組策略之軟件限制策略—完全教程

1、組策略工具是系統(tǒng)自帶的一款強大管理軟件，卻往往被人所忽視，我現(xiàn)在介紹一下它其他用戶用你裝的QQ，游戲啊之類的，的一個小小的功能，讓它來幫我們禁止指定程序的運行。比如你不想讓設置得當，還可以防止病毒呢。點擊“開始”“運行” 輸入gpedit.msc 后回車，就打開了“組策略”點選左邊的“windows設置”“安全設置”“軟件限制策略”“其他規(guī)則” 然后在右邊的窗口中右擊，選擇“新路徑規(guī)則” attachment=30628 attachment=30629把要限制的軟件的地址添加進來即可。知道了原理,破解網(wǎng)吧的限制你也就會了吧?在網(wǎng)吧的電腦上, 只要打開組策略,把里面的限制路徑晴空就可以無所限制

2、,任你訪問了.禁用指定的文件類型 2009-08-04 信息來源：瑞安免費信息網(wǎng) 視力保護色： 【大 中 小】【打印本頁】【關閉窗口】 在日常工作中，系統(tǒng)中的很多文件都可能給系統(tǒng)帶來威脅，比如SHS、MSI、BAT、CMD、COM、EXE等程序文件類型。其實我們完全可以利用系統(tǒng)的組策略功能，來禁用這些危險的文件類型。 這樣操作不但可以保證系統(tǒng)的安全，而且不會影響系統(tǒng)的正常運行。這里假設我們要禁用批處理格式BAT文件，不讓系統(tǒng)運行BAT格式的文件，具體的策略組設置方法如下： 第一步：首先點擊開始菜單中的“運行”命令，輸入“gpedit.msc”打開組策略。接著點擊“計算機配置Windows設置安

3、全設置軟件限制策略”，然后在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”，即可生成“安全級別”、“其他規(guī)則”、“強制”、“指派的文件類型”、“受信任的出版商”等選項。 第二步：雙擊“指派的文件類型”選項，在彈出的“指派的文件類型屬性”窗口，將“指定的文件類型”列表中將其他的文件全部刪除，只留下BAT文件類型。如果還有其他的文件類型要禁用，可以再次打開這個窗口，在“文件擴展名”空白欄里輸入要禁用的文件類型，將它添加上去。 第三步：雙擊“安全級別”中的“不允許的”選項，在彈出的“不允許的屬性”窗口中，點擊“設為默認值”按鈕。然后注銷系統(tǒng)或者重新啟動系統(tǒng)，此策略即可生效。以后再運行BAT文件時，系統(tǒng)就會

4、出現(xiàn)提示“由于一個軟件限制策略的阻止，Windows無法打開此程序”。 為了避免“軟件限制策略”將系統(tǒng)管理員也限制，我們可以雙擊“強制”選項，在彈出的窗口選擇“除本地管理員以外的所有用戶”。如果用的是文件類型限制策略，此選項可以確保管理員有權運行被限制的文件類型，而其他用戶無權運行。 第四步：如果用戶要取消此軟件限制策略的話，雙擊“安全級別”中的“不受限的”選項，在彈出的“不受限的屬性”窗口中，點擊“設為默認值”按鈕即可。 其實用戶鼠標右鍵點擊“軟件限制策略其他規(guī)則”，就會看到它可以建立新證書規(guī)則、新散列規(guī)則、新Internet區(qū)域規(guī)則、新路徑規(guī)則等策略，利用這些規(guī)則我們可以讓系統(tǒng)更加安全。

5、比如利用“新路徑規(guī)則”可以為電子郵件程序用來運行附件的文件夾創(chuàng)建路徑規(guī)則，并將安全級別設置為“不允許的”，以防止電子郵件病毒。 理論部分：1.軟件限制策略的路徑規(guī)則的優(yōu)先級問題2.在路徑規(guī)則中如何使用通配符3.規(guī)則的權限繼承問題4.軟件限制策略如何實現(xiàn)3D部署（配合訪問控制，如NTFS權限），軟件限制策略的精髓在于權限，部署策略同時，往往也需要學會設置權限規(guī)則部分：5.如何用軟件限制策略防毒（也就是如何寫規(guī)則）6.規(guī)則的示例與下載其中，1、2、3點是基礎，很多人寫出無效或者錯誤的規(guī)則出來都是因為對這些內(nèi)容沒有搞清楚；第4點可能有點難，但如果想讓策略有更好的防護效果并且不影響平時正常使用的話，這

