組策略防病毒學(xué)習(xí)之軟件限制策略——完全教程與規(guī)則示例

1、組策略之軟件限制策略完全教程與規(guī)則示例導(dǎo)讀注意：如果你沒有耐心或興趣看完所有內(nèi)容而想直接使用規(guī)則的話，請(qǐng)至少認(rèn)真看一次規(guī)則的說(shuō)明，謝謝實(shí)際上，本教程主要為以下內(nèi)容：理論部分：1.軟件限制策略的路徑規(guī)則的優(yōu)先級(jí)問題2.在路徑規(guī)則中如何使用通配符3.規(guī)則的權(quán)限繼承問題4.軟件限制策略如何實(shí)現(xiàn)3D部署（配合訪問控制，如NTFS權(quán)限），軟件限制策略的精髓在于權(quán)限，部署策略同時(shí)，往往也需要學(xué)會(huì)設(shè)置權(quán)限規(guī)則部分：5.如何用軟件限制策略防毒（也就是如何寫規(guī)則）6.規(guī)則的示例與下載其中，1、2、3點(diǎn)是基礎(chǔ)，很多人寫出無(wú)效或者錯(cuò)誤的規(guī)則出來(lái)都是因?yàn)閷?duì)這些內(nèi)容沒有搞清楚；第4點(diǎn)可能有點(diǎn)難，但如果想讓策略有更好的防

2、護(hù)效果并且不影響平時(shí)正常使用的話，這點(diǎn)很重要。如果使用規(guī)則后發(fā)現(xiàn)有的軟件工作不正常，請(qǐng)參考這部分內(nèi)容，注意調(diào)整NTFS權(quán)限理論部分軟件限制策略包括證書規(guī)則、散列規(guī)則、Internet 區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則，其中靈活性最好的就是路徑規(guī)則了，所以一般我們談到的策略規(guī)則，若沒有特別說(shuō)明，則直接指路徑規(guī)則?；蛘哂腥藛枺簽槭裁床挥蒙⒘幸?guī)則？散列規(guī)則可以防病毒替換白名單中的程序，安全性不是更好么？一是因?yàn)樯⒘幸?guī)則不能通用，二是即使用了也意義不大 防替換應(yīng)該要利用好NTFS權(quán)限，而不是散列規(guī)則，要是真讓病毒替換了系統(tǒng)程序，那么再談規(guī)則已經(jīng)晚了 一.環(huán)境變量、通配符

3、和優(yōu)先級(jí)關(guān)于環(huán)境變量（假定系統(tǒng)盤為 C盤） %USERPROFILE%  表示 C:Documents and Settings當(dāng)前用戶名 %HOMEPATH%    表示 C:Documents and Settings當(dāng)前用戶名%ALLUSERSPROFILE%  表示 C:Documents and SettingsAll Users%ComSpec%  表示 C:WINDOWSSystem32cmd.exe %APPDATA%  表示 C:Documents

4、 and Settings當(dāng)前用戶名Application Data %ALLAPPDATA%  表示 C:Documents and SettingsAll UsersApplication Data %SYSTEMDRIVE% 表示 C:%HOMEDRIVE%   表示 C:%SYSTEMROOT%  表示 C:WINDOWS %WINDIR%      表示 C:WINDOWS %TEMP% 和 %TMP%  表示 C:Docum

5、ents and Settings當(dāng)前用戶名Local SettingsTemp %ProgramFiles%  表示 C:Program Files %CommonProgramFiles%  表示 C:Program FilesCommon Files 關(guān)于通配符：Windows里面默認(rèn)* ：任意個(gè)字符（包括0個(gè)），但不包括斜杠? ：1個(gè)或0個(gè)字符幾個(gè)例子*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每個(gè)目錄下的所有子文件夾。C:win* 匹配 C:winnt、C:windows

6、、C:windir 以及每個(gè)目錄下的所有子文件夾。*.vbs 匹配 Windows XP Professional 中具有此擴(kuò)展名的任何應(yīng)用程序。C:Application Files*.* 匹配特定目錄（Application Files）中的應(yīng)用程序文件，但不包括Application Files的子目錄關(guān)于優(yōu)先級(jí):總的原則是:規(guī)則越匹配越優(yōu)先1.絕對(duì)路徑 > 通配符全路徑 如 C:Windowsexplorer.exe > *Windowsexplorer.exe  2.文件名規(guī)則 > 目錄型規(guī)則     &#

