要设置组策略

欢迎阅读本文档，希望本文档能够对您有所帮助！欢迎阅读本文档，希望本文档能够对您有所帮助！感谢阅读本文档，希望本文档能够对您有所帮助！感谢阅读本文档，希望本文档能够对您有所帮助！欢迎阅读本文档，希望本文档能够对您有所帮助！感谢阅读本文档，希望本文档能够对您有所帮助！要设置组策略，先了解下系统环境变量和通配符，以及优先级

环境变量

在C盘为系统盘的情况下：

%USERPROFILE%

表示C:\DocumentsandSettings\当前用户名这个文件夹

%ALLUSERSPROFILE%

表示C:\DocumentsandSettings\AllUsers

%APPDATA%

表示C:\DocumentsandSettings\当前用户名\ApplicationData

%ALLAPPDATA%

表示C:\DocumentsandSettings\AllUsers\ApplicationData

%SYSTEMDRIVE%表示C:

%HOMEDRIVE%

表示C:\

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP%和%TMP%

表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

通配符

?

---------------表示任意单个字符

*

---------------任意个字符（包括0个），但不包括斜杠

**或*?----------------表示零个或多个含有反斜杠的字符,即包含子文件夹

这里是网上的例子：

*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每个目录下的所有子文件夹。

C:\win*匹配C:\winnt、C:\windows、C:\windir以及每个目录下的所有子文件夹。

*.vbs匹配

具有此扩展名的任何应用程序。

C:\ApplicationFiles\*.*匹配特定目录（ApplicationFiles）中的应用程序文件，但不包括ApplicationFiles的子目录

路径规则优先级:

1.绝对路径>通配符相对路径

如C:\Windows\explorer.exe>*\Windows\explorer.exe

2.文件型规则>目录型规则

如若a.exe在Windows目录中，那么a.exe>C:\Windows

注：如何区分文件规则和目录规则？不严格地说，其区分标志为字符“.”。

例如,*.*就比C:\WINDOWS的优先级要高，如果要排除WINDOWS根目录下的程序，就需要这样做C:\WINDOWS\*.*

而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。

3.环境变量=相应的实际路径=注册表键值路径

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.若两条规则路径等效，那么合成的结果是：从严处理，以最低的权限为准。

如“C:\Windows\explorer.exe不受限的”+“C:\Windows\explorer.exe不允许的”结果为“C:\Windows\explorer.exe不允许的

总的来说，就是路径越明显详细，该规则就越优先上面这些了解了以后，我们打开组策略编辑器

4条默认规则说明

整个Windows目录不受限

Windows下的exe文件不受限

System32下的exe文件不受限

整个ProgramFiles目录不受限

我们右键新建

图中使用系统变量，而且是绝对路径，这样的规则优先于下面的这种基于文件名的规则

这里举个例子说明绝对路径的优先性

如果我们只想运行系统盘SYSTEM32下的SVCHOST.exe(防止病毒从其它位置启动一个名为SVCHOST.exe的文件)

就需要添加下面的两个路径规则

规则1：

%SYSTEMROOT%\system32\svchost.exe或者C:\WINDOWS\system32\svchost.exe

不受限的（绝对路径,优先于下面的规则）

规则2：

Svchost.exe

不允许的（基于文件名）

简单理解，规则1是规则2的例外，对于Explorer.exe,lsass.exe也需要这样对应设置，主要是路径，千万不要没有例外哦

这样，我们可以利用基于文件名的规则，限制一些仿冒的东西，如下图

注意不要限制*.*.exe这样的因为有些软件带有版本号，比如srengLDR2.0.exe这样就会导致正常软件不能运行

限制双后缀的程序，要更加明确才行，最好是*.jpg.exe这样添加或者*.???.exe

当然这样碰见这样的ice2.014.exe的正常程序也会限制

小的我图省事，就把正常程序版本号的点去了。。。我用的就是*.*.exe

路径规则模板：

若要阻止程序从某个文件夹及所有子目录中启动，需要添加的规则应为：

某目录\**不允许的

某目录\*不允许的

某目录\不允许的

某目录不允许的

只限制某文件夹，不限制子目录，规则为：

某目录不允许的

某目录\*\不受限的

实用规则

计划任务禁止：%SystemRoot%\task不允许的

防止CHM帮助文档捆毒：%WinDir%\hh.exe受限的

%WinDir%\winhelp.exe受限的

%WinDir%\winhlp32.exe受限的

U盘规则:U盘盘符:\*不允许的或不信任的或受限的

证书规则没用过不说了

散列规则(校验和规则)通常用来阻止特定文件，主要原理是文件有一个散列值，通过这个，来限制病毒和木马运行

我们可以去下载样本（可别运行啊），在其它规则中，新建散列规则

点击浏览，找到病毒执行文件，设置限制即可

PS：猫叔的解释

校验和规则－－－－根据文件MD5值识别文件的规则。一条校验和规则对N个具有相同MD5值的文件均有效。

路径规则－－－根据路径及文件名识别文件的规则。一般一条明确指出具体路径及文件名的路径规则只对一个特定的文件有效。

注意：

1.“不允许的”级别，你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限

2.“不受限的”级别，不等于完全不受限制，只是不受软件限制策略的附加限制（受父进程权限的限制）

3.C:\Windows\system32\GroupPolicy\Machine\Registry.pol是我们的组策略配置文件，可以备份和共享给他人

4.磁碟机会删除C:\Windows\system32\GroupPolicy\目录

5.对于用户自己安装的软件的规则，按情况添加

看了很多地方的文章，虽然这些真的有点儿复杂，但是这些体会

希望大家能明白

组策略没有防范ARP等的措施，它只是辅助

Windows本身既然有这些功能，为什么如果好好利用配合一下杀软？

那么即可以加强安全防范，又解决了易用性，毕竟瑞星主动防御界面要友好简单得多

在使用瑞星时，相信不是所