SERVER組策略之軟件限制策略教程

組策略之軟件限制策略——完全教程與規(guī)則示例（規(guī)則已發(fā)布）

翻了一下HIPS區(qū)之前已有的組策略教程，發(fā)現(xiàn)存在幾個問題：

1.對于路徑規(guī)則的優(yōu)先級、通配符問題沒有說清，甚至存在誤區(qū)

2.規(guī)則的權限設置只有“不允許的”和“不受限的”兩個級別，不夠靈活

3.沒有涉及權限和繼承的問題

4.規(guī)則的保護范圍有限，甚至不能防網(wǎng)馬

所以，就有了此文

在總結前人經(jīng)驗的基礎上，重新解釋組策略的軟件限制策略

第一課，理論部分

軟件限制策略包括證書規(guī)則、散列規(guī)則、Internet區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則，其中靈活性最好的就是路徑規(guī)則了，所以一般我們談到的策略規(guī)則，若沒有特別說明，則直接指路徑規(guī)則。

組策略.jpg(32.37KB)

2023-3-203:53

一.環(huán)境變量、通配符和優(yōu)先級

關于環(huán)境變量（假定系統(tǒng)盤為C盤）

%USERPROFILE%

表示C:\DocumentsandSettings\當前用戶名

%HOMEPATH%

表示C:\DocumentsandSettings\當前用戶名

%ALLUSERSPROFILE%

表示C:\DocumentsandSettings\AllUsers

%ComSpec%

表示C:\WINDOWS\System32\cmd.exe

%APPDATA%

表示C:\DocumentsandSettings\當前用戶名\ApplicationData

%ALLAPPDATA%

表示C:\DocumentsandSettings\AllUsers\ApplicationData

%SYSTEMDRIVE%表示C:

%HOMEDRIVE%

表示C:

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP%和%TMP%

表示C:\DocumentsandSettings\當前用戶名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

關于通配符：

Windows里面默認

*：任意個字符（包括0個），但不包括斜杠

?：1個字符

幾個例子

*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每個目錄下的所有子文件夾。

C:\win*匹配C:\winnt、C:\windows、C:\windir以及每個目錄下的所有子文件夾。

*.vbs匹配WindowsXPProfessional中具有此擴展名的任何應用程序。

C:\ApplicationFiles\*.*匹配特定目錄（ApplicationFiles）中的應用程序文件，但不包括ApplicationFiles的子目錄

關于優(yōu)先級:

1.絕對路徑>通配符相對路徑

如C:\Windows\explorer.exe>*\Windows\explorer.exe

2.文件型規(guī)則>目錄型規(guī)則

如若a.exe在Windows目錄中，那么

a.exe>C:\Windows

注：如何區(qū)分文件規(guī)則和目錄規(guī)則？不嚴格地說，其區(qū)分標志為字符“.”。

例如,*.*就比C:\WINDOWS的優(yōu)先級要高，如果我們要排除WINDOWS根目錄下的程序，就需要這樣做C:\WINDOWS\*.*

而嚴格的說法是，只要規(guī)則中的字符能夠匹配到文件名中，那么該規(guī)則就是文件型規(guī)則，否則為目錄型規(guī)則?？梢姡募?、目錄型都是相對而言的

3.環(huán)境變量=相應的實際路徑=注冊表鍵值路徑

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.若兩條規(guī)則路徑等效，那么兩條規(guī)則合成的結果是：從嚴處理，以最低的權限為準。

如“C:\Windows\explorer.exe不受限的”+“C:\Windows\explorer.exe基本用戶”=

“C:\Windows\explorer.exe基本用戶

注：

1.通配符*并不包括斜杠\。例如*\WINDOWS匹配C:\Windows，但不匹配C:\Sandbox\WINDOWS

2.*和**是完全等效的，例如**\**\abc=*\*\abc

3.C:\abc\*

可以直接寫為C:\abc\或者C:\abc，最后的*是可以省去的，因為軟件限制策略中已經(jīng)存儲了執(zhí)行文件類型作為*的內容了。（指派的文件類型）

4.軟件限制策略只對“指派的文件類型”列表中的格式起效。例如*.txt不允許的，這樣的規(guī)則實際上無效，除非你把TXT格式也加入“指派的文件類型”列表中。

指派的文件類型屬性.jpg(27.83KB)

2023-3-203:53

5.*和*.*是有區(qū)別的，后者要求文件名或路徑必須含有“.”，而前者沒有此限制，因此，*.*的優(yōu)先級比*的高

6.?:\*與?:\*.*是截然不同的，前者是指所有分區(qū)下的每個目錄下的所有子文件夾，簡單說，就是整個硬盤；而?:\*.*僅包括所有分區(qū)下的帶“.”的文件或目錄，一般情況

下，指的就是各盤根目錄下的文件。那非一般情況是什么呢？請參考第7點

7.?:\*.*中的“.”可能使規(guī)則范圍不限于根目錄。這里需要注意的是：有“.”的不一定是文件，可以是文件夾。例如F:\ab.c，一樣符合?:\*.*，所以規(guī)則對F:\ab.c下的所有文件及子目錄都生效。

8.首先引用《組策略軟件限制策略規(guī)則包編寫之菜鳥入門（修正版）》里的一段：引用:4、如何保護上網(wǎng)的安全

在瀏覽不安全的網(wǎng)頁時，病毒會首先下載到IE緩存以及系統(tǒng)臨時文件夾中，并自動運行，造成系統(tǒng)染毒，在了解了這個感染途徑之后，我們可以利用軟件限制策略進行封堵

%SYSTEMROOT%\tasks\**\*.*

不允許的

（這個是計劃任務，病毒藏身地之一）

%SYSTEMROOT%\Temp\**\*.*

不允許的

%USERPROFILE%\Cookies\*.*

不允許的

%USERPROFILE%\LocalSettings\**\*.*

不允許的

（這個是IE緩存、歷史記錄、臨時文件所在位置）說實話，上面引用的部分不少地方都是錯誤的

先不談這樣的規(guī)則能否保護上網(wǎng)安全，實際上這幾條規(guī)則在設置時就犯了一些錯誤

例如：%USERPROFILE%\LocalSettings\**\*.*

不允許的

可以看出，規(guī)則的原意是阻止程序從LocalSettings（包括所有子目錄）中啟動

現(xiàn)在大家不妨想想這規(guī)則的實際作用是什么？

先參考注1和注2，**和*是等同的，而且不包含字符“\”。所以，這里規(guī)則的實際效果是“禁止程序從LocalSettings文件夾的一級子目錄中啟動”，不包括LocalSettings根目錄，也不包括二級和以下的子目錄。

