組策略軟件限制策略

1、組策略軟件限制策略導讀實際上，本教程主要為以下內容：理論部分：1.軟件限制策略的路徑規(guī)則的優(yōu)先級問題2.在路徑規(guī)則中如何使用通配符3.規(guī)則的權限繼承問題4.軟件限制策略如何實現(xiàn)3D部署（難點是NTFS權限），軟件限制策略的精髓在于權限，如何部署策略也就是如何設置權限規(guī)則部分：5.如何用軟件限制策略防毒（也就是如何寫規(guī)則）6.規(guī)則的示例與下載理論部分軟件限制策略包括證書規(guī)則、散列規(guī)則、Internet 區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則，其中靈活性最好的就是路徑規(guī)則了，所以一般我們談到的策略規(guī)則，若沒有特別說明，則直接指路徑規(guī)則。一.環(huán)境境變量、通配符符和優(yōu)先先級關于于環(huán)境變

2、變量（假假定系統(tǒng)統(tǒng)盤為 C盤） %USSERPPROFFILEE% 表示示 C:Doocummentts aand Setttinngs當前用用戶名 %HOOMEPPATHH% 表表示 C:Doccumeentss annd SSetttinggs當當前用戶戶名%AALLUUSERRSPRROFIILE% 表示 CC:DDocuumennts andd SeettiingssAlll UUserrs%CComSSpecc% 表示示 C:WIINDOOWSSysstemm32cmdd.exxe %APPPDATTA% 表表示 CC:DDocuumennts andd Seettiingss當前前

3、用戶名名Apppliccatiion Datta %ALLLAPPPDATTA% 表表示 CC:DDocuumennts andd SeettiingssAlll UUserrsAAppllicaatioon DDataa %SSYSTTEMDDRIVVE% 表示 CC:%HHOMEEDRIIVE% 表示示 C:%SYYSTEEMROOOT% 表示 CC:WWINDDOWSS %WWINDDIR% 表示示 C:WIINDOOWS %TEEMP% 和 %TTMP% 表示 CC:DDocuumennts andd Seettiingss當前前用戶名名Loccal SetttinngsTemmp %

4、ProograamFiiless% 表示示 C:Prrogrram Filles %CoommoonPrrogrramFFilees% 表表示 CC:PProggramm FiilessCoommoon FFilees 關關于通配配符：WWinddowss里面默默認* ：任意意個字符符（包括括0個），但不包包括斜杠杠? ：1個或0個字符符幾個例例子*Winndowws 匹匹配 CC:WWinddowss、D:Winndowws、E:Winndowws 以以及每個個目錄下下的所有有子文件件夾。CC:wwin* 匹配配 C:wiinntt、C:winndowws、C:winndirr 以及及每個目

5、目錄下的的所有子子文件夾夾。*.vbss 匹配配 Wiindoows XP Proofesssioonall 中具具有此擴擴展名的的任何應應用程序序。C:Apppliicattionn Fiiless*.* 匹匹配特定定目錄（Apppliccatiion Filles）中的應應用程序序文件，但不包包括Apppliicattionn Fiiless的子目目錄關于于優(yōu)先級級:1.絕對對路徑 通通配符相相對路徑徑 如 C:Wiindoowsexpplorrer.exee *WWinddowssexxploorerr.exxe2.文件件型規(guī)則則 目錄型型規(guī)則 如若a.exee在Winndowws目錄錄

6、中，那那么 aa.exxe C:Wiindoows33.環(huán)境境變量 = 相相應的實實際路徑徑 = 注冊表表鍵值路路徑如 %PProggrammFilles% = C:Proograam FFilees = %HHKEYY_LOOCALL_MAACHIINESOFFTWAAREMiccrossofttWiindoowsCurrrenntVeersiionProograamFiilessDirr%4.散列規(guī)規(guī)則比任任何路徑徑規(guī)則優(yōu)優(yōu)先級都都高總的的來說，就是規(guī)規(guī)則越匹匹配越優(yōu)優(yōu)先注：1. 通配符符 * 并不包包括斜杠杠 。例如*WINNDOWWS 匹匹配 CC:WWinddowss，但不不匹配 C

7、:SanndbooxWWINDDOWSS2. * 和和 * 是完完全等效效的，例例如 *aabc = *abcc3. C:abcc* 可可以直接接寫為 C:abcc 或或者 CC:aabc，最后的的* 是可可以省去去的，因因為軟件件限制策策略的規(guī)規(guī)則可以以直接匹匹配到目目錄。44. 軟軟件限制制策略只只對“指派的的文件類類型”列表中中的格式式起效。例如 *.ttxt 不允許許的，這這樣的規(guī)規(guī)則實際際上無效效，除非非你把TTXT格格式也加加入“指派的的文件類類型”列表中中。5. * 和 *.* 是是有區(qū)別別的，后后者要求求文件名名或路徑徑必須含含有“.”，而前前者沒有有此限制制，因此此，*.*

