天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 软件频道 > 操作系统 > Windows>评测>Windows软件限制策略规则编写示例

Windows软件限制策略规则编写示例

天极网软件频道2008-08-17 05:10我要吐槽

  对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。

  软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略

  本系列文章将从以下几方面为重点来进行讲解:

  ·概述
  ·附加规则和安全级别
  ·软件限制策略的优先权
  ·规则的权限分配及继承
  ·如何编写规则
  ·示例规则

  今天我们介绍Windows的组策略中软件限制策略规则编写示例

  根目录规则

  如果我们要限制某个目录下的程序运行,一般是创建诸如:

  C:\Program Files\*.*  不允许

  这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录
下存在如 SiteMapBuilder.NET 这样的目录(如C:\Program Files\SiteMapBuilder.NET\Site Map Builder.NET),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:

  C:\Program Files     不允许的
  C:\Program Files\*\  不受限的

  这样就排除了子目录,从而不会造成误伤。

  上网安全的规则

  我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身
复制到系统敏感位置,比如 windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则:

  %ProgramFiles%\Internet Explorer\iexplore.exe  基本用户
  %UserProfile%\Local Settings\Temporary Internet Files\**  不允许的
  %UserProfile%\Local Settings\Temporary Internet Files\*  不允许的
  %UserProfile%\Local Settings\Temporary Internet Files\  不允许的
  %UserProfile%\Local Settings\Temporary Internet Files  不允许的

  如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。  

  U盘规则

  比较实际的作法:

  U盘符:\*   不允许的 不信任的 受限的  都可以

  不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。

  CMD限制策略

   %Comspec%   基本用户

  这里要注意的是系统对于CMD和批处理文件是分开处理的,即使对CMD设置了不允许,仍然可以运行批处理

  对于一些系统中平时我们极少用,但存在潜在威胁的程序我们也要进行限制。比如ftp.exe、 tftp.exe、 telnet.exe、 net.exe 、net1.exe 、debug.exe 、at.exe、 arp.exe 、wscript.exe、 cscript.exe等等,都可以将其设置为受限的或者直接设成不允许的。

  禁止伪装的系统进程

  svchost.exe  不允许的
  C:\Windows\System32\Svchost.exe  不受限的

  如果你有兴趣,有精神,还可以为系统的所有进程做一个白名单,这样安全性可能会更高。

  其它规则大家可以自由发挥。

  策略的备份

  最后提一下策略的备份。不能这么辛苦做完下次重做系统再来一次吧,呵呵,备份很简单,我们可以通过导出注册表来备份(不提倡,也就不介绍了)。
  也可以通过直接备份文件来备份,打开 C:\WINDOWS\system32\GroupPolicy\Machine ,在这个目录下有一个 Registry.pol 文件,对,就是它了。备份它,重做系统后直接COPY过来就可以了,当然你也可以将你的策略分享给更多人使用。这里有一点要注意的,就是这个Machine文件夹如果没有,千万不能手动建立,否则无效,可以使用我们前面介绍过的创建策略的方法,创建以后就会生成这个文件夹,也可以你在备份的时候直接备份这个文件夹。千万要记得不能手动建立。如果你不想使用这些策略了,很简单,将 Registry.pol 文件改名或者删除即可。

分页导航
作者:蓝色理想 yydyao责任编辑:Shiny)

请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
热点推荐
微软Windows 10操作系统Win10系统在Win8的基础上对界面、特性以及跨平台方面做了诸多优化。[详细]
Windows 10 新视界 [进入频道][使用技巧][微博互动]