現(xiàn)在我們再來看看LocalSettings的一級子目錄有哪些：Temp、TemporaryInternetFiles、ApplicationData、History。

阻止程序從Temp根目錄啟動，直接的后果就是很多軟件不能成功安裝

那么，阻止程序從TemporaryInternetFiles根目錄啟動又如何呢？

實際上，由于IE的緩存并不是存放TemporaryInternetFiles根目錄中，而是存于TemporaryInternetFiles的子目錄Content.IE5的子目錄里（-_-||），所以這種寫法根本不能阻止程序從IE緩存中啟動，是沒有意義的規(guī)則

若要阻止程序從某個文件夾及所有子目錄中啟動，正確的寫法應該是：

某目錄\**

某目錄\*

某目錄\

某目錄

9.引用:?:\autorun.inf

不允許的這是流傳的所謂防U盤病毒規(guī)則，事實上這條規(guī)則是沒有作用的，關于這點在關于各種策略防范U盤病毒的討論已經(jīng)作了分析

二.軟件限制策略的3D的實現(xiàn)：

“軟件限制策略本身即實現(xiàn)AD，并通過NTFS權限實現(xiàn)FD，同時通過注冊表權限實現(xiàn)RD，從而完成3D的部署”

對于軟件限制策略的AD限制，是由權限指派來完成的，而這個權限的指派，用的是微軟內置的規(guī)則，即使我們修改“用戶權限指派”項的內容，也無法對軟件限制策略中的安全等級進行提權。所以，只要選擇好安全等級，AD部分就已經(jīng)部署好了，不能再作干預

而軟件件限制策略的FD和RD限制，分別由NTFS權限、注冊表權限來完成。而與AD部分不同的是，這樣限制是可以干預的，也就是說，我們可以通過調整NTFS和注冊表權限來配置FD和RD，這就比AD部分要靈活得多。

小結一下，就是

AD——用戶權利指派

FD——NTFS權限

RD——注冊表權限

先說AD部分，我們能選擇的就是采用哪種權限等級，微軟提供了五種等級：不受限的、基本用戶、受限的、不信任的、不允許的。

不受限的，最高的權限等級，但其意義并不是完全的不受限，而是“軟件訪問權由用戶的訪問權來決定”，即繼承父進程的權限。

基本用戶，基本用戶僅享有“跳過遍歷檢查”的特權，并拒絕享有管理員的權限。

受限的，比基本用戶限制更多，也僅享有“跳過遍歷檢查”的特權。

不信任的，不允許對系統(tǒng)資源、用戶資源進行訪問，直接的結果就是程序將無法運行。

不允許的，無條件地阻止程序執(zhí)行或文件被打開

很容易看出，按權限大小排序為不受限的>基本用戶>受限的>不信任的>不允許的

其中，基本用戶、受限的、不信任的這三個安全等級是要手動打開的

具體做法：

打開注冊表編輯器，展開至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一個DOWRD，命名為Levels，其值可以為

0x10000

//增加受限的

0x20000

//增加基本用戶

0x30000

//增加受限的，基本用戶

0x31000

//增加受限的，基本用戶，不信任的

設成0x31000（即4131000）即可

如圖：

注冊表編輯器.jpg(49.52KB)

2023-3-514:16

或者將下面附件中的reg雙擊導入注冊表即可

safer.rar(279Bytes)safer.rar(279Bytes)

Levels設置

下載次數(shù):20

2023-3-514:16

再強調兩點：

1.“不允許的”級別不包含任何FD操作。你可以對一個設定成“不允許的”文件進行讀取、復制、粘貼、修改、刪除等操作，組策略不會阻止，前提當然是你的用戶級別擁有修改該文件的權限

2.“不受限的”級別不等于不受限制，只是不受軟件限制策略的附加限制。事實上，“不受限的”程序在啟動時，系統(tǒng)將賦予該程序的父進程的權限字，該程序所獲得的訪問令牌決定于其主體，所以任何程序的權限將不會超過它的父進程。

權限的分配與繼承:

這里的講解默認了一個前提：假設你的用戶類型是管理員。

在沒有軟件限制策略的情況下，

很簡單，如果程序a啟動程序b，那么a是b的父進程，b繼承a的權限

現(xiàn)在把a設為基本用戶，b不做限制（把b設為不受限或者不對b設置規(guī)則效果是一樣的）

然后由a啟動b，那么b的權限繼承于a，也是基本用戶，即:

a（基本用戶）->b（不受限的）=b（基本用戶）

若把b設為基本用戶，a不做限制，那么a啟動b后，b仍然為基本用戶權限，即

a（不受限的）->b（基本用戶）=b（基本用戶）

可以看到，一個程序所能獲得的最終權限取決于：父進程權限和規(guī)則限定的權限的最低等級，也就是我們所說的最低權限原則

舉一個例：

若我們把IE設成基本用戶等級啟動，那么由IE執(zhí)行的任何程序的權限都將不高于基本用戶級別，只能更低。所以就可以達到防范網(wǎng)馬的效果——即使IE下載病毒并執(zhí)行了，病毒由于權限的限制，無法對系統(tǒng)進行有害的更改，如果重啟一下，那么病毒就只剩下尸體了。

甚至，我們還可以通過NTFS權限的設置，讓IE無法下載和運行病毒，不給病毒任何的機會。

權限的解釋：

引用:以操作系統(tǒng)方式操作（SeTcbPrivilege）

此策略設置允許進程采用任何用戶的標識，來獲取對該用戶被授權訪問的資源的訪問權限。

（危險的權限，不建議分配給任何組）

配置單一進程（SeProfileSingleProcessPrivilege）

此策略設置確定哪些用戶可以使用工具來監(jiān)視非系統(tǒng)進程的性能。

（可以類比一下：利用事件查看器查看應用程序的信息）

配置系統(tǒng)性能

此策略設置允許用戶使用工具查看不同系統(tǒng)進程的性能，它可能會被濫用以允許攻擊者確定系統(tǒng)的活動進程并深入了解計算機的潛在攻擊面。

（例如，利用事件查看器查看系統(tǒng)的信息）

跳過遍歷檢查（SeChangeNotifyPrivilege）

當用戶導航NTFS文件系統(tǒng)或注冊表中的對象路徑時，此策略設置允許沒有特殊訪問權限“遍歷文件夾”的用戶“跳過”文件夾。此用戶權限并不允許用戶列出文件夾的內容，但只允許他們遍歷目錄。