8、的的優(yōu)先級級比 * 的高高6. ?:* 與與 ?:*.* 是是截然不不同的，前者是是指所有有分區(qū)下下的每個個目錄下下的所有有子文件件夾，簡簡單說，就是整整個硬盤盤；而 ?:*.* 僅包包括所有有分區(qū)下下的帶“.”的文件件或目錄錄，一般般情況下下，指的的就是各各盤根目目錄下的的文件。那非一一般情況況是什么么呢？請請參考第第7點7. ?:*.* 中的的“.” 可能使使規(guī)則范范圍不限限于根目目錄。這這里需要要注意的的是：有有“.”的不一一定是文文件，可可以是文文件夾。例如 F:ab.c，一一樣符合合 ?:*.*，所所以規(guī)則則對F:abb.c下下的所有有文件及及子目錄錄都生效效。8.這是很很多人寫寫規(guī)

9、則時時的誤區(qū)區(qū)。首先先引用組策略略軟件限限制策略略規(guī)則包包編寫之之菜鳥入入門（修修正版）里的的一段： 引用:4、如何何保護上上網的安安全 在瀏覽覽不安全全的網頁頁時，病病毒會首首先下載載到IEE緩存以以及系統(tǒng)統(tǒng)臨時文文件夾中中，并自自動運行行，造成成系統(tǒng)染染毒，在在了解了了這個感感染途徑徑之后，我們可可以利用用軟件限限制策略略進行封封堵 %SYYSTEEMROOOT%taaskss*.* 不不允許的的 （這個個是計劃劃任務，病毒藏藏身地之之一） %SYYSTEEMROOOT%Teemp*.* 不允允許的 %USSERPPROFFILEE%CCookkiess*.* 不不允許的的 %USSERP

10、PROFFILEE%LLocaal SSetttinggs*.* 不允許許的 （這個個是IEE緩存、歷史記記錄、臨臨時文件件所在位位置）說實話，上面引引用的部部分不少少地方都都是錯誤誤的先不不談這樣樣的規(guī)則則能否保保護上網網安全，實際上上這幾條條規(guī)則在在設置時時就犯了了一些錯錯誤例如如：%UUSERRPROOFILLE%Loccal Setttinngs*.* 不允許許的可以以看出，規(guī)則的的原意是阻阻止程序序從Loocall Seettiingss（包括括所有子子目錄）中啟動動現(xiàn)在大大家不妨妨想想這這規(guī)則的的實際作作用是什什么？先先參考注注1和注2，* 和* 是等等同的，而且不不包含字字符“”

11、。所以以，這里里規(guī)則的的實際效效果是 “禁止程程序從LLocaal SSetttinggs文件件夾的一一級子目目錄中啟啟動”，不包包括Loocall Seettiingss根目錄錄，也不不包括二二級和以以下的子子目錄。現(xiàn)在我我們再來來看看LLocaal SSetttinggs的一一級子目目錄有哪哪些：TTempp、Temmporraryy Innterrnett Fiiless、Apppliccatiion Datta、Hisstorry。阻止程程序從TTempp根目錄錄啟動，直接的的后果就就是很多多軟件不不能成功功安裝那那么，阻阻止程序序從Teempoorarry IInteerneet F

12、Filees根目目錄啟動動又如何何呢？實實際上，由于IIE的緩緩存并不不是存放放Temmporraryy Innterrnett Fiiless根目錄錄中，而而是存于于Temmporraryy Innterrnett Fiiless的子目目錄Coonteent.IE55的子目目錄里（-_-|），所以以這種寫寫法根本本不能阻阻止程序序從IEE緩存中中啟動，是沒有有意義的的規(guī)則若若要阻止止程序從從某個文文件夾及及所有子子目錄中中啟動，正確的的寫法應應該是：某目錄錄* 某目錄錄* 某目目錄 某目錄錄9. 引用:?:aautoorunn.innf 不不允許的的這是流傳傳的所謂謂防U盤病毒毒規(guī)則，事實上

13、上這條規(guī)規(guī)則是沒沒有作用用的，關關于這點點在 HYPERLINK /viewthread.php?tid=206247 關于各各種策略略防范UU盤病毒毒的討論論 已經作作了分析析二.軟件限限制策略略的3DD的實現(xiàn)現(xiàn)：“軟件限限制策略略本身即即實現(xiàn)AAD，并并通過NNTFSS權限實實現(xiàn)FDD，同時時通過注注冊表權權限實現(xiàn)現(xiàn)RD，從從而完成成3D的部部署”對于軟軟件限制制策略的的AD限制制，是由由權限指指派來完完成的，而這個個權限的的指派，用的是是微軟內內置的規(guī)規(guī)則，即即使我們們修改“用戶權權限指派派”項的內內容，也也無法對對軟件限限制策略略中的安安全等級級進行提提權。所所以，只只要選擇擇好安全全