7、160; 如若a.exe在Windows目錄中，那么   a.exe > C:Windows3.環(huán)境變量 = 相應(yīng)的實(shí)際路徑 = 注冊(cè)表鍵值路徑如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.對(duì)于同是目錄規(guī)則，則能匹配的目錄級(jí)數(shù)越多的規(guī)則越優(yōu)先   對(duì)于同是文件名規(guī)則，優(yōu)先級(jí)均相同5.散列規(guī)則比任何路徑規(guī)則優(yōu)先級(jí)都高6.若規(guī)則的優(yōu)先級(jí)相同，按最受限制的規(guī)則為準(zhǔn)舉例說(shuō)

8、明，例如cmd的全路徑是 C:Windowssystem32cmd.exe那么，優(yōu)先級(jí)順序是：絕對(duì)路徑(如C:Windowssystem32cmd.exe)  > 通配符全路徑(如*Windows*cmd.exe) > 文件名規(guī)則(如cmd.exe) = 通配符文件名規(guī)則(如*.*) > 部分絕對(duì)路徑(不包含文件名，如 C:Windowssystem32 )  =  部分通配符路徑（不包含文件名，如C:*system32

9、0;）  > C:Windows  =  *注：1. 通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Windows，但不匹配 C:SandboxWINDOWS2. * 和 * 是完全等效的，例如 *abc = *abc3. C:abc*  可以直接寫為 C:abc 或者 C:abc，最后的* 是可以省去的，因?yàn)檐浖拗撇呗缘囊?guī)則可以直接匹配到目錄。4. 軟件限制策略只對(duì)“指派的文件類型”列表中的格式起效。例如 *.txt 不允許的，這樣的規(guī)則實(shí)際上無(wú)效，除非你把TXT格式也加

10、入“指派的文件類型”列表中。而且默認(rèn)不對(duì)加載dll進(jìn)行限制，除非在“強(qiáng)制”選項(xiàng)中指定：              5. * 和 *.* 是有區(qū)別的，后者要求文件名或路徑必須含有“.”，而前者沒有此限制，因此，*.* 的優(yōu)先級(jí)比 * 的高6. ?:* 與 ?:*.* 是截然不同的，前者是指所有分區(qū)下的每個(gè)目錄下的所有子文件夾，簡(jiǎn)單說(shuō)，就是整個(gè)硬盤；而 ?:*.* 僅包括所有分區(qū)下的帶“.”的文件或目錄，一般情況下，指的就是各盤根目錄下的文件。那非一般情況是什么呢？請(qǐng)參考第7點(diǎn)7. ?:*.* 中的

11、“.” 可能使規(guī)則范圍不限于根目錄。這里需要注意的是：有“.”的不一定是文件，可以是文件夾。例如 F:ab.c，一樣符合 ?:*.*，所以規(guī)則對(duì)F:ab.c下的所有文件及子目錄都生效。8.這是很多人寫規(guī)則時(shí)的誤區(qū)。首先引用組策略軟件限制策略規(guī)則包編寫之菜鳥入門（修正版）里的一段：4、如何保護(hù)上網(wǎng)的安全 在瀏覽不安全的網(wǎng)頁(yè)時(shí)，病毒會(huì)首先下載到IE緩存以及系統(tǒng)臨時(shí)文件夾中，并自動(dòng)運(yùn)行，造成系統(tǒng)染毒，在了解了這個(gè)感染途徑之后，我們可以利用軟件限制策略進(jìn)行封堵 %SYSTEMROOT%tasks*.*    不允許的    （這個(gè)是計(jì)劃任務(wù)，

12、病毒藏身地之一） %SYSTEMROOT%Temp*.*    不允許的 %USERPROFILE%Cookies*.*    不允許的 %USERPROFILE%Local Settings*.*    不允許的  （這個(gè)是IE緩存、歷史記錄、臨時(shí)文件所在位置）說(shuō)實(shí)話，上面引用的部分不少地方都是錯(cuò)誤的先不談這樣的規(guī)則能否保護(hù)上網(wǎng)安全，實(shí)際上這幾條規(guī)則在設(shè)置時(shí)就犯了一些錯(cuò)誤例如：%USERPROFILE%Local Settings*.*  不允許的可以看出，規(guī)則的

