要設(shè)置組策略

歡迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！歡迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！感謝閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！感謝閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！歡迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！感謝閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！要設(shè)置組策略，先了解下系統(tǒng)環(huán)境變量和通配符，以及優(yōu)先級

環(huán)境變量

在C盤為系統(tǒng)盤的情況下：

%USERPROFILE%

表示C:\DocumentsandSettings\當(dāng)前用戶名這個(gè)文件夾

%ALLUSERSPROFILE%

表示C:\DocumentsandSettings\AllUsers

%APPDATA%

表示C:\DocumentsandSettings\當(dāng)前用戶名\ApplicationData

%ALLAPPDATA%

表示C:\DocumentsandSettings\AllUsers\ApplicationData

%SYSTEMDRIVE%表示C:

%HOMEDRIVE%

表示C:\

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP%和%TMP%

表示C:\DocumentsandSettings\當(dāng)前用戶名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

通配符

?

---------------表示任意單個(gè)字符

*

---------------任意個(gè)字符（包括0個(gè)），但不包括斜杠

**或*?----------------表示零個(gè)或多個(gè)含有反斜杠的字符,即包含子文件夾

這里是網(wǎng)上的例子：

*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每個(gè)目錄下的所有子文件夾。

C:\win*匹配C:\winnt、C:\windows、C:\windir以及每個(gè)目錄下的所有子文件夾。

*.vbs匹配

具有此擴(kuò)展名的任何應(yīng)用程序。

C:\ApplicationFiles\*.*匹配特定目錄（ApplicationFiles）中的應(yīng)用程序文件，但不包括ApplicationFiles的子目錄

路徑規(guī)則優(yōu)先級:

1.絕對路徑>通配符相對路徑

如C:\Windows\explorer.exe>*\Windows\explorer.exe

2.文件型規(guī)則>目錄型規(guī)則

如若a.exe在Windows目錄中，那么a.exe>C:\Windows

注：如何區(qū)分文件規(guī)則和目錄規(guī)則？不嚴(yán)格地說，其區(qū)分標(biāo)志為字符“.”。

例如,*.*就比C:\WINDOWS的優(yōu)先級要高，如果要排除WINDOWS根目錄下的程序，就需要這樣做C:\WINDOWS\*.*

而嚴(yán)格的說法是，只要規(guī)則中的字符能夠匹配到文件名中，那么該規(guī)則就是文件型規(guī)則，否則為目錄型規(guī)則。

3.環(huán)境變量=相應(yīng)的實(shí)際路徑=注冊表鍵值路徑

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.若兩條規(guī)則路徑等效，那么合成的結(jié)果是：從嚴(yán)處理，以最低的權(quán)限為準(zhǔn)。

如“C:\Windows\explorer.exe不受限的”+“C:\Windows\explorer.exe不允許的”結(jié)果為“C:\Windows\explorer.exe不允許的

總的來說，就是路徑越明顯詳細(xì)，該規(guī)則就越優(yōu)先上面這些了解了以后，我們打開組策略編輯器

4條默認(rèn)規(guī)則說明

整個(gè)Windows目錄不受限

Windows下的exe文件不受限

System32下的exe文件不受限

整個(gè)ProgramFiles目錄不受限

我們右鍵新建

圖中使用系統(tǒng)變量，而且是絕對路徑，這樣的規(guī)則優(yōu)先于下面的這種基于文件名的規(guī)則

這里舉個(gè)例子說明絕對路徑的優(yōu)先性

如果我們只想運(yùn)行系統(tǒng)盤SYSTEM32下的SVCHOST.exe(防止病毒從其它位置啟動一個(gè)名為SVCHOST.exe的文件)

就需要添加下面的兩個(gè)路徑規(guī)則

規(guī)則1：

%SYSTEMROOT%\system32\svchost.exe或者C:\WINDOWS\system32\svchost.exe

不受限的（絕對路徑,優(yōu)先于下面的規(guī)則）

規(guī)則2：

Svchost.exe

不允許的（基于文件名）

簡單理解，規(guī)則1是規(guī)則2的例外，對于Explorer.exe,lsass.exe也需要這樣對應(yīng)設(shè)置，主要是路徑，千萬不要沒有例外哦

這樣，我們可以利用基于文件名的規(guī)則，限制一些仿冒的東西，如下圖

注意不要限制*.*.exe這樣的因?yàn)橛行┸浖в邪姹咎?，比如srengLDR2.0.exe這樣就會導(dǎo)致正常軟件不能運(yùn)行

限制雙后綴的程序，要更加明確才行，最好是*.jpg.exe這樣添加或者*.???.exe

當(dāng)然這樣碰見這樣的ice2.014.exe的正常程序也會限制

小的我圖省事，就把正常程序版本號的點(diǎn)去了。。。我用的就是*.*.exe

路徑規(guī)則模板：

若要阻止程序從某個(gè)文件夾及所有子目錄中啟動，需要添加的規(guī)則應(yīng)為：

某目錄\**不允許的

某目錄\*不允許的

某目錄\不允許的

某目錄不允許的

只限制某文件夾，不限制子目錄，規(guī)則為：

某目錄不允許的

某目錄\*\不受限的

實(shí)用規(guī)則

計(jì)劃任務(wù)禁止：%SystemRoot%\task不允許的

防止CHM幫助文檔捆毒：%WinDir%\hh.exe受限的

%WinDir%\winhelp.exe受限的

%WinDir%\winhlp32.exe受限的

U盤規(guī)則:U盤盤符:\*不允許的或不信任的或受限的

證書規(guī)則沒用過不說了

散列規(guī)則(校驗(yàn)和規(guī)則)通常用來阻止特定文件，主要原理是文件有一個(gè)散列值，通過這個(gè)，來限制病毒和木馬運(yùn)行

我們可以去下載樣本（可別運(yùn)行啊），在其它規(guī)則中，新建散列規(guī)則

點(diǎn)擊瀏覽，找到病毒執(zhí)行文件，設(shè)置限制即可

PS：貓叔的解釋

校驗(yàn)和規(guī)則－－－－根據(jù)文件MD5值識別文件的規(guī)則。一條校驗(yàn)和規(guī)則對N個(gè)具有相同MD5值的文件均有效。

路徑規(guī)則－－－根據(jù)路徑及文件名識別文件的規(guī)則。一般一條明確指出具體路徑及文件名的路徑規(guī)則只對一個(gè)特定的文件有效。

注意：

1.“不允許的”級別，你可以對一個(gè)設(shè)定成“不允許的”文件進(jìn)行讀取、復(fù)制、粘貼、修改、刪除等操作，組策略不會阻止，前提當(dāng)然是你的用戶級別擁有修改該文件的權(quán)限

2.“不受限的”級別，不等于完全不受限制，只是不受軟件限制策略的附加限制（受父進(jìn)程權(quán)限的限制）

3.C:\Windows\system32\GroupPolicy\Machine\Registry.pol是我們的組策略配置文件，可以備份和共享給他人

4.磁碟機(jī)會刪除C:\Windows\system32\GroupPolicy\目錄

5.對于用戶自己安裝的軟件的規(guī)則，按情況添加

看了很多地方的文章，雖然這些真的有點(diǎn)兒復(fù)雜，但是這些體會

希望大家能明白

組策略沒有防范ARP等的措施，它只是輔助

Windows本身既然有這些功能，為什么如果好好利用配合一下殺軟？

那么即可以加強(qiáng)安全防范，又解決了易用性，畢竟瑞星主動防御界面要友好簡單得多

在使用瑞星時(shí)，相信不是所