14、等級，AD部分分就已經經部署好好了，不不能再作作干預而而軟件件件限制策策略的FFD和RD限制制，分別別由NTTFS權權限、注注冊表權權限來完完成。而而與ADD部分不不同的是是，這樣樣限制是是可以干干預的，也就是是說，我我們可以以通過調調整NTTFS和和注冊表表權限來來配置FFD和RD，這這就比AAD部分分要靈活活得多。小結一一下，就就是ADD用用戶權利利指派FFDNTFFS權限限RD注冊冊表權限限先說ADD部分，我我們能選選擇的就就是采用用哪種權權限等級級，微軟軟提供了了五種等等級：不不受限的的、基本本用戶、受限的的、不信信任的、不允許許的。不不受限的的，最高高的權限限等級，但其意意義并不不是

15、完全全的不受受限，而而是“軟件訪訪問權由由用戶的的訪問權權來決定定”，即繼繼承父進進程的權權限?；居脩魬?，基本本用戶僅僅享有“跳過遍遍歷檢查查”的特權權，并拒拒絕享有有管理員員的權限限。受限限的，比比基本用用戶限制制更多，也僅享享有“跳過遍遍歷檢查查”的特權權。不信信任的，不允許許對系統(tǒng)統(tǒng)資源、用戶資資源進行行訪問，直接的的結果就就是程序序將無法法運行。不允許許的，無無條件地地阻止程程序執(zhí)行行或文件件被打開開很容易易看出，按權限限大小排排序為 不受限限的 基本本用戶 受受限的 不不信任的的 不允許許的其中中，基本本用戶 、受限限的、不不信任的的 這三個個安全等等級是要要手動打打開的具具體做

16、法法：打開開注冊表表編輯器器，展開開至HKKEY_LOCCAL_MACCHINNESSOFTTWARREPPoliicieesMMicrrosooftWinndowwsSSafeerCCodeeIdeentiifieers新新建一個個DOWWRD，命名為為Levvelss，其值值可以為為0 x1100000 /增加加受限的的0 x2200000 /增加加基本用用戶0 xx300000 /增增加受限限的，基基本用戶戶0 x3310000 /增加加受限的的，基本本用戶，不信任任的設成成0 x3310000（即即413310000）即即可如圖圖：再強調兩兩點：11.“不允許許的”級別不不包含任任何F

17、DD操作。你可以以對一個個設定成成“不允許許的”文件進進行讀取取、復制制、粘貼貼、修改改、刪除除等操作作，組策策略不會會阻止，前提當當然是你你的用戶戶級別擁擁有修改改該文件件的權限限2.“不受限限的”級別不不等于完完全不受受限制，只是不不受軟件件限制策策略的附附加限制制。事實實上，“不受限限的”程序在在啟動時時，系統(tǒng)統(tǒng)將賦予予該程序序的父進進程的權權限字，該程序序所獲得得的訪問問令牌決決定于其其父進程程，所以以任何程程序的權權限將不不會超過過它的父父進程。權限的的分配與與繼承:這里的的講解默默認了一一個前提提：假設設你的用用戶類型型是管理理員。在在沒有軟軟件限制制策略的的情況下下，很簡簡單，如

18、如果程序序a啟動程程序b，那么么a是b的父進進程，bb繼承a的權限限現(xiàn)在把把a設為基基本用戶戶，b不做限限制（把把b設為不不受限或或者不對對b設置規(guī)規(guī)則效果果是一樣樣的）然然后由aa啟動b，那么么b的權限限繼承于于a，也是是基本用用戶，即即:a（基本本用戶）- b（不不受限的的） = b（基本用用戶）若若把b設為基基本用戶戶，a不做限限制，那那么a啟動b后，b仍然為為基本用用戶權限限，即aa（不受受限的）- b（基基本用戶戶） = b（基本用用戶）可可以看到到，一個個程序所所能獲得得的最終終權限取取決于：父進程程權限 和 規(guī)則限限定的權權限 的最低低等級，也就是是我們所所說的最最低權限限原則舉

19、舉一個例例：若我我們把IIE設成成基本用用戶等級級啟動，那么由由IE執(zhí)行行的任何何程序的的權限都都將不高高于基本本用戶級級別，只只能更低低。所以以就可以以達到防防范網馬馬的效果果即使使IE下載載病毒并并執(zhí)行了了，病毒毒由于權權限的限限制，無無法對系系統(tǒng)進行行有害的的更改，如果重重啟一下下，那么么病毒就就只剩下下尸體了了。甚至至，我們們還可以以通過NNTFSS權限的的設置，讓IEE無法下下載和運運行病毒毒，不給給病毒任任何的機機會。FFD：NTFFS權限限* 要求求磁盤分分區(qū)為NNTFSS格式 *其實Miicroosofft WWinddowss 的每每個新版版本都對對 NTTFS 文件系系統(tǒng)進