更改系統(tǒng)時間（SeSystemtimePrivilege）

此策略設置確定哪些用戶和組能夠更改環(huán)境中計算機內部時鐘的時間和日期。分配了此用戶權限的用戶可以影響事件日志的外觀。當計算機的時間設置發(fā)生更改時，記錄的事件會反映新時間，而不是事件發(fā)生的實際時間。

調試程序（SeDebugPrivilege）

此策略設置確定哪些用戶可以將調試程序附加到任何進程或附加到內核中，它提供對敏感和關鍵操作系統(tǒng)組件的完整訪問權限。當管理員需要利用支持“內存中的修補”（也稱為“熱修補”）技術的修補程序時，需要此用戶權限。

（包含了創(chuàng)建遠程線程、修改進程內存、直接操作系統(tǒng)內核等內容）

從遠端系統(tǒng)強制關機（SeRemoteShutdownPrivilege）

此策略設置允許用戶從網(wǎng)絡上的遠程位置關閉基于WindowsXP的計算機。任何分配了此用戶權限的用戶都可能引起拒絕服務(DoS)情況，這將使該計算機無法為用戶請求提供服

務。因此，Microsoft建議僅向高度信任的管理員分配此用戶權限。

（從網(wǎng)絡上或調用shutdown.exe來關閉計算機需要此特權）

關閉系統(tǒng)（SeShutdownPrivilege）

此策略設置確定在本地登錄到您環(huán)境中的計算機上的用戶中，哪些用戶可以使用“關機”命令關閉操作系統(tǒng)。誤用此用戶權限可能導致拒絕服務情形。

（正如字面上所說的）

替換進程級記號（SeAssignPrimaryTokenPrivilege）

此策略設置允許某個進程或服務使用不同的安全訪問令牌啟動其他服務或進程，它可用于修改子進程的安全訪問令牌并導致特權提升。

（運行方式、runas命令相關特權）

創(chuàng)建記號對象（SeCreateTokenPrivilege）

此策略設置允許進程創(chuàng)建訪問令牌，這可能提供提升權限來訪問敏感數(shù)據(jù)。在安全具有高優(yōu)先級的環(huán)境中，不應向任何用戶分配此用戶權限

（幾乎是至高無上的權限，允許進程的提權）

取得文件或其它對象的所有權（SeTakeOwnershipPrivilege）

此策略設置允許用戶獲得文件、文件夾、注冊表項、進程或線程的所有權。此用戶權限繞過現(xiàn)有用于保護對象的任何權限，并向指定用戶授予所有權。

（一旦擁有此特權，就等于完全控制了系統(tǒng)）

裝載和卸載設備驅動程序（SeLoadDriverPrivilege）

此策略設置允許用戶在系統(tǒng)上動態(tài)裝載新的設備驅動程序。攻擊者可能使用此功能安裝顯示為設備驅動程序的惡意代碼。用戶需要此用戶權限和PowerUsers組或Administrators組的成員資格才能在WindowsXP中添加本地打印機或打印機驅動程序。

增加進度優(yōu)先級（SeIncreaseBasePriorityPrivilege）

此策略設置允許用戶更改進程利用的處理器時間量。攻擊者可能使用此功能將進程的優(yōu)先級提高為實時，并為計算機創(chuàng)建一個拒絕服務情形。

內存中鎖定頁（SeLockMemoryPrivilege）

此策略設置允許進程將數(shù)據(jù)保存在物理內存中，這樣可以防止系統(tǒng)將數(shù)據(jù)分頁存儲到磁盤的虛擬內存。如果分配了此用戶權限，系統(tǒng)性能可能顯著降低。

修改固件環(huán)境值（SeSystemEnvironmentPrivilege）

此策略設置允許用戶配置影響硬件配置的系統(tǒng)范圍環(huán)境變量。此信息通常存儲在“最后一次正確的配置”中。修改這些值可能造成會導致拒絕服務情形的硬件故障。

此功能的威脅相對較小

作為批處理作業(yè)登錄

此策略設置允許帳戶使用TaskScheduler服務登錄。TaskScheduler通常用于管理目的，因此可能需要在EC環(huán)境中使用。但是，在SSLF環(huán)境中使用時，它應該僅限于防止濫

用系統(tǒng)資源或防止攻擊者獲得計算機的用戶級別訪問權限之后使用該權限啟動惡意代碼。

作為服務登錄

此策略設置允許帳戶啟動網(wǎng)絡服務或將進程注冊為系統(tǒng)上運行的服務。在SSLF環(huán)境中的任何計算機上均應限制此用戶權限，因為許多應用程序可能需要此特權。在EC環(huán)境中配置此用戶權限之前，應仔細地進行評估和測試。

管理審核和安全日志

此策略設置確定哪些用戶可以更改文件和目錄的審核選項以及清除安全日志。

此功能的威脅相對較小

執(zhí)行卷維護任務

此策略設置允許用戶管理系統(tǒng)卷或磁盤配置，它可能允許用戶刪除卷并導致數(shù)據(jù)丟失以及拒絕服務情形。FD：NTFS權限

*要求磁盤分區(qū)為NTFS格式*

其實MicrosoftWindows的每個新版本都對NTFS文件系統(tǒng)進行了改進。NTFS的默認權限對大多數(shù)組織而言都已夠用。

NTFS權限的分配

1.如果一個用戶屬于多個組，那么該用戶所獲得的權限是各個組的疊加

2.“拒絕”的優(yōu)先級比“允許”要高

例如：用戶A同時屬于Administrators和Everyone組，若Administrators組具有完全訪問權，但Everyone組拒絕對目錄的寫入，那么用戶A的實際權限是：不能對目錄寫入，但可以進行除此之外的任何操作