6、點很重要。如果使用規(guī)則后發(fā)現(xiàn)有的軟件工作不正常，請參考這部分內(nèi)容，注意調(diào)整NTFS權限理論部分軟件限制策略包括證書規(guī)則、散列規(guī)則、Internet 區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則，其中靈活性最好的就是路徑規(guī)則了，所以一般我們談到的策略規(guī)則，若沒有特別說明，則直接指路徑規(guī)則?；蛘哂腥藛枺簽槭裁床挥蒙⒘幸?guī)則？散列規(guī)則可以防病毒替換白名單中的程序，安全性不是更好么？一是因為散列規(guī)則不能通用，二是即使用了也意義不大 防替換應該要利用好NTFS權限，而不是散列規(guī)則，要是真讓病毒替換了系統(tǒng)程序，那么再談規(guī)則已經(jīng)晚了一.環(huán)境變量、通配符和優(yōu)先級關于環(huán)境變量（假定系統(tǒng)盤為 C盤） %U

7、SERPROFILE%表示 C:Documents and Settings當前用戶名 %HOMEPATH% 表示 C:Documents and Settings當前用戶名%ALLUSERSPROFILE%表示 C:Documents and SettingsAll Users%ComSpec%表示 C:WINDOWSSystem32cmd.exe %APPDATA%表示 C:Documents and Settings當前用戶名Application Data %ALLAPPDATA%表示 C:Documents and SettingsAll UsersApplication Data

8、%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT%表示 C:WINDOWS %WINDIR% 表示 C:WINDOWS %TEMP% 和 %TMP%表示 C:Documents and Settings當前用戶名Local SettingsTemp %ProgramFiles%表示 C:Program Files %CommonProgramFiles%表示 C:Program FilesCommon Files 關于通配符：Windows里面默認* ：任意個字符（包括0個），但不包括斜杠? ：1個或0個字符幾個例子*Windows 匹配 C:Wi

9、ndows、D:Windows、E:Windows 以及每個目錄下的所有子文件夾。C:win* 匹配 C:winnt、C:windows、C:windir 以及每個目錄下的所有子文件夾。*.vbs 匹配 Windows XP Professional 中具有此擴展名的任何應用程序。C:Application Files*.* 匹配特定目錄（Application Files）中的應用程序文件，但不包括Application Files的子目錄關于優(yōu)先級:總的原則是:規(guī)則越匹配越優(yōu)先1.絕對路徑 通配符全路徑 如 C:Windowsexplorer.exe *Windowsexplorer.ex

10、e2.文件名規(guī)則 目錄型規(guī)則 如若a.exe在Windows目錄中，那么 a.exe C:Windows3.環(huán)境變量 = 相應的實際路徑 = 注冊表鍵值路徑如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.對于同是目錄規(guī)則，則能匹配的目錄級數(shù)越多的規(guī)則越優(yōu)先 對于同是文件名規(guī)則，優(yōu)先級均相同5.散列規(guī)則比任何路徑規(guī)則優(yōu)先級都高6.若規(guī)則的優(yōu)先級相同，按最受限制的規(guī)則為準舉例說明，例如cmd的全路徑是 C:Windowssy

11、stem32cmd.exe那么，優(yōu)先級順序是：絕對路徑(如C:Windowssystem32cmd.exe) 通配符全路徑(如*Windows*cmd.exe) 文件名規(guī)則(如cmd.exe) = 通配符文件名規(guī)則(如*.*) 部分絕對路徑(不包含文件名，如 C:Windowssystem32 )=部分通配符路徑（不包含文件名，如C:*system32 ） C:Windows=*注：1. 通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Windows，但不匹配 C:SandboxWINDOWS2. * 和 * 是完全等效的，例如 *abc = *abc3. C:abc*可以直接寫為

12、 C:abc 或者 C:abc，最后的* 是可以省去的，因為軟件限制策略的規(guī)則可以直接匹配到目錄。4. 軟件限制策略只對“指派的文件類型”列表中的格式起效。例如 *.txt 不允許的，這樣的規(guī)則實際上無效，除非你把TXT格式也加入“指派的文件類型”列表中。而且默認不對加載dll進行限制，除非在“強制”選項中指定： 5. * 和 *.* 是有區(qū)別的，后者要求文件名或路徑必須含有“.”，而前者沒有此限制，因此，*.* 的優(yōu)先級比 * 的高6. ?:* 與 ?:*.* 是截然不同的，前者是指所有分區(qū)下的每個目錄下的所有子文件夾，簡單說，就是整個硬盤；而 ?:*.* 僅包括所有分區(qū)下的帶“.”的文件或

