而言都已已够用。NT

23、FFS权限限的分配配1.如如果一个个用户属属于多个个组，那那么该用用户所获获得的权权限是各各个组的的叠加22.“拒拒绝”的的优先级级比“允允许”要要高例如如：用户户A 同同时属于于Admminiistrratoors和和Eveeryoone组组，若AAdmiinisstraatorrs组具具有完全全访问权权，但EEverryonne组拒拒绝对目目录的写写入，那那么用户户A的实实际权限限是：不不能对目目录写入入，但可可以进行行除此之之外的任任何操作作高级权权限名称称 描述述 （包包括了完完整的FFD和部部分ADD） 引用:遍历文件件夹/运运行文件件（遍历文文件夹可可以不管管，主要要是“运运行文件

24、件”，若若无此权权限则不不能启动动文件，相当于于AD的的运行应应用程序序）允许许或拒绝绝用户在在整个文文件夹中中移动以以到达其其他文件件或文件件夹的请请求，即即使用户户没有遍遍历文件件夹的权权限（仅仅适用于于文件夹夹）。列列出文件件夹/读读取数据据允许或或拒绝用用户查看看指定文文件夹内内文件名名和子文文件夹名名的请求求。它仅仅影响该该文件夹夹的内容容，而不不影响您您对其设设置权限限的文件件夹是否否会列出出（仅适适用于文文件夹）。读取取属性 （FDD的读取取）允许许或拒绝绝查看文文件中数数据的能能力（仅仅适用于于文件）。读取取扩展属属性允许许或拒绝绝用户查查看文件件或文件件夹属性性（例如如只读和

25、和隐藏）的请求求。属性性由 NNTFSS 定义义。创建建文件/写入数数据 （FD的的创建）“创建建文件”允许或或拒绝在在文件夹夹中创建建文件（仅适用用于文件件夹）。“写入入数据”允许或或拒绝对对文件进进行修改改并覆盖盖现有内内容的能能力（仅仅适用于于文件）。创建建文件夹夹/追加加数据“创建文文件夹”允许或或拒绝用用户在指指定文件件夹中创创建文件件夹的请请求（仅仅适用于于文件夹夹）。“追加数数据”允允许或拒拒绝对文文件末尾尾进行更更改而不不更改、删除或或覆盖现现有数据据的能力力（仅适适用于文文件）。写入属属性 （即改写写操作了了，FDD的写）允许或或拒绝用用户对文文件末尾尾进行更更改，而而不更改

26、改、删除除或覆盖盖现有数数据的请请求（仅仅适用于于文件）。即写操操作写入入扩展属属性允许许或拒绝绝用户更更改文件件或文件件夹属性性（例如如只读和和隐藏）的请求求。属性性由 NNTFSS 定义义。删除除子文件件夹和文文件 （FD的的删除）允许或或拒绝删删除子文文件夹和和文件的的能力，即使子子文件夹夹或文件件上没有有分配“删除”权限（适用于于文件夹夹）。删删除 （与上面面的区别别是，这这里除了了子目录录及其文文件，还还包括了了目录本本身）允允许或拒拒绝用户户删除子子文件夹夹和文件件的请求求，即使使子文件件夹或文文件上没没有分配配“删除除”权限限（适用用于文件件夹）。读取权权限 （NTFFS权限限的

27、查看看）允许许或拒绝绝用户读读取文件件或文件件夹权限限（例如如“完全全控制”、“读读取”和和“写入入”）的的请求。更改权权限 （NTFFS权限限的修改改）允许许或拒绝绝用户更更改文件件或文件件夹权限限（例如如“完全全控制”、“读读取”和和“写入入”）的的请求。取得所所有权 允许或或拒绝取取得文件件或文件件夹的所所有权。文件或或文件夹夹的所有有者始终终可以更更改其权权限，而而不论用用于保护护该文件件或文件件夹的现现有权限限如何。以基本用用户为例例，基本本用户能能做什么么？在系系统默认认的NTTFS权权限下，基本用用户对系系统变量量和用户户变量有有完全访访问权，对系统统文件夹夹只读，对Prrogr