高級權限名稱描述（包括了完整的FD和部分AD）引用:遍歷文件夾/運行文件

（遍歷文件夾可以不管，主要是“運行文件”，若無此權限則不能啟動文件，相當于AD的運行應用程序）

允許或拒絕用戶在整個文件夾中移動以到達其他文件或文件夾的請求，即使用戶沒有遍歷文件夾的權限（僅適用于文件夾）。

列出文件夾/讀取數(shù)據(jù)

允許或拒絕用戶查看指定文件夾內文件名和子文件夾名的請求。它僅影響該文件夾的內容，而不影響您對其設置權限的文件夾是否會列出（僅適用于文件夾）。

讀取屬性（FD的讀?。?/p>

允許或拒絕查看文件中數(shù)據(jù)的能力（僅適用于文件）。

讀取擴展屬性

允許或拒絕用戶查看文件或文件夾屬性（例如只讀和隱藏）的請求。屬性由NTFS定義。

創(chuàng)建文件/寫入數(shù)據(jù)（FD的創(chuàng)建）

“創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件（僅適用于文件夾）?！皩懭霐?shù)據(jù)”允許或拒絕對文件進行修改并覆蓋現(xiàn)有內容的能力（僅適用于文件）。

創(chuàng)建文件夾/追加數(shù)據(jù)

“創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請求（僅適用于文件夾）?！白芳訑?shù)據(jù)”允許或拒絕對文件末尾進行更改而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力（僅適用于文件）。

寫入屬性（即改寫操作了，F(xiàn)D的寫）

允許或拒絕用戶對文件末尾進行更改，而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請求（僅適用于文件）。

即寫操作

寫入擴展屬性

允許或拒絕用戶更改文件或文件夾屬性（例如只讀和隱藏）的請求。屬性由NTFS定義。

刪除子文件夾和文件（FD的刪除）

允許或拒絕刪除子文件夾和文件的能力，即使子文件夾或文件上沒有分配“刪除”權限（適用于文件夾）。

刪除（與上面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄本身）

允許或拒絕用戶刪除子文件夾和文件的請求，即使子文件夾或文件上沒有分配“刪除”權限（適用于文件夾）。

讀取權限（NTFS權限的查看）

允許或拒絕用戶讀取文件或文件夾權限（例如“完全控制”、“讀取”和“寫入”）的請求。

更改權限（NTFS權限的修改）

允許或拒絕用戶更改文件或文件夾權限（例如“完全控制”、“讀取”和“寫入”）的請求。

取得所有權

允許或拒絕取得文件或文件夾的所有權。文件或文件夾的所有者始終可以更改其權限，而不論用于保護該文件或文件夾的現(xiàn)有權限如何。以基本用戶為例，基本用戶能做什么？

在系統(tǒng)默認的NTFS權限下，基本用戶對系統(tǒng)變量和用戶變量有完全訪問權，對系統(tǒng)文件夾只讀，對ProgramFiles的公共文件夾只讀，DocumentandSetting下，僅對當前用戶目錄有完全訪問權，其余不能訪問

如果覺得以上的限制嚴格了或者寬松了，可以自行調整各個目錄和文件的NTFS權限。

如果發(fā)現(xiàn)瀏覽器在基本用戶下無法使用某些功能的，很多都是由于NTFS權限造成的，可以嘗試調整對應的NTFS權限

基本用戶、受限用戶屬于以下組

Users

AuthenticatedUsers

Everyone

INTERACTIVE

但受限用戶權限更低，無論NTFS權限如何，受限用戶始終受到限制。

調整權限時，主要利用到的組為Users或AuthenticatedUsers

例：對用戶變量Temp目錄進行設置，禁止基本用戶從該目錄運行程序，可以這樣做：

首先進入“高級”選項，取消勾選“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目(I)”

WINDOWS的高級安全設置.jpg(38.4KB)

2023-3-203:53

然后設置Users的權限如圖

組策略NTFS.jpg(27.94KB)

2023-3-203:53

這樣基本用戶下的程序就無法從Temp啟動文件了引用:更正一下，由于Temp目錄的默認權限不同的系統(tǒng)可能不同，所以在調整權限時要注意。總之須保證Administrators、System組具有完全訪問權，everyone組可以刪除，然后再設置Users組的權限注意不要使用“拒絕”，不然Admin組也會受影響

又例如，如果想保護某些文件不被修改或刪除，可以取消Users的刪除和寫入權限，從而限制基本用戶，達到保護重要文件的效果

當然，也可以防止基本用戶運行指定的程序

以下為微軟建議進行限制的程序：

regedit.exe

arp.exe

at.exe

attrib.exe

cacls.exe

debug.exe

edlin.exe

eventcreate.exe

eventtriggers.exe

ftp.exe

nbtstat.exe

net.exe

net1.exe

netsh.exe

netstat.exe

nslookup.exe

ntbackup.exe

rcp.exe

reg.exe

regedt32.exe

regini.exe

regsvr32.exe

rexec.exe

route.exe

rsh.exe

sc.exe

secedit.exe

subst.exe

systeminfo.exe

telnet.exe

tftp.exe

tlntsvr.exe

RD部分：注冊表權限。由于微軟默認的注冊表權限分配已經(jīng)做得很好了，不需要作什么改動，所以這里就直接略過了

三.關于組策略規(guī)則的設置：

規(guī)則要顧及方便性，因此不能對自己有過多的限制，或者最低限度地，即使出現(xiàn)限制的情況，也能方便地進行排除

規(guī)則要顧及安全性，首先要考慮的對象就是瀏覽器等上網(wǎng)類軟件和可移動設備所帶來的威脅。沒有這種防外能力的規(guī)則都是不完整或者不合格的

基于文件名防病毒、防流氓的規(guī)則不宜多設，甚至可以舍棄。

一是容易誤阻，二是病毒名字可以隨便改，特征庫式的黑名單只會跟殺軟的病毒庫一樣滯后。

于是，我們有兩種方案：

如果想限制少一點的，可以只設防“入口”規(guī)則，主要面向U盤和瀏覽器

如果想安全系數(shù)更高、全面一點的，可以考慮全局規(guī)則+白名單

具體做法可以是：

IE基本用戶U盤不允許的閱讀器的受限，如hh.exe，pdfReaderDocumentsandSettings不允許的+ApplicationData不受限CMD基本用戶桌面受限的+lnk不受限的全局基本用戶+白名單不受限（系統(tǒng)默認的四條規(guī)則+ProgramFiles+自定義程序+某些格式的排除）

注意全局規(guī)則中最好使用“*基本用戶”這樣的形式，大家不妨對比一下與“*.*基本用戶”或者“*.exe基本用戶”的不同

極待續(xù)忽..映..退.

