Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows XP系統教程 >> 關於XP系統教程 >> Windows組策略中軟件限制策略規則編寫示例(1)

Windows組策略中軟件限制策略規則編寫示例(1)

日期:2017/1/23 17:08:01      編輯:關於XP系統教程

  對於Windows的組策略,也許大家使用的更多的只是“管理模板”裡的各項功能。對於“軟件限制策略”相信用過的朋友們不是很多。

  軟件限制策略如果用的好的話,相信可以和某些HIPS類軟件相類比了。如果再結合NTFS權限和注冊表權限,完全可以實現系統的全方位的安全配置,同時由於這是系統內置的功能,與系統無縫結合,不會占用額外的CPU及內存資源,更不會有不兼容的現象,由於其位於系統的最底層,其攔截能力也是其它軟件所無法比擬的,不足之處則是其設置不夠靈活和智能,不會詢問用戶。下面我們就來全面的了解一下軟件限制策略。

  本系列文章將從以下幾方面為重點來進行講解:

  ·概述
  ·附加規則和安全級別
  ·軟件限制策略的優先權
  ·規則的權限分配及繼承
  ·如何編寫規則
  ·示例規則

  今天我們介紹Windows的組策略中軟件限制策略規則編寫示例。

  根目錄規則

  如果我們要限制某個目錄下的程序運行,一般是創建諸如:

  C:\Program Files\*.*  不允許

  這樣的規則,看起來是沒有問題的,但在特殊情況下則可能引起誤傷,因為通配符即可以匹配到文件,也可以匹配到文件夾。如果此目錄
下存在如 SiteMapBuilder.NET 這樣的目錄(如C:\Program Files\SiteMapBuilder.NET\Site Map Builder.NET),同樣可以和規則匹配,從而造成誤傷,解決方法是對規則進行修改:

  C:\Program Files     不允許的
  C:\Program Files\*\  不受限的

  這樣就排除了子目錄,從而不會造成誤傷。

  上網安全的規則

  我們很多時候中毒,都是在浏覽網頁時中的毒,在我們浏覽網頁時,病毒會通過浏覽器漏洞自動下載到網頁緩存文件夾中,然後再將自身
復制到系統敏感位置,比如 windows system32 program files等等目錄下,然後運行。所以單純的對浏覽器緩存文件夾進行限制是不夠的。比較實用的防范方法就是禁止IE浏覽器在系統敏感位置創建文件,基於此,我們可以創建如下規則:

  %ProgramFiles%\Internet Explorer\iexplore.exe  基本用戶
  %UserProfile%\Local Settings\Temporary Internet Files\**  不允許的
  %UserProfile%\Local Settings\Temporary Internet Files\*  不允許的
  %UserProfile%\Local Settings\Temporary Internet Files\  不允許的
  %UserProfile%\Local Settings\Temporary Internet Files  不允許的

  如果你使用的是其它浏覽器,同樣將其設置為“基本用戶”即可。  

  U盤規則

  比較實際的作法:

  U盤符:\*   不允許的 不信任的 受限的  都可以

  不過設為不允許的安全度更高,也不會對U盤的正常操作有什麼限制。

  CMD限制策略

   %Comspec%   基本用戶

  這裡要注意的是系統對於CMD和批處理文件是分開處理的,即使對CMD設置了不允許,仍然可以運行批處理

  對於一些系統中平時我們極少用,但存在潛在威脅的程序我們也要進行限制。比如ftp.exe、 tftp.exe、 telnet.exe、 net.exe 、net1.exe 、debug.exe 、at.exe、 arp.exe 、wscript.exe、 cscript.exe等等,都可以將其設置為受限的或者直接設成不允許的。

  禁止偽裝的系統進程

  svchost.exe  不允許的
  C:\Windows\System32\Svchost.exe  不受限的

  如果你有興趣,有精神,還可以為系統的所有進程做一個白名單,這樣安全性可能會更高。

  其它規則大家可以自由發揮。

  策略的備份

  最後提一下策略的備份。不能這麼辛苦做完下次重做系統再來一次吧,呵呵,備份很簡單,我們可以通過導出注冊表來備份(不提倡,也就不介紹了)。
  也可以通過直接備份文件來備份,打開 C:\WINDOWS\system32\GroupPolicy\Machine ,在這個目錄下有一個 Registry.pol 文件,對,就是它了。備份它,重做系統後直接COPY過來就可以了,當然你也可以將你的策略分享給更多人使用。這裡有一點要注意的,就是這個Machine文件夾如果沒有,千萬不能手動建立,否則無效,可以使用我們前面介紹過的創建策略的方法,創建以後就會生成這個文件夾,也可以你在備份的時候直接備份這個文件夾。千萬要記得不能手動建立。如果你不想使用這些策略了,很簡單,將 Registry.pol 文件改名或者刪除即可。

Copyright © Windows教程網 All Rights Reserved