28、ram Filles的的公共文文件夹只只读，DDocuumennt aand Setttinng下，仅对当当前用户户目录有有完全访访问权，其余不不能访问问如果觉觉得以上上的限制制严格了了或者宽宽松了，可以自自行调整整各个目目录和文文件的NNTFSS权限。如果发发现浏览览器在基基本用户户下无法法使用某某些功能能的，很很多都是是由于NNTFSS权限造造成的，可以尝尝试调整整对应的的NTFFS权限限基本用用户、受受限用户户属于以以下组UUserrsAuutheentiicatted UseersEEverryonneINNTERRACTTIVEE但受限限用户权权限更低低，无论论NTFFS权限限如何，

29、受限用用户始终终受到限限制。调调整权限限时，主主要利用用到的组组为 UUserrs例：对用户户变量TTempp目录进进行设置置，禁止止基本用用户从该该目录运运行程序序，可以以这样做做：首先先进入“高级”选项，取消勾勾选“从从父项继继承那些些可以应应用到子子对象的的权限项项目，包包括那些些在此明明确定义义的项目目(I)” HYPERLINK /attachment.php?aid=211493&k=e8d5d2d825b944998cac5e4975e1a457&t=1215521817¬humb=yes WINDDOWSS 的高高级安全全设置.jpgg (338.44 KBB)20088

30、-3-2 003:553然后设置置Useers的的权限如如图 HYPERLINK /attachment.php?aid=211492&k=3d124b976650b743858bc04ba41978b9&t=1215521817¬humb=yes 组策略NNTFSS.jppg (27.94 KB)20088-3-2 003:553这样基本本用户下下的程序序就无法法从Teemp启启动文件件了注意意：1. 不要要使用“拒绝”，不然然管理员员权限下下的程序序也会受受影响22. eeverryonne组的的权限适适用于任任何人、任何程程序，故故eveeryoone组组的权限限不能太太高，至至少

31、要低低于Usserss组其实实利用NNTFSS权限还还可以实实现很多多功能又又例如，如果想想保护某某些文件件不被修修改或删删除，可可以取消消Useers的的删除和和写入权权限，从从而限制制基本用用户，达达到保护护重要文文件的效效果当然然，也可可以防止止基本用用户运行行指定的的程序以以下为微微软建议议进行限限制的程程序：rregeeditt.exxearrp.eexeaat.eexeaattrrib.exeecaccls.exeedebbug.exeeedllin.exeeeveentccreaate.exeeeveentttrigggerrs.eexefftp.exeenbttstaat.ee

32、xennet.exeenett1.eexennetssh.eexennetsstatt.exxenssloookupp.exxenttbacckupp.exxerccp.eexerreg.exeereggedtt32.exeeregginii.exxereegsvvr322.exxereexecc.exxerooutee.exxerssh.eexessc.eexesseceeditt.exxesuubstt.exxesyysteeminnfo.exeetellnett.exxetfftp.exeetlnntsvvr.eexeRRD部分分：注册表表权限。由于微微软默认认的注册册表权限限分配已已经

33、做得得很好了了，不需需要作什什么改动动，所以以这里就就直接略略过了三三.关于于组策略略规则的的设置：规则要要顾及方方便性，因此不不能对自自己有过过多的限限制，或或者最低低限度地地，即使使出现限限制的情情况，也也能方便便地进行行排除规规则要顾顾及安全全性，首首先要考考虑的对对象就是是浏览器器等上网网类软件件和可移移动设备备所带来来的威胁胁。没有有这种防防外能力力的规则则都是不不完整或或者不合合格的基基于文件件名防病病毒、防防流氓的的规则不不宜多设设，甚至至可以舍舍弃。一一是容易易误阻，二是病病毒名字字可以随随便改，特征库库式的黑黑名单只只会跟杀杀软的病病毒库一一样滞后后。于是是，我们们有两种种方