堆最后違布置圾幾道炸作業(yè)支，昨看看臂大家旺對上營面的維內容么消化壽得如日何剃

遙1.講在楊規(guī)則臘“F族:\圈**銅\*梅\*喪.*何

季不允屋許”呢下，杜下面桃那些僚文件法不能捧被打奸開？

嶄A:箱F:唯\a想.e斑xe

旨B.裁F:落\F宏ol撤de仁r.歐1\純b.逆ex衡e

墓C.隊F:撇\F疼ol可de陪r1作\F瓶ol愿de瞧r.良2\奸C.困tx插t

拳D.站F:喉\F昂ol彎de駱r1勝\F慚ol吩de嚇r.磚2\智Fo腫ld融er臥.3伸\d圍.e請xe

慚2.氧在工以管蘇理員捕身份進登陸毛的情犁況下條，建豎立規(guī)欄則如加下：

碧%T高em真p%行

皂

沈

層

破

薄

畝

索

獻

憂

雖

隔

永

脅

洗

圣

徑

務

歡

灣

糞

熄

墻

疑

閃

蔬

鐘

寒

甩

造

舉

般

綱

釀

期

食

枯

效

態(tài)

碎

橋

垮

演

至

俗受限駁的

繁%U羽SE召RP珠RO術FI海LE洽%\撒Lo皇ca譜l搜Se混tt漏in漆gs愉\T楚em不po蜓ra練ry辨I乓nt處er夏ne兼t描Fi帶le窯s

旋

辜

蘋

蜂

掩

通

化

催

幸

雀

老

潑不薯允許圓的

輕%P女ro制gr丟am列Fi仙le鳥s%罷\I購nt揪er焦ne番t爭Ex虎pl跳or總er箏\i據(jù)ex響pl艙or至e.怖ex庭e

純

舞

錘

匹

見

拴

芬

踐

倒

財

遷

脈

器

動

厘

乖

遮

征

蜂

尋

編

湯

錢

怠基丙本用鍬戶

插%H鮮KE弊Y_車CU把RR緒EN贊T_蹦US骨ER值\S劍of專tw虹ar咳e\絨Mi倍cr萬os駕of麻t\刷Wi喝nd即ow液s\鉛Cu怨rr編en滾tV昏er狡si最on突\E股xp方lo餃re鼻r\廚Sh誕el徒l排Fo像ld遮er欺s\話De違sk邀to掙p%蒼

辜不受桐限的

呢在這激四條嶼規(guī)則撒下，揚假設項這樣戚的情做況：

畫ie浴xp嫌lo燭re璃.e提xe群下裝載一咬個t覽es啦t.皂ex尖e到激Te螺mp恥or繼ar墾y步In嚷te砌rn聰et全F屠il陡es層目錄應，然盛后復刮制到鑒Te閥mp坑目錄農(nóng)，再鮮從T卷em敵p目伶錄中頑運行咱te子st宜.e陵xe籮，（秧復制鞠和運英行的鋸操作涼都是掉IE庭在做牌），煩然后家由t腥ex烤t.獸ex返e釋合放t赤es狗t2棉.e頂xe儉到桌泳面，由并運菌行t致es支t2徒.e剝xe冊。

竿那么陽te溪st躲2.遼ex菌e的駐訪問舞令牌超為：

菜A.未不受天限的零

棄

賄

誓

雁B.踏不允五許的冶

昂

幻

理C.榨基本妙用戶棉

倚

分

撇D.包受限哲的

野3.眼試朋說出處F我:\捆wi捧n*唉和趨F誦:\迷wi應n*可\雀的區(qū)愛別

灶4.犬若過想限哨制Q梯Q的晌行為苦，例佩如右炭下方顧彈出荒的廣啞告，栽并不符允許柿QQ澡調用茶瀏覽公器，綢可以趁怎么煙做？

朱答對納兩題盜即及餅格。賤不過怠貌似昆還是悟有些褲難度

燙第二壓課，忽規(guī)則盟詳解

皇書接占上回歷

帖基礎因部分杰，如顯何建味立規(guī)宣則：

泊首先翼，打失開組似策略

華開始圾-運巡行，稈輸入熄“買gp乎ed泉it惠.m寧sc伍”（艘不包屬含引演號）賭并回餡車。

五在彈土出的括對話駱框中廊，依蜂次展桂開忙計算艇機配擦置-摩Wi蒙nd則ow漏s設怪置-新安全螞設置若-軟貸件限優(yōu)制策脅略

雷如果害你之撿前沒震有配鈴置過徑軟件寬限制赤策略關，那在么可阻以在茅菜單食欄上品選擇禽操簡作-匪創(chuàng)建便新的悅策略

忘如圖

頓創(chuàng)建勵規(guī)則致.j葡pg乏(司33行.7替1僑KB嶼)

衡20里08成-3勵-4劍0猴0:其13

過然后蘇轉到恒“其酬它規(guī)椒則”隊項，晉在菜漁單欄縫選擇低“操它作”次，在岔下拉脆菜單驅選擇?！靶略V路徑爹規(guī)則憑”

峽在彈謹出的由對話慨框中酷，就姜可以三編輯縣規(guī)則梨了

欠建立吳規(guī)則提.j樣pg土(喬31陣.7黑1閘KB蓮)

護20租08叮-3推-4再0鞋0:兄13

快~~僑~~飾~~菜~~證~~所~~口~~斥~~童~~峽~~幸~~岡~~漫~~指~~上~~屑~~宰~華始麗麗氣的分壇割線安~~覽~~羞~~開~~露~~中~~桑~~餓~~鴉~~奉~~昏~~瀉~~盟~~塘~~劈~~小~~蔑~~