20、行行了改進進。NTTFS 的默認認權限對對大多數數組織而而言都已已夠用。NTFFS權限限的分配配1.如果果一個用用戶屬于于多個組組，那么么該用戶戶所獲得得的權限限是各個個組的疊疊加2.“拒絕”的優(yōu)先先級比“允許”要高例如如：用戶戶A 同時時屬于AAdmiinisstraatorrs和Eveeryoone組組，若AAdmiinisstraatorrs組具具有完全全訪問權權，但EEverryonne組拒拒絕對目目錄的寫寫入，那那么用戶戶A的實際際權限是是：不能能對目錄錄寫入，但可以以進行除除此之外外的任何何操作高高級權限限名稱 描述 （包括括了完整整的FDD和部分分AD） 引用:遍歷文件件夾/運行

21、文文件 （遍歷歷文件夾夾可以不不管，主主要是“運行文文件”，若無無此權限限則不能能啟動文文件，相相當于AAD的運運行應用用程序）允許或或拒絕用用戶在整整個文件件夾中移移動以到到達其他他文件或或文件夾夾的請求求，即使使用戶沒沒有遍歷歷文件夾夾的權限限（僅適適用于文文件夾）。列出出文件夾夾/讀取數數據允許許或拒絕絕用戶查查看指定定文件夾夾內文件件名和子子文件夾夾名的請請求。它它僅影響響該文件件夾的內內容，而而不影響響您對其其設置權權限的文文件夾是是否會列列出（僅僅適用于于文件夾夾）。讀讀取屬性性 （FD的讀讀?。┰试试S或拒拒絕查看看文件中中數據的的能力（僅適用用于文件件）。讀讀取擴展展屬性允允許或

22、拒拒絕用戶戶查看文文件或文文件夾屬屬性（例例如只讀讀和隱藏藏）的請請求。屬屬性由 NTFFS 定定義。創(chuàng)創(chuàng)建文件件/寫入數數據 （FD的創(chuàng)創(chuàng)建）“創(chuàng)建文文件”允許或或拒絕在在文件夾夾中創(chuàng)建建文件（僅適用用于文件件夾）?！皩懭霐禂祿痹试S或或拒絕對對文件進進行修改改并覆蓋蓋現(xiàn)有內內容的能能力（僅僅適用于于文件）。創(chuàng)建建文件夾夾/追加數數據“創(chuàng)建文文件夾”允許或或拒絕用用戶在指指定文件件夾中創(chuàng)創(chuàng)建文件件夾的請請求（僅僅適用于于文件夾夾）?！白芳訑禂祿痹试S或或拒絕對對文件末末尾進行行更改而而不更改改、刪除除或覆蓋蓋現(xiàn)有數數據的能能力（僅僅適用于于文件）。寫入入屬性 （即改改寫操作作了，F(xiàn)FD的寫寫

23、）允許許或拒絕絕用戶對對文件末末尾進行行更改，而不更更改、刪刪除或覆覆蓋現(xiàn)有有數據的的請求（僅適用用于文件件）。 即寫操操作寫入入擴展屬屬性允許許或拒絕絕用戶更更改文件件或文件件夾屬性性（例如如只讀和和隱藏）的請求求。屬性性由 NNTFSS 定義義。刪除除子文件件夾和文文件 （FD的刪刪除）允允許或拒拒絕刪除除子文件件夾和文文件的能能力，即即使子文文件夾或或文件上上沒有分分配“刪除”權限（適用于于文件夾夾）。刪刪除 （與上上面的區(qū)區(qū)別是，這里除除了子目目錄及其其文件，還包括括了目錄錄本身）允許或或拒絕用用戶刪除除子文件件夾和文文件的請請求，即即使子文文件夾或或文件上上沒有分分配“刪除”權限（適

24、用于于文件夾夾）。讀讀取權限限 （NTFFS權限限的查看看）允許許或拒絕絕用戶讀讀取文件件或文件件夾權限限（例如如“完全控控制”、“讀取”和“寫入”）的請請求。更更改權限限 （NTFFS權限限的修改改）允許許或拒絕絕用戶更更改文件件或文件件夾權限限（例如如“完全控控制”、“讀取”和“寫入”）的請請求。取取得所有有權 允許或或拒絕取取得文件件或文件件夾的所所有權。文件或或文件夾夾的所有有者始終終可以更更改其權權限，而而不論用用于保護護該文件件或文件件夾的現(xiàn)現(xiàn)有權限限如何。 以基本用用戶為例例，基本本用戶能能做什么么？在系系統(tǒng)默認認的NTTFS權權限下，基本用用戶對系系統(tǒng)變量量和用戶戶變量有有完全

25、訪訪問權，對系統(tǒng)統(tǒng)文件夾夾只讀，對Prrogrram Filles的的公共文文件夾只只讀，DDocuumennt aand Setttinng下，僅對當當前用戶戶目錄有有完全訪訪問權，其余不不能訪問問如果覺覺得以上上的限制制嚴格了了或者寬寬松了，可以自自行調整整各個目目錄和文文件的NNTFSS權限。如果發(fā)發(fā)現(xiàn)瀏覽覽器在基基本用戶戶下無法法使用某某些功能能的，很很多都是是由于NNTFSS權限造造成的，可以嘗嘗試調整整對應的的NTFFS權限限基本用用戶、受受限用戶戶屬于以以下組UUserrsAuutheentiicatted UseersEEverryonneINNTERRACTTIVEE但受限限