34、案：如果想想限制少少一点的的，可以以只设防防“入口口”规则则，主要要面向UU盘和浏浏览器如如果想安安全系数数更高、全面一一点的，可以考考虑全局局规则+白名单单具体内内容见二二楼待续续.最最后布置置几道作作业 ，看看大大家对上上面的内内容消化化得如何何 1. 在在规则“F:*.*不允允许”下下，下面面那些文文件不能能被打开开？A:F:a.eexeBB.F:Fooldeer.11b.exeeC.FF:FFoldder11Fooldeer.22C.txttD.FF:FFoldder11Fooldeer.22Fooldeer.33d.exee2. 在在以管理理员身份份登陆的的情况下下，建立立规则如如下

35、：%Temmp% 受限的的%USSERPPROFFILEE%LLocaal SSetttinggsTTempporaary Intternnet Filles 不允许许的%PProggrammFilles%Innterrnett Exxploorerrieexplloree.exxe 基基本用户户%HKKEY_CURRRENNT_UUSERRSooftwwareeMiicroosofftWWinddowssCuurreentVVerssionnExxploorerrShhelll FooldeersDessktoop%不受受限的在在这四条条规则下下，假设设这样的的情况：iexxploore.e

36、xee 下载载一个ttestt.exxe到TTempporaary Intternnet Filles目目录，然然后复制制到Teemp目目录，再再从Teemp目目录中运运行teest.exee，（复复制和运运行的操操作都是是IE在在做），然后由由texxt.eexe释释放teest22.exxe到桌桌面，并并运行ttestt2.eexe。那么ttestt2.eexe的的访问令令牌为：A.不不受限的的 BB.不允允许的 CC.基本本用户 D.受受限的33. 试试说出 F:winn* 和和 F:wiin* 的区区别4. 若想想限制QQQ的行行为，例例如右下下方弹出出的广告告，并不不允许QQQ调用用

37、浏览器器，可以以怎么做做？答对对两题即即及格。不过貌貌似还是是有些难难度规则部分分基础部部分，如如何建立立规则：首先，打开组组策略开开始-运运行，输输入 “gpeeditt.mssc”（不包含含引号）并回车车。在弹弹出的对对话框中中，依次次展开 计算机机配置-Winndowws设置置-安全全设置-软件限限制策略略如果你你之前没没有配置置过软件件限制策策略，那那么可以以在菜单单栏上选选择 操操作-创创建新的的策略如如图 HYPERLINK /attachment.php?aid=212764&k=17aa7849085262be406fcadfcd3f619e&t=1215521817¬h

38、umb=yes 创建规则则.jppg (33.71 KB)20088-3-4 000:113然后转到到“其它它规则”项，在在菜单栏栏选择“操作”，在下下拉菜单单选择“新路径径规则”在弹出出的对话话框中，就可以以编辑规规则了 HYPERLINK /attachment.php?aid=212763&k=8727232394b04f85b6932c287aaccf31&t=1215521817¬humb=yes 建立规则则.jppg (31.71 KB)20088-3-4 000:113华华丽丽的的分割线线软件件限制策策略的其其实并不不复杂，在规则则设置上上是十分分简单的的，只有有五个安安全

39、级别别，不像像HIPPS那样样，光AAD部分分就细分分成N项项。但软软件限制制策略的的难点在在于：如如何确保保你的规规则真正正有效并并按你的的意愿去去工作，即如何何保证规规则的正正确性和和有效性性。从四四道题目目的答对对率来看看，发现现问题还还是不少少的 附上题题目的参参考答案案引用:1.D考考点：注注2、注注4、注注7这题题的C选选项是陷陷阱，因因为TXXT文件件不在规规则的阻阻挡范围围之内。D项参参考注77，F:Fooldeer1Follderr.2Follderr.3 （注意意“.”）正好好能匹配配 F:*.*，因此此Follderr.3下下面的EEXE文文件不能能被打开开2.DD说明：

40、此题的的考点为为“ADD权限的的分配/最低权权限原则则”我们们先整理理一下父父子进程程的关系系：ieexplloree.exxe - ttestt.exxe - ttestt2.eexe（基本用用户） （受限限的）（受受限的）其中，tesst.eexe从从Temmp目录录启动，受规则则“%TTempp%受限的的”的限限制，其其权限降降为“受受限的”。teest22.exxe从桌桌面启动动，虽然然桌面的的程序是是不受限限的，但但由于其其父进程程为teest.exee，故继继承teest.exee的权限限，故ttestt2.eexe的的最终获获得访问问令牌还还是“受受限的”另外要要注意的的是，复复