的軟件蟻限制辛策略辨的其散實并眨不復蜓雜，搶在規(guī)黑則設貫置上秀是十搞分簡葉單的享，只石有五舉個安臘全級察別，伯不像金HI純PS去那樣裁，光

賓AD瞧部分雹就細遲分成汪N項語。

慨但軟侄件限輛制策楚略的寇難點尺在于鬼：如耽何確中保你壓的規(guī)猛則真廳正有若效并去按你鍋的意枕愿去俯工作槍，即稱如何能保證題規(guī)則甜的正

蘇確性劇和有雷效性誰。

經(jīng)從四糖道題蓄目的尸答對纏率來紅看，就發(fā)現(xiàn)墾問題睬還是時不少斃的胃

誠附上億題目惜的參重考答渾案

雜參考膏答案吩.r籃ar追(宿10施19士B董yt很es加)乎參考圈答案笑.r詞ar枕(爺10撲19吧B布yt捏es阿)

請下載言次數(shù)勁:捎31

驕20蒸08臭-3圣-4式0雁0:倉13

孤下面疏將詳額細討麥論規(guī)愧則部皇分

材一、瘦再次根強調擾一下碰通配匯符的搞使用

拾Wi幅nd相ow鳥s里測面默朽認

恒*穿：任篇意個刃字符濱（包查括0箏個）大，但藏不包枯括斜逗杠

臂?供：1折個字蔬符

傳在組視策略謊中*封不包匙括斜盡杠，裂這和債HI洽PS拆是不素同的痕，一鞏定要換注意

神例如攏：

壇C:寫\W怎in小do魔ws真\s徹ys盒te粉m3宮2梯可以夫表示晝?yōu)榭?\派*\駐sy惰st凝em鄉(xiāng)32

軟而以揉下的駁表達效式都俱是無語效的室：

扁*\悶sy拿st匯em明32雪、山sy口st唯em叛32鏈\*憶、s膀ys沖te趨m3炸2

惜二、碼根目筒錄規(guī)茅則

伍軟件目限制賊策略設對初慌學者品來說凍有一姥定的勢難度裳，因逢為它訴沒有勸HI魄PS隱那么止豐富針的功店能選籌項，獨故利昌用規(guī)蛇則實戲現(xiàn)某至一功拿能需能要一樹定的

訴技巧灘。

處根目杜錄規(guī)狂則就模是一賊例（覽禁止阿在某抹個目錯錄的促根目吳錄下壞的程嶺序行笨為）

誓若在袍EQ駛中，猛設置魚規(guī)則顯時取懇消“頌包含糖該目笑錄下貓面的寨所有翁文件乳”選蠅項就布可以板保證船規(guī)則鉤僅對遭根目長錄起溫效

靈而組夠策略輝卻不擔是那村么簡睜單就錘可以佩做到信。

盯看看訴下面松的規(guī)校則：示盛引用么:穿C:臂\P剖ro躁gr長am犬F靜il守es老\*敲.*營不把允許印的

夏前面代已經(jīng)堤提過除，*刃不茅包含捧斜杠哪，因董此這頸個規(guī)打則可滅視為掃Pr思og善ra希m我Fi賊le灶s的功根目確錄規(guī)蝶則。川在此糖規(guī)則蛋下，吧形

麻如焰C:復\P偷ro模gr慣am瓜F咐il她es牲\a餐.e朵xe蚊等并程序跟將不是能啟信動。

露但這躬規(guī)則禍可能宋導致緒一些粒問題掀，因遍為通絮配符墊即可拔以匹藥配到紫文件惡，也清可以斜匹配俯到文度件夾勇。

踢如果療Pr頸og職ra普m寶Fi步le趕s存櫻在帶匆有“故.”貓的目肺錄（里形如悼C:辱\P船ro咱gr睡am吧F脅il草es蠢\T能Tp挎la蠟ye斯r5政.2雙），舞一樣妥可以戶和規(guī)聚則

位C:笛\P嗚ro翅gr壟am辰F伙il么es臣\*夸.*窩匹差配，簡這將旱導致蘇該文極件夾旁下的課程序蹦無法預運行細，造懲成誤屑傷。

爛改進非一下岡的話功，可耽以用崗兩條盛規(guī)則四來實漂現(xiàn)根衡目錄筍限制

爹如映引用避:陪C:夏\P裕ro萍gr制am酷F壞il馳es杏

放

肉不允凡許的

察C:喬\P培ro飛gr更am假F窄il啦es榜\*壤\

漠不毯受限堆的纖這樣呈就保準證了抱子目攔錄的底程序顆不受歌規(guī)則練影響

徑三、錦一些秀規(guī)則糠的模質板

甲根目料錄規(guī)孔則搜：

葬

及

蜂

逆

球

紗

繼

谷

丘

神某惑目錄今\*擠+射某奪目錄謀\*恢\*

色目錄尤規(guī)則牌（包展含目圖錄中神所有災文件話）：幅某目聚錄\教*盜或歡某目廉錄\酸或都某押目錄

慌含“蔑*”酸的目清錄規(guī)誠則襪：

此

嚼

維

皆

壇

騙某問目錄喇*\察

領（注荷意要蹄加上素斜杠餓“\儀”）

透文件籮型規(guī)景則肚：

匆

蹄

懲

近

瑞

之

嚼

數(shù)

脂

誕a占.e咽xe式、歲*.頓co巷m維等

糖絕對眨路徑儀規(guī)則勒：

源

躲

很

虧

為

縫

榴

省

聰如私C蹦:\育Wi獻nd匪ow伶s\破ex嬸pl淋or賽er張.e恨xe

號全局掏型規(guī)擠則脫：

槳

鋸

響

頭

仁

睛

釀

階

厭

諸*

豆這里潑需要藝說明顧的是瞎，即為什幫么全崇局型漢規(guī)則閥要使戒用“窯*”瓦？

舊因為姨*幅屬摸于僅狗有通懷配符舒的規(guī)耕則，掃其覆榜蓋范廳圍是烘最大樓的，貢而優(yōu)障先級家是最岸低的將，不鉛會遺筆漏，晃便于枕排除曲，

絕最適斃合作范為全礎局規(guī)岸則。

粉對比鵝“*羅.*謀”，閑一個深字符票“.凡”的盛存在極使規(guī)貫則的鋤優(yōu)先婆級提徹高了哲，這柔將會索給排字除工溝作帶腥來不景便

易四、慕規(guī)則毀實例

篇1.見保落證上聯(lián)網(wǎng)安珠全

追很多叨人問裝，瀏句覽毒捕網(wǎng)時羨，病爽毒會星下載稱到什愧么位則置執(zhí)寫行？

瞇首先飛是，言下載單到網(wǎng)捏頁緩酒存中舍（C孕on崇te打nt捷.I優(yōu)E5掘），饅這點昨很多胖人都惰注意物到了考。不滿過呢鋪，病籠毒一悠般卻狹不會憤選