26、用戶權權限更低低，無論論NTFFS權限限如何，受限用用戶始終終受到限限制。調調整權限限時，主主要利用用到的組組為 UUserrs例：對用戶戶變量TTempp目錄進進行設置置，禁止止基本用用戶從該該目錄運運行程序序，可以以這樣做做：首先先進入“高級”選項，取消勾勾選“從父項項繼承那那些可以以應用到到子對象象的權限限項目，包括那那些在此此明確定定義的項項目(II)”然后設置置Useers的的權限如如圖這樣基本本用戶下下的程序序就無法法從Teemp啟啟動文件件了注意意：1. 不要要使用“拒絕”，不然然管理員員權限下下的程序序也會受受影響22. eeverryonne組的的權限適適用于任任何人、任何程

27、程序，故故eveeryoone組組的權限限不能太太高，至至少要低低于Usserss組其實利利用NTTFS權權限還可可以實現(xiàn)現(xiàn)很多功功能又例例如，如如果想保保護某些些文件不不被修改改或刪除除，可以以取消UUserrs的刪刪除和寫寫入權限限，從而而限制基基本用戶戶，達到到保護重重要文件件的效果果當然，也可以以防止基基本用戶戶運行指指定的程程序以下下為微軟軟建議進進行限制制的程序序：reegeddit.exeearpp.exxeatt.exxeatttriib.eexeccaclls.eexeddebuug.eexeeedliin.eexeeevenntcrreatte.eexeeevennttrr

28、igggerss.exxefttp.eexennbtsstatt.exxeneet.eexennet11.exxeneetshh.exxeneetsttat.exeensllookkup.exeentbbackkup.exeercpp.exxereeg.eexerregeedt332.eexerregiini.exeereggsvrr32.exeerexxec.exeerouute.exeershh.exxescc.exxeseeceddit.exeesubbst.exeesysstemminffo.eexettelnnet.exeetfttp.eexettlnttsvrr.exxeRDD部分

29、：注冊表表權限。由于微微軟默認認的注冊冊表權限限分配已已經做得得很好了了，不需需要作什什么改動動，所以以這里就就直接略略過了三三.關于組組策略規(guī)規(guī)則的設設置：規(guī)規(guī)則要顧顧及方便便性，因因此不能能對自己己有過多多的限制制，或者者最低限限度地，即使出出現(xiàn)限制制的情況況，也能能方便地地進行排排除規(guī)則則要顧及及安全性性，首先先要考慮慮的對象象就是瀏瀏覽器等等上網類類軟件和和可移動動設備所所帶來的的威脅。沒有這這種防外外能力的的規(guī)則都都是不完完整或者者不合格格的基于于文件名名防病毒毒、防流流氓的規(guī)規(guī)則不宜宜多設，甚至可可以舍棄棄。一是是容易誤誤阻，二二是病毒毒名字可可以隨便便改，特特征庫式式的黑名名單只

30、會會跟殺軟軟的病毒毒庫一樣樣滯后。于是，我們有有兩種方方案：如如果想限限制少一一點的，可以只只設防“入口”規(guī)則，主要面面向U盤和瀏瀏覽器如如果想安安全系數數更高、全面一一點的，可以考考慮全局局規(guī)則+白名單單最后布布置幾道道作業(yè) ，看看看大家對對上面的的內容消消化得如如何 1. 在規(guī)則則“F:*.* 不不允許”下，下下面那些些文件不不能被打打開？AA:F:a.exeeB.FF:FFoldder.1bb.exxeC.F:Follderr1FFoldder.2CC.txxtD.F:Follderr1FFoldder.2FFoldder.3dd.exxe2. 在以管管理員身身份登陸陸的情況況下，建建立

31、規(guī)則則如下：%Teemp% 受限限的%UUSERRPROOFILLE%Loccal SetttinngsTemmporraryy Innterrnett Fiiless 不允允許的%ProograamFiiless%IInteerneet EExplloreeriiexpplorre.eexe 基本用用戶%HHKEYY_CUURREENT_USEERSSofttwarreMMicrrosooftWinndowwsCCurrrenttVerrsioonEExplloreerSShelll FFoldderssDeeskttop% 不受限限的在這這四條規(guī)規(guī)則下，假設這這樣的情情況：iiexpplo

32、rre.eexe 下載一一個teest.exee到Temmporraryy Innterrnett Fiiless目錄，然后復復制到TTempp目錄，再從TTempp目錄中中運行ttestt.exxe，（復制和和運行的的操作都都是IEE在做），然后后由teext.exee釋放 ttestt2.eexe到到桌面，并運行行tesst2.exee。那么teest22.exxe的訪訪問令牌牌為：AA.不受受限的 B.不允許許的 CC.基本本用戶 D.受受限的33. 試說出出 F:wiin* 和 F:wiin* 的區(qū)區(qū)別4. 若想限限制QQQ的行為為，例如如右下方方彈出的的廣告，并不允允許QQQ調用瀏瀏