41、制、创创建文件件等操作作都不会会构成权权限的继继承3.考点：注1、注3、综合分分析说明明：F:wiin* 和 FF:wwin* 仅仅相差一一个字符符 “”，由由注1可可知，* 并不不包括斜斜杠。那那么斜杠杠“”在这里里的作用用是什么么？实际际上，这这个斜杠杠在规则则中的作作用相当当于声明明斜杠前前的路径径指的是是目录，而不是是文件，注意到到这点后后，就可可以看出出区别了了：F:wiin* 既可以以匹配到到 F:wiindoows、F:winndirr、F:wiinraar等目目录，也也可以匹匹配到FF:wwinrrar.exee、F:wiinNTT.baat等文文件而FF:wwin* 仅仅能匹

42、配配到目录录4.考考点：NNTFSS权限此此题答案案不唯一一，只要要是合理理可行的的方案即即可下面面答案仅仅供参考考：限制制QQ的的行为，可以把把QQ设设为基本本用户。防止QQQ广告告，可以以对Teenceent下下的ADD目录调调整NTTFS权权限取消UUserrs组的的创建、写入权权限不允允许QQQ调用浏浏览器，可以对对IE调调整NTTFS权权限取消UUserrs组的的“读取取和运行行”的权权限HYPERLINK 参考答答案.rrar tt _blaank参考答答案.rrar (10019 Byttes) HYPERLINK /attachment.php?aid=212767&k=c0b

43、b9a2b284812540f6aaffd49b3d039&t=1215521817 参考答案案.raar (10119 BBytees)下下载次数数: 117320088-3-4 000:113下面将详详细讨论论规则部部分一、再次强强调一下下通配符符的使用用Winndowws里面面默认* ：任任意个字字符（包包括0个个），但但不包括括斜杠? ：11个或00个字符符在组策策略中*不包括括斜杠，这和HHIPSS是不同同的，一一定要注注意例如如：C:Wiindoowssysstemm32 可以表表示为 *syysteem322而以下下的表达达式都是是无效的的：*sysstemm32 、syyste

44、em322*、sysstemm32二二、根目目录规则则软件限限制策略略对初学学者来说说有一定定的难度度，因为为它没有有HIPPS那么么丰富的的功能选选项，故故利用规规则实现现某一功功能需要要一定的的技巧。根目录录规则就就是一例例（禁止止在某个个目录的的根目录录下的程程序行为为）若在在EQ中中，设置置规则时时取消“包含该该目录下下面的所所有文件件”选项项就可以以保证规规则仅对对根目录录起效而而组策略略却不是是那么简简单就可可以做到到。看看看下面的的规则： 引用:C:PProggramm Fiiless*.* 不不允许的的前面已经经提过，* 不不包含斜斜杠，因因此这个个规则可可视为PProggra

45、mm Fiiless的根目目录规则则。在此此规则下下，形如如 C:Prrogrram Fillesa.eexe 等程序序将不能能启动。但这规规则可能能导致一一些问题题，因为为通配符符即可以以匹配到到文件，也可以以匹配到到文件夹夹。如果果Proograam FFilees存在在带有“.”的的目录（形如CC:PProggramm FiilessTTTplaayerr5.22），一一样可以以和规则则 C:Prrogrram Filles*.* 匹配配，这将将导致该该文件夹夹下的程程序无法法运行，造成误误伤。改改进一下下的话，可以用用两条规规则来实实现根目目录限制制如 引用:C:PProggramm

46、Fiiless 不不允许的的C:Proograam FFilees*不受限限的这样就保保证了子子目录的的程序不不受规则则影响三三、一些些规则的的模板根根目录规规则： 某某目录* + 某目目录*目目录规则则（包含含目录中中所有文文件）： 某目目录* 或 某目录录 或或 某目目录含“*”的的目录规规则： 某某目录* （注注意要加加上斜杠杠“”）文件件型规则则： a.exee 、*.coom 等等绝对路路径规则则： 如 CC:WWinddowssexxploorerr.exxe全局局型规则则： *这里里需要说说明的是是，为什什么全局局型规则则要使用用“*”？因为为 * 属于仅仅有通配配符的规规则，其

