要设置组策略

1、要设置组策略，先了解下系统环境变量和通配符，以及优先级环境变量在C盘为系统盘的情况下：%USERPROFILE%表示 C:Documents and Settings当前用户名这个文件夹%ALLUSERSPROFILE%表示 C:Documents and SettingsAll Users%APPDATA%表示 C:Documents and Settings当前用户名Application Data%ALLAPPDATA%表示 C:Documents and SettingsAll UsersApplication Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE%表示C

2、:%SYSTEMROOT%表示 C:WINDOWS%WINDIR%表示 C:WINDOWS%TEMP% 和 %TMP%表示 C:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles%表示 C:Program Files%CommonProgramFiles%表示 C:Program FilesCommon Files通配符?-表示任意单个字符*-任意个字符（包括0个），但不包括斜杠*或*?- 表示零个或多个含有反斜杠的字符,即包含子文件夹这里是网上的例子：*Windows 匹配 C:Windows、D:Windows、E:Wind

3、ows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的所有子文件夹。*.vbs匹配具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录路径规则优先级:1.绝对路径 通配符相对路径如 C:Windowsexplorer.exe *Windowsexplorer.exe 2.文件型规则 目录型规则如若a.exe在Windows目录中，那么 a.exe C:Windows注：如何区分文件规

4、则和目录规则？不严格地说，其区分标志为字符“.”。例如, *.* 就比 C:WINDOWS 的优先级要高，如果要排除WINDOWS根目录下的程序，就需要这样做 C:WINDOWS*.*而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.若两条规则路径等效，那么合成的结果是：从严处

5、理，以最低的权限为准。如“C:Windowsexplorer.exe 不受限的” + “C:Windowsexplorer.exe 不允许的”结果为“C:Windowsexplorer.exe 不允许的总的来说，就是路径越明显详细，该规则就越优先上面这些了解了以后，我们打开组策略编辑器 HYPERLINK HYPERLINK 4条默认规规则说明明整个Wiindoows目目录不受受限Wiindoows下下的exxe文件件不受限限Sysstemm32下下的exxe文件件不受限限整个PrrogrramFFilees目录录不受限限我们右键键新建图图中使用用系统变变量，而而且是绝绝对路径径，这样样的规则

6、则优先于于下面的的这种基基于文件件名的规规则这里里举个例例子说明明绝对路路径的优优先性如如果我们们只想运运行系统统盘SYYSTEEM322下的SVVCHOOST.exee(防止止病毒从从其它位位置启动动一个名名为SVVCHOOST.exee的文件件)就需要要添加下下面的两两个路径径规则规规则1：%SYYSTEEMROOOT%syysteem322svvchoost.exee 或者C:WINNDOWWS sysstemm32svcchosst.eexe不不受限的的（绝对对路径,优先于于下面的的规则）规则2：Svchost.exe不允许的（基于文件名）简单理解，规则1是规则2的例外，对于Explo

7、rer.exe, lsass.exe 也需要这样对应设置，主要是路径，千万不要没有例外哦这样，我们可以利用基于文件名的规则，限制一些仿冒的东西，如下图注意不要限制*.*.exe这样的因为有些软件带有版本号，比如srengLDR2.0.exe这样就会导致正常软件不能运行限制双后缀的程序，要更加明确才行，最好是 *.jpg.exe这样添加或者 *.?.exe当然这样碰见这样的ice2.014.exe的正常程序也会限制小的我图省事，就把正常程序版本号的点去了。我用的就是*.*.exe路径规则模板：若要阻止程序从某个文件夹及所有子目录中启动，需要添加的规则应为：某目录* 不允许的某目录* 不允许的某目

8、录 不允许的某目录 不允许的只限制某文件夹，不限制子目录，规则为： HYPERLINK HYPERLINK HYPERLINK HYPERLINK 某目录 不不允许的的某目录录* 不受受限的实用规则计计划任务务禁止：%SysttemRRoott%ttaskk 不允允许的防止CHMM帮助文文档捆毒毒：%WinDDir%hhh.exxe 受受限的%WinnDirr%wwinhhelpp.exxe 受受限的%WinnDirr%wwinhhlp332.eexe 受限的的U盘规则:U盘盘符:* 不允许许的或不不信任的的或受限限的证书书规则没没用过不不说了散散列规则则(校验验和规则则)通常常用来阻阻止特定

9、定文件，主主要原理理是文件件有一个个散列值值，通过过这个，来来限制病病毒和木木马运行行我们可可以去下下载样本本（可别别运行啊啊），在在其它规规则中，新新建散列列规则点点击浏览览，找到到病毒执执行文件件，设置置限制即即可PSS：猫叔叔的解释释校验和和规则根据文文件MDD5值识识别文件件的规则则。一条条校验和和规则对对N个具有相相同MDD5值的的文件均均有效。路径规则根据路径及文件名识别文件的规则。一般一条明确指出具体路径及文件名的路径规则只对一个特定的文件有效。注意：1.“不允许的”级别，你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户

10、级别拥有修改该文件的权限2.“不受限的”级别，不等于完全不受限制，只是不受软件限制策略的附加限制（受父进程权限的限制）3.C:Windowssystem32GroupPolicyMachineRegistry.pol是我们的组策略配置文件，可以备份和共享给他人4.磁碟机会删除C:Windowssystem32GroupPolicy目录5.对于用户自己安装的软件的规则，按情况添加看了很多地方的文章，虽然这些真的有点儿复杂，但是这些体会希望大家能明白组策略没有防范ARP等的措施，它只是辅助Windows本身既然有这些功能，为什么如果好好利用配合一下杀软？那么即可以加强安全防范，又解决了易用性，毕竟瑞星主动防御界面要友好简单得多在使用瑞星时，相信不是所有的人，对于这些“规则”是什么东西都十分清楚，学习组策略和