33、覽器，可以怎怎么做？答對兩兩題即及及格。不不過貌似似還是有有些難度度規(guī)則部部分基礎礎部分，如何建建立規(guī)則則：首先先，打開開組策略略開始-運行，輸入 “gpeeditt.mssc”（不包包含引號號）并回回車。在在彈出的的對話框框中，依依次展開開 計算機機配置-Winndowws設置置-安全設設置-軟件限限制策略略如果你你之前沒沒有配置置過軟件件限制策策略，那那么可以以在菜單單欄上選選擇 操作-創(chuàng)建新新的策略略如圖然后轉到到“其它規(guī)規(guī)則”項，在在菜單欄欄選擇“操作”，在下下拉菜單單選擇“新路徑徑規(guī)則”在彈出出的對話話框中，就可以以編輯規(guī)規(guī)則了華華麗麗的的分割線線軟件件限制策策略的其其實并不不復雜，

34、在規(guī)則則設置上上是十分分簡單的的，只有有五個安安全級別別，不像像HIPPS那樣樣，光AAD部分分就細分分成N項。但軟軟件限制制策略的的難點在在于：如如何確保保你的規(guī)規(guī)則真正正有效并并按你的的意愿去去工作，即如何何保證規(guī)規(guī)則的正正確性和和有效性性。附上上題目的的參考答答案1.D考考點：注注2、注4、注7這題的的C選項是是陷阱，因為TTXT文文件不在在規(guī)則的的阻擋范范圍之內內。D項參考考注7，F(xiàn):Follderr1FFoldder.2FFoldder.3 （注意“.”）正好好能匹配配 F:*.*，因此此Follderr.3下下面的EEXE文文件不能能被打開開2.DD說明：此題的的考點為為“AD權限

35、限的分配配/最低權權限原則則”我們先先整理一一下父子子進程的的關系：iexxploore.exee - teest.exee - teest22.exxe（基基本用戶戶） （受限限的） （受限限的）其其中，ttestt.exxe從Temmp目錄錄啟動，受規(guī)則則“%Teemp% 受限的的”的限制制，其權權限降為為“受限的的”。tesst2.exee從桌面面啟動，雖然桌桌面的 程序是是不受限限的，但但由于其其父進程程為teest.exee，故繼繼承teest.exee的權限限，故ttestt2.eexe的的最終獲獲得訪問問令牌還還是“受限的的”另外要要注意的的是，復復制、創(chuàng)創(chuàng)建文件件等操作作都不會

36、會構成權權限的繼繼承3.考點：注1、注3、綜合合分析說說明：FF:wwin* 和 F:wiin* 僅相相差一個個字符 “”，由注注1可知，* 并不不包括斜斜杠。那那么斜杠杠“”在這里里的作用用是什么么？實際際上，這這個斜杠杠在規(guī)則則中的作作用相當當于聲明明斜杠前前的路徑徑指的是是目錄，而不是是文件，注意到到這點后后，就可可以看出出區(qū)別了了：F:wiin* 既可以以匹配到到 F:wiindoows、F:winndirr、F:winnrarr等目錄錄，也可可以匹配配到F:wiinraar.eexe、F:winnNT.batt等文件件而F:winn* 僅能匹匹配到目目錄4.考點：NTFFS權限限此題

37、答答案不唯唯一，只只要是合合理可行行的方案案即可下下面答案案僅供參參考：限限制QQQ的行為為，可以以把QQQ設為基基本用戶戶。防止止QQ廣告告，可以以對Teenceent下下的ADD目錄調調整NTTFS權權限取消Usserss組的創(chuàng)創(chuàng)建、寫寫入權限限不允許許QQ調用用瀏覽器器，可以以對IEE調整NTTFS權權限取消Usserss組的“讀取和和運行”的權限限下面將詳詳細討論論規(guī)則部部分一、再次強強調一下下通配符符的使用用Winndowws里面面默認* ：任任意個字字符（包包括0個），但不包包括斜杠杠? ：1個或0個字符符在組策策略中*不包括括斜杠，這和HHIPSS是不同同的，一一定要注注意例如如

38、：C:Wiindoowssysstemm32 可以表表示為 *syysteem322而以下下的表達達式都是是無效的的：*sysstemm32 、sysstemm32*、sysstemm32二二、根目目錄規(guī)則則軟件限限制策略略對初學學者來說說有一定定的難度度，因為為它沒有有HIPPS那么么豐富的的功能選選項，故故利用規(guī)規(guī)則實現(xiàn)現(xiàn)某一功功能需要要一定的的技巧。根目錄錄規(guī)則就就是一例例（禁止止在某個個目錄的的根目錄錄下的程程序行為為）若在在EQ中，設置規(guī)規(guī)則時取取消“包含該該目錄下下面的所所有文件件”選項就就可以保保證規(guī)則則僅對根根目錄起起效而組組策略卻卻不是那那么簡單單就可以以做到?？纯聪旅婷娴囊?guī)