13、目錄，一般情況下，指的就是各盤根目錄下的文件。那非一般情況是什么呢？請參考第7點7. ?:*.* 中的“.” 可能使規(guī)則范圍不限于根目錄。這里需要注意的是：有“.”的不一定是文件，可以是文件夾。例如 F:ab.c，一樣符合 ?:*.*，所以規(guī)則對F:ab.c下的所有文件及子目錄都生效。8.這是很多人寫規(guī)則時的誤區(qū)。首先引用組策略軟件限制策略規(guī)則包編寫之菜鳥入門（修正版）里的一段：4、如何保護上網(wǎng)的安全 在瀏覽不安全的網(wǎng)頁時，病毒會首先下載到IE緩存以及系統(tǒng)臨時文件夾中，并自動運行，造成系統(tǒng)染毒，在了解了這個感染途徑之后，我們可以利用軟件限制策略進行封堵 %SYSTEMROOT%tasks*.*

14、 不允許的 （這個是計劃任務，病毒藏身地之一） %SYSTEMROOT%Temp*.* 不允許的 %USERPROFILE%Cookies*.* 不允許的 %USERPROFILE%Local Settings*.* 不允許的（這個是IE緩存、歷史記錄、臨時文件所在位置）說實話，上面引用的部分不少地方都是錯誤的先不談這樣的規(guī)則能否保護上網(wǎng)安全，實際上這幾條規(guī)則在設置時就犯了一些錯誤例如：%USERPROFILE%Local Settings*.*不允許的可以看出，規(guī)則的原意是阻止程序從Local Settings（包括所有子目錄）中啟動現(xiàn)在大家不妨想想這規(guī)則的實際作用是什么？先參考注1和注2，

15、* 和* 是等同的，而且不包含字符“”。所以，這里規(guī)則的實際效果是 “禁止程序從Local Settings文件夾的一級子目錄中啟動”，不包括Local Settings根目錄，也不包括二級和以下的子目錄。現(xiàn)在我們再來看看Local Settings的一級子目錄有哪些：Temp、Temporary Internet Files、Application Data、History。阻止程序從Temp根目錄啟動，直接的后果就是很多軟件不能成功安裝那么，阻止程序從Temporary Internet Files根目錄啟動又如何呢？實際上，由于IE的緩存并不是存放Temporary Internet F

16、iles根目錄中，而是存于Temporary Internet Files的子目錄Content.IE5的子目錄里（-_-|），所以這種寫法根本不能阻止程序從IE緩存中啟動，是沒有意義的規(guī)則若要阻止程序從某個文件夾及所有子目錄中啟動，正確的寫法應該是：某目錄* 某目錄* 某目錄 某目錄9. ?:autorun.inf 不允許的這是流傳的所謂防U盤病毒規(guī)則，事實上這條規(guī)則是沒有作用的，關于這點在 關于各種策略防范U盤病毒的討論 已經(jīng)作了分析二.軟件限制策略的3D的實現(xiàn)：“軟件限制策略通過降權實現(xiàn)AD，并通過NTFS權限實現(xiàn)FD，同時通過注冊表權限實現(xiàn)RD，從而完成3D的部署”對于軟件限制策略的A

17、D限制，是由權限指派來完成的，而這個權限的指派，用的是微軟內(nèi)置的規(guī)則，即使我們修改“用戶權限指派”項的內(nèi)容（這個是對登陸用戶的權限而言），也無法對軟件限制策略中的安全等級進行提權。所以，只要選擇好安全等級，AD部分就已經(jīng)部署好了，不能再作干預而軟件件限制策略的FD和RD限制，分別由NTFS權限、注冊表權限來完成。而與AD部分不同的是，這樣限制是可以干預的，也就是說，我們可以通過調(diào)整NTFS和注冊表權限來配置FD和RD，這就比AD部分要靈活得多。小結一下，就是AD用戶權利指派（內(nèi)置的安全等級）FDNTFS權限RD注冊表權限先說AD部分，我們能選擇的就是采用哪種權限等級，微軟提供了五種等級：不受限