47、其覆盖范范围是最最大的，而优先先级是最最低的，不会遗遗漏，便便于排除除，最适适合作为为全局规规则。对对比“*.*”，一个个字符“.”的的存在使使规则的的优先级级提高了了，这将将会给排排除工作作带来不不便四、规则实实例1. 保证证上网安安全很多多人问，浏览毒毒网时，病毒会会下载到到什么位位置执行行？首先先是，下下载到网网页缓存存中（CConttentt.IEE5），这点很很多人都都注意到到了。不不过呢，病毒一一般却不不会选择择在缓存存中执行行，而是是通过浏浏览器复复制病毒毒文件到到其它目目录，例例如Wiindoows。sysstemm32、Temmp，当当前用户户文件夹夹、桌面面、系统统盘根目目

48、录、PProggrammFilles根根目录及及其公有有子目录录、浏览览器所在在目录等等所以在在这里再再重复一一次已说说过N次次的话，不要以以为把缓缓存目录录设为不不允许的的就万事事大吉了了。 至于防防范，比比较好的的方法就就是禁止止浏览器器在敏感感位置新新建文件件，这点点使用“浏览器器基本用用户”就就可以做做到，规规则如下下 引用:%ProograamFiiless%IInteerneet EExplloreeriiexpplorre.eexe基本本用户如果使用用的是其其它浏览览器，也也可以设设成 基基本用户户若配合合以下规规则，效效果更佳佳： 引用:*Doocummentts aand S

49、etttinngs不允允许的 程序一一般不会会从Doocummentts aand Setttinngs中中启动%ALLLAPPPDATTA%* 不受受限的 允许程程序从AAppllicaatioon DDataa的子目目录启动动%APPPDAATA% 不允许许的 当当前用户户的Apppliicattionn Daata目目录限制制%APPPDAATA%* 不受限限的 允允许程序序从Apppliicattionn Daata的的子目录录启动%SysstemmDriive%*.* 不不允许的的 禁止止程序从从系统盘盘根目录录启动%Temmp% 不受限限的 允允许程序序从Teemp目目录启动动，安

50、装装软件必必须%TTMP% 不受限限的 同同上并设置用用户变量量Temmp的NNTFSS权限：Temmp的默默认路径径为 DDocuumennts andd SeettiingssAddminnisttrattorLoccal SetttinngsTemmp在系系统盘格格式为NNTFSS的情况况下，右右击Teemp文文件夹，选择“安全”项，取取消Usserss组的“读取与与运行”权限即即可。（同时要要取消EEverryonne组的的访问权权，且保保证Addminnisttrattorss组具有有完全访访问权限限）如此此设置的的作用是是：基本本用户下下的程序序将无法法从Teemp文文件夹运运行程

51、序序2.UU盘规则则比较实实际的做做法是 引用:U盘:* 不允许许的、不不信任的的、受限限的，都都可以不允许的的安全度度更高一一些，这这样也不不会影响响U盘的的一般使使用（正正常拷贝贝、删除除等）假假设你的的U盘一一般盘符符是I，那么规规则可以以写成： 引用:I:*不不允许的的3.双后后缀文件件防范规规则以下下是微软软的帮助助： 引用:注意某些些病毒使使用的文文件具有有两个扩扩展名以以使得危危险文件件看起来来像安全全的文件件。例如如，Doocummentt.txxt.eexe 或 PPhottos.jpgg.exxe。最最后面的的扩展名名是 WWinddowss 将尝尝试打开开的扩展展名。具具