39、則則： 引用:C:PProggramm Fiiless*.* 不不允許的的前面已經經提過，* 不包包含斜杠杠，因此此這個規(guī)規(guī)則可視視為Prrogrram Filles的的根目錄錄規(guī)則。在此規(guī)規(guī)則下，形如 C:Prrogrram Fillesa.eexe 等程序序將不能能啟動。但這規(guī)規(guī)則可能能導致一一些問題題，因為為通配符符即可以以匹配到到文件，也可以以匹配到到文件夾夾。如果果Proograam FFilees存在在帶有“.”的目錄錄（形如如C:Proograam FFileesTTTpllayeer5.2），一樣可可以和規(guī)規(guī)則 C:Proograam FFilees*.* 匹配，這將導導致該文

40、文件夾下下的程序序無法運運行，造造成誤傷傷。改進進一下的的話，可可以用兩兩條規(guī)則則來實現(xiàn)現(xiàn)根目錄錄限制如如 引用:C:PProggramm Fiiless 不不允許的的C:Proograam FFilees* 不受受限的這樣就保保證了子子目錄的的程序不不受規(guī)則則影響三三、一些些規(guī)則的的模板根根目錄規(guī)規(guī)則： 某目目錄* + 某目目錄*目錄規(guī)規(guī)則（包包含目錄錄中所有有文件）： 某某目錄* 或 某目錄錄 或 某目錄錄含“*”的目錄錄規(guī)則： 某目目錄* （注注意要加加上斜杠杠“”）文件型型規(guī)則： a.exee 、*.ccom 等絕對路路徑規(guī)則則： 如如 C:Wiindoowsexpplorrer.ex

41、ee全局型型規(guī)則： *這里需需要說明明的是，為什么么全局型型規(guī)則要要使用“*”？因為 * 屬于于僅有通通配符的的規(guī)則，其覆蓋蓋范圍是是最大的的，而優(yōu)優(yōu)先級是是最低的的，不會會遺漏，便于排排除，最最適合作作為全局局規(guī)則。對比“*.*”，一個個字符“.”的存在在使規(guī)則則的優(yōu)先先級提高高了，這這將會給給排除工工作帶來來不便四四、規(guī)則則實例11. 保保證上網網安全很很多人問問，瀏覽覽毒網時時，病毒毒會下載載到什么么位置執(zhí)執(zhí)行？首首先是，下載到到網頁緩緩存中（Conntennt.IIE5），這點點很多人人都注意意到了。不過呢呢，病毒毒一般卻卻不會選選擇在緩緩存中執(zhí)執(zhí)行，而而是通過過瀏覽器器復制病病毒文件

42、件到其它它目錄，例如WWinddowss。sysstemm32、Temmp，當當前用戶戶文件夾夾、桌面面、系統(tǒng)統(tǒng)盤根目目錄、PProggrammFilles根根目錄及及其公有有子目錄錄、瀏覽覽器所在在目錄等等所以在在這里再再重復一一次已說說過N次的話話，不要要以為把把緩存目目錄設為為不允許許的就萬萬事大吉吉了。 至于防防范，比比較好的的方法就就是禁止止瀏覽器器在敏感感位置新新建文件件，這點點使用“瀏覽器器基本用用戶”就可以以做到，規(guī)則如如下 引用:%ProograamFiiless%IInteerneet EExplloreeriiexpplorre.eexe 基基本用戶戶如果使用用的是其其它

43、瀏覽覽器，也也可以設設成 基本用用戶若配配合以下下規(guī)則，效果更更佳： 引用:*Doocummentts aand Setttinngs 不不允許的的 程序序一般不不會從DDocuumennts andd Seettiingss中啟動動%ALLLAPPPDAATA%* 不不受限的的 允許許程序從從Apppliccatiion Datta的子子目錄啟啟動%AAPPDDATAA% 不不允許的的 當前前用戶的的Apppliccatiion Datta目錄錄限制%APPPDATTA%* 不受限限的 允允許程序序從Apppliicattionn Daata的的子目錄錄啟動%SysstemmDriive%*

44、.* 不不允許的的 禁止止程序從從系統(tǒng)盤盤根目錄錄啟動%Temmp% 不受限限的 允允許程序序從Teemp目目錄啟動動，安裝裝軟件必必須%TTMP% 不受受限的 同上并設置用用戶變量量Temmp的NTFFS權限限：Teemp的的默認路路徑為 Doccumeentss annd SSetttinggsAAdmiinisstraatorrLoocall SeettiingssTeemp在在系統(tǒng)盤盤格式為為NTFFS的情情況下，右擊TTempp文件夾夾，選擇擇“安全”項，取取消Usserss組的“讀取與與運行”權限即即可。（同時要要取消EEverryonne組的的訪問權權，且保保證Addminnis

45、ttrattorss組具有有完全訪訪問權限限）如此此設置的的作用是是：基本本用戶下下的程序序將無法法從Teemp文文件夾運運行程序序2.UU盤規(guī)則則比較實實際的做做法是 引用:U盤:* 不允許許的、不不信任的的、受限限的，都都可以不允許的的安全度度更高一一些，這這樣也不不會影響響U盤的一一般使用用（正常?？截?、刪除等等）假設設你的UU盤一般般盤符是是I，那么么規(guī)則可可以寫成成： 引用:I:* 不允許許的3.雙后后綴文件件防范規(guī)規(guī)則以下下是微軟軟的幫助助： 引用:注意某些些病毒使使用的文文件具有有兩個擴擴展名以以使得危危險文件件看起來來像安全全的文件件。例如如，Doocummentt.txxt.