18、的、基本用戶、受限的、不信任的、不允許的。不受限的，最高的權限等級，但其意義并不是完全的不受限，而是“軟件訪問權由用戶的訪問權來決定”，即繼承父進程的權限?；居脩?，基本用戶僅享有“跳過遍歷檢查”的特權，并拒絕享有管理員的權限。受限的，比基本用戶限制更多，也僅享有“跳過遍歷檢查”的特權。不信任的，不允許對系統(tǒng)資源、用戶資源進行訪問，直接的結果就是程序將無法運行。不允許的，無條件地阻止程序執(zhí)行或文件被打開很容易看出，按權限大小排序為 不受限的 基本用戶 受限的 不信任的 不允許的其中，基本用戶 、受限的、不信任的 這三個安全等級是要手動打開的具體做法：打開注冊表編輯器，展開至HKEY_LOCAL

19、_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一個DWORD值，命名為Levels，其值可以為0x10000 /增加受限的0x20000 /增加基本用戶0x30000 /增加受限的，基本用戶0x31000 /增加受限的，基本用戶，不信任的設成0x31000（即）即可如圖：或者將下面附件中的reg雙擊導入注冊表即可再強調(diào)兩點：1.“不允許的”級別不包含任何FD操作。你可以對一個設定成“不允許的”文件進行讀取、復制、粘貼、修改、刪除等操作，組策略不會阻止，前提當然是你的用戶級別擁有修改該文件的權限2.“不受限的”級別不等

20、于完全不受限制，只是不受軟件限制策略的附加限制。事實上，“不受限的”程序在啟動時，系統(tǒng)將賦予該程序的父進程的權限字，該程序所獲得的訪問令牌決定于其父進程，所以任何程序的權限將不會超過它的父進程。權限的分配與繼承:這里的講解默認了一個前提：假設你的用戶類型是管理員。在沒有軟件限制策略的情況下，很簡單，如果程序a啟動程序b，那么a是b的父進程，b繼承a的權限現(xiàn)在把a設為基本用戶，b不做限制（把b設為不受限或者不對b設置規(guī)則效果是一樣的）然后由a啟動b，那么b的權限繼承于a，也是基本用戶，即:a（基本用戶）- b（不受限的） = b（基本用戶）若把b設為基本用戶，a不做限制，那么a啟動b后，b仍然為

21、基本用戶權限，即a（不受限的）- b（基本用戶） = b（基本用戶）可以看到，一個程序所能獲得的最終權限取決于：父進程權限 和 規(guī)則限定的權限 的最低等級，也就是我們所說的最低權限原則舉一個例：若我們把IE設成基本用戶等級啟動，那么由IE執(zhí)行的任何程序的權限都將不高于基本用戶級別，只能更低。所以就可以達到防范網(wǎng)馬的效果即使IE下載病毒并執(zhí)行了，病毒由于權限的限制，無法對系統(tǒng)進行有害的更改，如果重啟一下，那么病毒就只剩下尸體了。甚至，我們還可以通過NTFS權限的設置，讓IE無法下載和運行病毒，不給病毒任何的機會。FD：NTFS權限* 要求磁盤分區(qū)為NTFS格式 *其實Microsoft Wind

22、ows 的每個新版本都對 NTFS 文件系統(tǒng)進行了改進。NTFS 的默認權限對大多數(shù)組織而言都已夠用。注：設置前請先在“文件夾選項”中取消選中“使用簡單文件共享（推薦）”NTFS權限的分配1.如果一個用戶屬于多個組，那么該用戶所獲得的權限是各個組的疊加2.“拒絕”的優(yōu)先級比“允許”要高例如：用戶A 同時屬于Administrators和Everyone組，若Administrators組具有完全訪問權，但Everyone組拒絕對目錄的寫入，那么用戶A的實際權限是：不能對目錄寫入，但可以進行除此之外的任何操作高級權限名稱 描述 （包括了完整的FD和部分AD）遍歷文件夾/運行文件（遍歷文件夾可以不

23、管，主要是“運行文件”，若無此權限則不能啟動文件，相當于AD的運行應用程序）允許或拒絕用戶在整個文件夾中移動以到達其他文件或文件夾的請求，即使用戶沒有遍歷文件夾的權限（僅適用于文件夾）。列出文件夾/讀取數(shù)據(jù)允許或拒絕用戶查看指定文件夾內(nèi)文件名和子文件夾名的請求。它僅影響該文件夾的內(nèi)容，而不影響您對其設置權限的文件夾是否會列出（僅適用于文件夾）。讀取屬性 （FD的讀?。┰试S或拒絕查看文件中數(shù)據(jù)的能力（僅適用于文件）。讀取擴展屬性允許或拒絕用戶查看文件或文件夾屬性（例如只讀和隱藏）的請求。屬性由 NTFS 定義。創(chuàng)建文件/寫入數(shù)據(jù) （FD的創(chuàng)建）“創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件（僅適用于文