13、原意是阻止程序從Local Settings（包括所有子目錄）中啟動(dòng)現(xiàn)在大家不妨想想這規(guī)則的實(shí)際作用是什么？先參考注1和注2，* 和* 是等同的，而且不包含字符“”。所以，這里規(guī)則的實(shí)際效果是 “禁止程序從Local Settings文件夾的一級(jí)子目錄中啟動(dòng)”，不包括Local Settings根目錄，也不包括二級(jí)和以下的子目錄?，F(xiàn)在我們?cè)賮?lái)看看Local Settings的一級(jí)子目錄有哪些：Temp、Temporary Internet Files、Application Data、History。阻止程序從Temp根目錄啟動(dòng)，直接的后果就是很多軟件不能成功安裝那么，阻止程序從Tempora

14、ry Internet Files根目錄啟動(dòng)又如何呢？實(shí)際上，由于IE的緩存并不是存放Temporary Internet Files根目錄中，而是存于Temporary Internet Files的子目錄Content.IE5的子目錄里（-_-|），所以這種寫法根本不能阻止程序從IE緩存中啟動(dòng)，是沒有意義的規(guī)則若要阻止程序從某個(gè)文件夾及所有子目錄中啟動(dòng)，正確的寫法應(yīng)該是：某目錄* 某目錄* 某目錄 某目錄9.?:autorun.inf    不允許的這是流傳的所謂防U盤病毒規(guī)則，事實(shí)上這條規(guī)則是沒有作用的，關(guān)于這點(diǎn)在 關(guān)于各種策略

15、防范U盤病毒的討論 已經(jīng)作了分析二.軟件限制策略的3D的實(shí)現(xiàn)：“軟件限制策略通過(guò)降權(quán)實(shí)現(xiàn)AD，并通過(guò)NTFS權(quán)限實(shí)現(xiàn)FD，同時(shí)通過(guò)注冊(cè)表權(quán)限實(shí)現(xiàn)RD，從而完成3D的部署”對(duì)于軟件限制策略的AD限制，是由權(quán)限指派來(lái)完成的，而這個(gè)權(quán)限的指派，用的是微軟內(nèi)置的規(guī)則，即使我們修改“用戶權(quán)限指派”項(xiàng)的內(nèi)容（這個(gè)是對(duì)登陸用戶的權(quán)限而言），也無(wú)法對(duì)軟件限制策略中的安全等級(jí)進(jìn)行提權(quán)。所以，只要選擇好安全等級(jí)，AD部分就已經(jīng)部署好了，不能再作干預(yù)而軟件件限制策略的FD和RD限制，分別由NTFS權(quán)限、注冊(cè)表權(quán)限來(lái)完成。而與AD部分不同的是，這樣限制是可以干預(yù)的，也就是說(shuō)，我們可以通過(guò)調(diào)整NTFS和注冊(cè)表

16、權(quán)限來(lái)配置FD和RD，這就比AD部分要靈活得多。小結(jié)一下，就是AD用戶權(quán)利指派（內(nèi)置的安全等級(jí)）FDNTFS權(quán)限RD注冊(cè)表權(quán)限先說(shuō)AD部分，我們能選擇的就是采用哪種權(quán)限等級(jí)，微軟提供了五種等級(jí)：不受限的、基本用戶、受限的、不信任的、不允許的。不受限的，最高的權(quán)限等級(jí)，但其意義并不是完全的不受限，而是“軟件訪問權(quán)由用戶的訪問權(quán)來(lái)決定”，即繼承父進(jìn)程的權(quán)限。基本用戶，基本用戶僅享有“跳過(guò)遍歷檢查”的特權(quán)，并拒絕享有管理員的權(quán)限。受限的，比基本用戶限制更多，也僅享有“跳過(guò)遍歷檢查”的特權(quán)。不信任的，不允許對(duì)系統(tǒng)資源、用戶資源進(jìn)行訪問，直接的結(jié)果就是程序?qū)o(wú)法運(yùn)行。不允許的，無(wú)條件地阻止程序執(zhí)行或文件