46、eexe 或 Phhotoos.jjpg.exee。最后后面的擴擴展名是是 Wiindoows 將嘗試試打開的的擴展名名。具有有兩個擴擴展名的的合法文文件非常常少，因因此避免免下載或或打開這這種類型型的文件件。 有些文文件下載載起來比比程序或或宏文件件更安全全，例如如文本 (.ttxt) 或圖圖像 (.jppg, .giif, .pnng) 文件。但是，仍然要要警惕未未知的來來源，因因為已知知這些文文件中的的一些文文件使用用了特意意精心設設計的格格式，可可以利用用計算機機系統(tǒng)的的漏洞。雙后綴文文件可能能的形式式比較多多，這里里僅放出出諜照一一張4.全局局規(guī)則就就一條： 引用:* 基本本用戶如果

47、設成成受限的的或者不不信任/不允許許的話，無疑會會更安全全，但也也會帶來來一些不不便。綜綜合考慮慮還是基基本用戶戶比較適適合在全全局規(guī)則則下，肯肯定需要要對合法法的程序序進行排排除的。在排除除的時候候，你就就會發(fā)現(xiàn)現(xiàn)使用 * 作作為全局局規(guī)則的的優(yōu)越性性了任何一一條規(guī)則則的優(yōu)先先級都比比它高，所以我我們可以以很方便便地進行行排除。為了減減少排除除的工作作量，這這里建議議大家把把軟件集集中安裝裝在少數數的目錄錄，例如如ProograamFiiless目錄，那么排排除時就就可以對對整個目目錄進行行，不必必慢慢添添加示例例排除規(guī)規(guī)則： 引用:%ProograamFiiless% 不受受限的 （軟件件

48、所在目目錄）*ApppliicattionnSettupss 不受受限的 （安裝裝軟件用用的文件件夾）還要排除除一些文文件格式式，以使使其被正正常打開開： 引用:*.lnnk 不不受限的的*.aade 不受受限的*.addp 不受限限的*.msii 不不受限的的*.mmsp 不受受限的*.chhm 不受限限的*.hlpp 不不受限的的*.ppcd 不受受限的5. 其其它輔助助規(guī)則CCMD限限制策略略： 引用:%Commspeec% 基本用用戶注意：在在組策略略中，微微軟把ccmd.exee和批處處理是分分開處理理的，即即使把ccmd設設成“不允許許的”，仍然然可以運運行.bbat等等批處理理由

49、于桌桌面一般般只放快快捷方式式，所以以 引用:%HKEEY_CCURRRENTT_USSERSofftwaareMiccrossofttWiindoowsCurrrenntVeersiionExpplorrerSheell FollderrsDDeskktopp% 不允允許的同時要讓讓快捷方方式能夠夠正常工工作： 引用:*.lnnk 不受限限的計劃任務務功能很很少會用用到，所所以 引用:%SysstemmRooot%tassk 不不允許的的幫助文件件閱讀器器的管制制策略： 引用:%WinnDirr%hhh.eexe 基本用用戶 （防范范CHMM捆毒）%WiinDiir%winnhellp.ee

50、xe 基本用用戶%WWinDDir%wiinhllp322.exxe 基基本用戶戶腳本宿主主管制 引用:%WinnDirr%ssysttem332?scrriptt.exxe 受限限的（或或者直接接不允許許）一些不會會有程序序啟動的的位置、一些極極少用到到的系統(tǒng)統(tǒng)程序，你不用用但病毒毒會用，所以建建議禁止止.規(guī)規(guī)則可以以有很多多，大可可自己發(fā)發(fā)揮，放放出圖一一張：禁止偽裝裝系統(tǒng)程程序如： 引用:lsasss.eexe 不允許許的%WWinDDir%syysteem322lssasss.exxe 不不受限的的剩下的規(guī)規(guī)則就留留給各位位自由發(fā)發(fā)揮了至至此，教教程完畢畢 組策略略規(guī)則發(fā)發(fā)布：根根據防入入口和全全局防護護的思路路，做了了兩套規(guī)規(guī)則簡單規(guī)規(guī)則和全全局規(guī)則則 簡單規(guī)規(guī)則說明明：以基基本用戶戶限制主主流瀏覽覽器Avvantt.exxe BBrexxpo.exee fiireffox.exee GEE.exxe GGreeenBrro