往擇在放緩存粉中執(zhí)勒行，肝而是浩通過睛瀏覽挖器復耽制病夠毒文渣件到屈其它鴿目錄蘋，例伍如W繼in惡do序ws坑。s致ys朗te星m3潛2、昨Te脅mp混，當希前

唯用戶黨文件掠夾、駝桌面魂、系盛統(tǒng)盤芒根目灘錄、剩Pr隊og梯ra鐮mF沃il況es禽根目仿錄及源其公槽有子煌目錄檔、瀏高覽器焰所在順目錄怎等

嶼所以載在這扶里再德重復棄一次運已說懸過N腫次的住話，慢不要歲以為肚把緩獸存目翁錄設棍為不頂允許雞的就顏萬事燥大吉壯了。厲

線至于輩防范鋤，比翁較好彈的方劉法就決是禁欺止瀏千覽器弄在敏蒙感位霧置新姑建文書件，高這點天使用貫“瀏輸覽器喝基本束用戶堤”就屆可以

帥做到兄，規(guī)繭則如愿下帥引用厭:透%P正ro粗gr嗓am琴Fi任le甩s%斧\I隨nt濾er速ne洽t怪Ex腹pl鞏or峰er上\i背ex邊pl頃or有e.總ex鄙e

走基蔥本用血戶私如果凍使用嗚的是帝其它伴瀏覽毫器，饒也可潔以設滿成絞基本杠用戶

甜若配拘合以毒下規(guī)屑則，具效果嫩更佳菜：艦引用雷:唉*\侮Do濱cu雪me螺nt盡s決an潔d沈Se壟tt拐in可gs禁

那不允弓許的兇

柜

污

答程序時一般介不會滅從D近oc第um壺en針ts介a嗎nd誕S雙et快ti窮ng估s中禍啟動

就%A谷PP闊DA筒TA藍%

慕

杏

朱

傻

哈

寶

榴

項不若允許杯的

癢

隱

腹當縣前用誓戶的付Ap細pl越ic餡at餅io疏n永Da憐ta掀根目沖錄限善制

盜%A螺PP局DA美TA肯%\朝*\用

舊

丑

舌

而

食

互

揮不受他限的包

舌

統(tǒng)

匯允許否程序刑從A歷pp呀li認ca虜ti倒on鉛D靜at熄a的融子目股錄啟泛動

享%S餅ys槐te川mD惱ri罰ve滿%\慌*.躁*

凡

猶

伍

曲不棵允許肺的

或

弦

椅禁由止程喉序從薪系統(tǒng)鹽盤根廁目錄眠啟動

耀%T竄em勺p%聽

倚

仔

丘

若

紐

冷

宋

襯

廈

哀

鋸

勵不受購限的軋

毯

厚

翁允許時程序慈從T巖em雷p目芽錄啟虧動，木安裝阿軟件雪必須

匪%T掠MP遮%

浙

叛

隸

盤

皂

摘

鋤

啞

滔

閘

僅

團

釘不蠶受限孤的

銳

腫

俊同惱上褲并設敲置用字戶變銹量T額em描p的撓NT鎮(zhèn)FS航權限窗：

頌Te夕mp志的默郵認路釋徑為古D爸oc芳um幕en廈ts五a有nd預S商et肝ti敢ng顯s\犧Ad努mi笨ni鼻st簽ra扣to腸r\侮Lo疫ca夢l浮Se蔬tt謊in葬gs牽\T詞em筋p

叔在系南統(tǒng)盤折格式盒為N刷TF風S的慨情況四下，豆右擊單Te劑mp雨文件繭夾，稠選擇研“安愿全”奏項，孝取消孤Us蜘er燙s雕組的殃“城讀取薯與運噸行扛”

抖權限責即可甩。（安同時居要取昨消E樸ve倦ry湊on難e組靜的訪善問權湊，且疼保證格Ad樓mi速ni嶄st省ra搭to筒rs跪組具役有完編全訪糊問權像限）

擱如此騾設置薄的作池用是醬：基皺本用崗戶下植的程蝦序將屑無法務從T臂em必p文等件夾抓運行戚程序

枕2.汗U盤弟規(guī)則

污比較環(huán)實際桶的做晌法是槽涂引用莖:糟U盤挎:\自

軌

秧

燈

咸不允吹許的筑、不淹信任擴的、優(yōu)受限叔的，序都可共以常不允尸許的裝安全維度更耀高一個些，拌這樣估也不世會影胖響U逃盤的源一般快使用混（拷誘貝、磚刪除惑等）

輝假設企你的妻U盤付一般另盤符每是I永，那乏么規(guī)別則可桶以寫艦成：狂偏引用意:困I:棕\

繭不瘋允許歪的陪3.柏雙后畜綴文劑件防岡范規(guī)石則

斥以下肌是微旦軟的夏幫助更：泰引用染:里注意

胳某些矮病毒凡使用贈的文叔件具爐有兩輔個擴梅展名稍以使弊得危知險文昏件看尋起來謝像安冰全的停文件物。例值如，盈Do唱cu緊me倚nt把.t數(shù)xt餡.e慢xe駕

懲或每Ph治ot孤os感.j紗pg飄.e四xe封。最固后面筋的擴妙展名班是拼Wi木nd凱ow篇s笛將嘗淺試打譜開的鉗擴展慚名。登具有長兩個石擴展良名的劉合法孫文件

敏非常拆少，和因此暫避免浪下載慰或打因開這停種類多型的矮文件史。

量有些奪文件草下載籮起來載比程油序或萌宏文騙件更像安全暑，例枝如文誤本役(.帝tx致t)刻或遵圖像雕(索.j納pg聰,頭.g禾if恢,販.p膜ng志)壤文件宗。但

枝是，懲仍然聾要警狹惕未激知的管來源恒，因口為已做知這蠻些文爹件中爸的一吳些文閑件使灶用了利特意據(jù)精心靈設計門的格酒式，肢可以咬利用

宣計算盟機系變統(tǒng)的打漏洞得。額雙后樸綴文富件可具能的穗形式事比較簽多，逮這里配僅放藝出諜式照一絡張

蚊雙后很綴n促.j酸pg隆(縣74傭.6病4拼KB掘)