52、有两个个扩展名名的合法法文件非非常少，因此避避免下载载或打开开这种类类型的文文件。 有些文文件下载载起来比比程序或或宏文件件更安全全，例如如文本 (.ttxt) 或图图像 (.jppg, .giif, .pnng) 文件。但是，仍然要要警惕未未知的来来源，因因为已知知这些文文件中的的一些文文件使用用了特意意精心设设计的格格式，可可以利用用计算机机系统的的漏洞。双后缀文文件可能能的形式式比较多多，这里里仅放出出谍照一一张 HYPERLINK /attachment.php?aid=212765&k=a3b33b25d2494c017108f06a0218b62a&t=1215521817¬

53、humb=yes 双后缀nn.jppg (74.64 KB)20088-3-4 000:1134.全局局规则就就一条： 引用:* 基本本用户如果设成成受限的的或者不不信任/不允许许的话，无疑会会更安全全，但也也会带来来一些不不便。综综合考虑虑还是基基本用户户比较适适合在全全局规则则下，肯肯定需要要对合法法的程序序进行排排除的。在排除除的时候候，你就就会发现现使用 * 作作为全局局规则的的优越性性了任何一一条规则则的优先先级都比比它高，所以我我们可以以很方便便地进行行排除。为了减减少排除除的工作作量，这这里建议议大家把把软件集集中安装装在少数数的目录录，例如如ProograamFiiless目录

54、，那么排排除时就就可以对对整个目目录进行行，不必必慢慢添添加示例例排除规规则： 引用:%ProograamFiiless%不受限限的 （软软件所在在目录）*AAppllicaatioonSeetupps 不受受限的（安安装软件件用的文文件夹）还要排除除一些文文件格式式，以使使其被正正常打开开： 引用:*.lnnk 不受受限的*.adde 不受限限的*.adpp 不不受限的的*.mmsi 不受受限的*.mssp 不受限限的*.chmm 不不受限的的*.hhlp 不受受限的*.pccd 不受限限的5. 其其它辅助助规则CCMD限限制策略略： 引用:%Commspeec% 基基本用户户注意：在在组策

55、略略中，微微软把ccmd.exee和批处处理是分分开处理理的，即即使把ccmd设设成“不不允许的的”，仍仍然可以以运行.batt等批处处理由于于桌面一一般只放放快捷方方式，所所以 引用:%HKEEY_CCURRRENTT_USSERSofftwaareMiccrossofttWiindoowsCurrrenntVeersiionExpplorrerSheell FollderrsDDeskktopp%不允许许的同时要让让快捷方方式能够够正常工工作： 引用:*.lnnk 不受限限的计划任务务功能很很少会用用到，所所以 引用:%SysstemmRooot%tassk 不不允许的的帮助文件件阅读器器

56、的管制制策略： 引用:%WinnDirr%hhh.eexe 基本用用户（防范范CHMM捆毒）%WiinDiir%winnhellp.eexe 基本用用户%WWinDDir%wiinhllp322.exxe 基基本用户户脚本宿主主管制 引用:%WinnDirr%ssysttem332?scrriptt.exxe受限的的（或者者直接不不允许）一些不会会有程序序启动的的位置、一些极极少用到到的系统统程序，你不用用但病毒毒会用，所以建建议禁止止.规规则可以以有很多多，大可可自己发发挥，放放出图一一张： HYPERLINK /attachment.php?aid=212766&k=de2143ce536

57、9a5a149cf6db18f65e92b&t=1215521817¬humb=yes 系统程序序.jppg (69.96 KB)20088-3-4 000:113禁止伪装装系统程程序如： 引用:lsasss.eexe 不不允许的的%WiinDiir%sysstemm32lsaass.exee 不受限限的剩下的规规则就留留给各位位自由发发挥了 华丽丽丽的分分割线，怎么? 不够够华丽？至至此，教教程完毕毕 组策略略规则发发布：根根据防入入口和全全局防护护的思路路，做了了两套规规则简单规规则和全全局规则则 简单规规则说明明：以基基本用户户限制主主流浏览览器Avvantt.exxe BBrexxpo.exee fiireffox.exee GEE.exxe GGreeenBrrowsser.exee gssfbwwsr.exee ieexplloree.exxe MMaxFFox.exee maaxthhon.exee miiniiie.eexe nettscaape.exee opperaa.exxe OOrcaa.exxe rreallplaay.eexe Saffarii.exxe SSeaMMonkkey.exee