24、件夾）?！皩懭霐?shù)據(jù)”允許或拒絕對文件進行修改并覆蓋現(xiàn)有內(nèi)容的能力（僅適用于文件）。創(chuàng)建文件夾/追加數(shù)據(jù)“創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請求（僅適用于文件夾）。“追加數(shù)據(jù)”允許或拒絕對文件末尾進行更改而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力（僅適用于文件）。寫入屬性 （即改寫操作了，F(xiàn)D的寫）允許或拒絕用戶對文件末尾進行更改，而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請求（僅適用于文件）。即寫操作寫入擴展屬性允許或拒絕用戶更改文件或文件夾屬性（例如只讀和隱藏）的請求。屬性由 NTFS 定義。刪除子文件夾和文件 （FD的刪除）允許或拒絕刪除子文件夾和文件的能力，即使子文件夾或文件上沒有分配“刪

25、除”權限（適用于文件夾）。刪除 （與上面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄本身）允許或拒絕用戶刪除子文件夾和文件的請求，即使子文件夾或文件上沒有分配“刪除”權限（適用于文件夾）。讀取權限 （NTFS權限的查看）允許或拒絕用戶讀取文件或文件夾權限（例如“完全控制”、“讀取”和“寫入”）的請求。更改權限 （NTFS權限的修改）允許或拒絕用戶更改文件或文件夾權限（例如“完全控制”、“讀取”和“寫入”）的請求。取得所有權 允許或拒絕取得文件或文件夾的所有權。文件或文件夾的所有者始終可以更改其權限，而不論用于保護該文件或文件夾的現(xiàn)有權限如何。以基本用戶為例，基本用戶能做什么？在系統(tǒng)默認的NT

26、FS權限下，基本用戶對系統(tǒng)變量和用戶變量有完全訪問權，對系統(tǒng)文件夾只讀，對Program Files的公共文件夾只讀，Document and Setting下，僅對當前用戶目錄有完全訪問權，其余不能訪問關于基本用戶的相關詳細介紹，請看這里：/viewthread.php?tid=&highlight=如果覺得以上的限制嚴格了或者寬松了，可以自行調(diào)整各個目錄和文件的NTFS權限。如果發(fā)現(xiàn)瀏覽器在基本用戶下無法使用某些功能的，很多都是由NTFS權限造成的，可以嘗試調(diào)整對應文件或文件夾的NTFS權限NTFS權限的調(diào)整基本用戶、受限用戶屬于以下組UsersAuth

27、enticated UsersEveryoneINTERACTIVE調(diào)整權限時，主要利用到的組為 Users為什么是Users組？因為調(diào)整Users的權限可以限制基本用戶、受限用戶，但卻不會影響到管理員，這樣就既保證了使用基本用戶的安全性和管理員帳戶下的操作的方便性例：對用戶變量Temp目錄進行設置，禁止基本用戶從該目錄運行程序，可以這樣做：首先進入“高級”選項，取消勾選“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目(I)”然后設置Users的權限如圖然后把除Administrators、Users、SYSTEM之外的所有組都刪除之這樣基本用戶下的程序就無法從Temp啟

28、動文件了注意：1. 不要使用“拒絕”，不然管理員權限下的程序也會受影響2. everyone組的權限適用于任何人、任何程序，故everyone組的權限不能太高，至少要低于Users組其實利用NTFS權限還可以實現(xiàn)很多功能又例如，如果想保護某些文件不被修改或刪除，可以取消Users的刪除和寫入權限，從而限制基本用戶，達到保護重要文件的效果當然，也可以防止基本用戶運行指定的程序以下為微軟建議進行限制的程序：regedit.exearp.exeat.exeattrib.execacls.exedebug.exeedlin.exeeventcreate.exeeventtriggers.exeftp.exenbtstat.exenet.exenet1.exenetsh.exenetstat.exenslookup.exentbackup.exercp.exereg.exeregedt32.exeregini.exeregsvr32.exerexec.exeroute.exersh.exesc.exesecedit.exesubst.exesysteminfo.exetelnet.exetftp.exetlntsvr.exeRD部分