億20竟08限-3液-4族0懲0:陷13

士4.慶全局膜規(guī)則

夏就一爹條：兼姐引用霧:論*

襪

困基過本用粒戶植如果販設成芬受限萬的或坑者不光信任鞋/不輝允許司的話烘，無沫疑會壁更安發(fā)全，嘆但也冊會帶蘇來一染些不枕便。淺綜合逼考慮末還是撿基本淚用戶糠比較騰適合

域在全小局規(guī)紅則下傳，肯繡定需肅要對萌合法罰的程聞序進潤行排盜除的鋼。艇在排衡除的淡時候酸，你智就會鈴發(fā)現(xiàn)概使用釋*騾作餅為全功局規(guī)

異則的努優(yōu)越惑性了租——景任何蔥一條怨規(guī)則型的優(yōu)主先級籠都比裝它高奸，所遙以我雷們可暈以很償方便怨地進芬行排管除。

胸為了舌減少災排除濃的工者作量櫻，這買里建蠶議大壺家把門軟件勝集中野安裝袋在少罩數(shù)的煎目錄厲，例蛋如P底ro辣gr遭am治Fi網(wǎng)le鵝s目尤錄，木那么

尖排除膊時就蔬可以賤對整腫個目臭錄進使行，總不必容慢慢店添加

德示例含排除未規(guī)則闖：誤引用籠:譯%P香ro龍gr賞am幣Fi繩le簡s%欄

想不受釘限的凱

盞

擱

弟

侵（軟泊件所栽在目疼錄）

每*\汪Ap疾pl刺ic厭at漸io切nS相et港up文s

濕不勸受限覆的

歲（必安裝講軟件禮用的證文件糠夾）喘還要堡排除公一些業(yè)文件軍格式埋，以鮮使其序被正木常打寧開：甲限引用因:三*.倆ad成e

遲

臨

勻

游

訊不拋受限藥的

剝*.論ad掌p

蓬

他

隆

亦

迫不惰受限聯(lián)的

鬼*.綠ms嫌i

裝

制

評

簡

貓不昨受限輛的

選*.蓮ms表p

悲

行

路

允

玻不表受限看的

真*.鏟ch捏m

芒

穿

活

沖

墓不矩受限斤的

疼*.剝hl來p

學

本

行

偵

陰不旋受限棕的

宣*.襯pc番d

悲

真

批

彩

劈不偶受限桂的拋5.笛其全它輔錘助規(guī)醒則

頸CM匪D限漆制策劉略：害處引用庫:棉%C張om體sp演ec酒%

鏈基撫本用銳戶猴由于灣桌面廉一般制只放咱快捷見方式靜，所擴以嚷引用妨:題%H冬KE另Y_誕CU茫RR民EN飛T_粘US顯ER朽\S螺of反tw毯ar太e\主Mi戶cr夾os礙of她t\標Wi貞nd懼ow蹄s\序Cu營rr圈en渡tV幣er剃si盲on車\E煌xp沸l(wèi)o束re瞞r\藝Sh截el舅l英Fo講ld堅er防s\劉De絹sk志to綠p%泳

基不允巧許的節(jié)同時副要讓填快捷元方式補能夠幫正常榆工作背：術引用喂:殘*.糟ln棉k

尺

姐不常受限譜的雄計劃舞任務濱功能撇很少制會用孤到，管所以賺搬引用情:續(xù)%S虛ys工te毫mR貧oo或t%噴\t照as盡k

卵

但不鴿允許云的杏幫助掉文件父閱讀承器的從管制蹄策略出：各引用業(yè):軍%W片in多Di描r%僻\h超h.雪ex艘e

喚

角受恩限的輩

讓（防罪范C貴HM酬捆毒狗）

環(huán)%W寄in疏Di叢r%分\w砌in私he育lp敏.e狼xe就

淡

噴受限封的

樸%W蠢in很Di獨r%稼\w怠in睜hl佩p3太2.多ex克e

剝

瞧受扣限的靈腳本劉宿主弱管制從歸引用禿:芒%W棋in農(nóng)Di后r%叛\s形ys廢te膠m3哪2\菊?s紡cr勸ip島t.擇ex灰e

徒受聞限的概（或渣者直膛接不性允許慮）碎一些眠不會肯有程緣序啟季動的謊位置醉、一找些極宗少用逼到的聽系統(tǒng)禿程序自，你唉不用耳但病處毒會該用，盞所以驕..譯..超..鳥..植..皮.

擾規(guī)則既可以省有很亭多，霜大可食自己疤發(fā)揮督，放鵲出圖繞一張賀：

響系統(tǒng)物程序粱.j種pg供(闊69凝.9悼6望KB蝶)

貞20殃08罪-3素-4批0涼0:啄13

趨禁止惰偽裝搬系統(tǒng)屆程序

電如：偶宿引用樓:闖ls綿as岸s.齊ex笛e

耕

擱

們

麻

俯

蚊

廟

飄

國不岔允許響的

算%W稀in剃Di壇r%濤\s踢ys謠te膜m3榨2\泡ls勿as芹s.頁ex池e

慈不凝受限初的剩下的規(guī)則就留給各位自由發(fā)揮了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~華麗麗的分割線，怎么?不夠華麗？~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

至此，教程完畢

組策略規(guī)則發(fā)布：

根據(jù)防入口和全局防護的思路，做了兩套規(guī)則——簡單規(guī)則和全局規(guī)則[:01:]

簡單規(guī)則說明：

以基本用戶限制主流瀏覽器

Avant.exeBrexpo.exefirefox.exeGE.exeGreenBrowser.exegsfbwsr.exeiexplore.exeMaxFox.exemaxthon.exe

花mi體ni鏡ie師.e透xe飼n監(jiān)et徐sc稠ap盛e.曬ex斜e扮op慘er貪a.憑ex舌e肆Or石ca疼.e啞xe保r漏ea脖lp紹la股y.爺ex偉e短Sa叔fa攀ri貸.e嫩xe淘S過ea戒Mo順nk塌ey迅.e克xe輕S巡le捧ip拔ni恢r.思ex棗e乞th京ew流or最ld悄.e白xe刑

倘TT昌ra輕ve啞le壤r.鵝ex徒e

未限制尊或禁艷用一刃些不死常用買的系繞統(tǒng)程頸序

董