17、被打開很容易看出，按權(quán)限大小排序?yàn)?不受限的 > 基本用戶 > 受限的 > 不信任的 > 不允許的其中，基本用戶 、受限的、不信任的 這三個(gè)安全等級(jí)是要手動(dòng)打開的具體做法：打開注冊(cè)表編輯器，展開至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一個(gè)DWORD值，命名為L(zhǎng)evels，其值可以為0x10000                  /增加受限的0x2

18、0000                  /增加基本用戶0x30000                  /增加受限的，基本用戶0x31000                  /增加受限的，基本用戶，不信任的設(shè)成0x31000（即413

19、1000）即可如圖： 或者將下面附件中的reg雙擊導(dǎo)入注冊(cè)表即可 safer.rar (279 Bytes, 下載次數(shù): 1948) 再?gòu)?qiáng)調(diào)兩點(diǎn)：1.“不允許的”級(jí)別不包含任何FD操作。你可以對(duì)一個(gè)設(shè)定成“不允許的”文件進(jìn)行讀取、復(fù)制、粘貼、修改、刪除等操作，組策略不會(huì)阻止，前提當(dāng)然是你的用戶級(jí)別擁有修改該文件的權(quán)限2.“不受限的”級(jí)別不等于完全不受限制，只是不受軟件限制策略的附加限制。事實(shí)上，“不受限的”程序在啟動(dòng)時(shí)，系統(tǒng)將賦予該程序的父進(jìn)程的權(quán)限字，該程序所獲得的訪問令牌決定于其父進(jìn)程，所以任何程序的權(quán)限將不會(huì)超過(guò)它的父進(jìn)程。權(quán)限的分配與繼承:這里的

20、講解默認(rèn)了一個(gè)前提：假設(shè)你的用戶類型是管理員。在沒有軟件限制策略的情況下，很簡(jiǎn)單，如果程序a啟動(dòng)程序b，那么a是b的父進(jìn)程，b繼承a的權(quán)限現(xiàn)在把a(bǔ)設(shè)為基本用戶，b不做限制（把b設(shè)為不受限或者不對(duì)b設(shè)置規(guī)則效果是一樣的）然后由a啟動(dòng)b，那么b的權(quán)限繼承于a，也是基本用戶，即:a（基本用戶）-> b（不受限的） = b（基本用戶）若把b設(shè)為基本用戶，a不做限制，那么a啟動(dòng)b后，b仍然為基本用戶權(quán)限，即a（不受限的）-> b（基本用戶） = b（基本用戶）可以看到，一個(gè)程序所能獲得的最終權(quán)限取決于：父進(jìn)程權(quán)限 和 規(guī)則限定的權(quán)限 的最低等級(jí)，也就是我們所說(shuō)的最低權(quán)限原則舉一個(gè)例：若我們把

21、IE設(shè)成基本用戶等級(jí)啟動(dòng)，那么由IE執(zhí)行的任何程序的權(quán)限都將不高于基本用戶級(jí)別，只能更低。所以就可以達(dá)到防范網(wǎng)馬的效果即使IE下載病毒并執(zhí)行了，病毒由于權(quán)限的限制，無(wú)法對(duì)系統(tǒng)進(jìn)行有害的更改，如果重啟一下，那么病毒就只剩下尸體了。甚至，我們還可以通過(guò)NTFS權(quán)限的設(shè)置，讓IE無(wú)法下載和運(yùn)行病毒，不給病毒任何的機(jī)會(huì)。FD：NTFS權(quán)限* 要求磁盤分區(qū)為NTFS格式 *其實(shí)Microsoft Windows 的每個(gè)新版本都對(duì) NTFS 文件系統(tǒng)進(jìn)行了改進(jìn)。NTFS 的默認(rèn)權(quán)限對(duì)大多數(shù)組織而言都已夠用。注：設(shè)置前請(qǐng)先在“文件夾選項(xiàng)”中取消選中“使用簡(jiǎn)單文件共享（推薦）”NTFS權(quán)限的分配1.如果一個(gè)用

22、戶屬于多個(gè)組，那么該用戶所獲得的權(quán)限是各個(gè)組的疊加2.“拒絕”的優(yōu)先級(jí)比“允許”要高例如：用戶A 同時(shí)屬于Administrators和Everyone組，若Administrators組具有完全訪問權(quán)，但Everyone組拒絕對(duì)目錄的寫入，那么用戶A的實(shí)際權(quán)限是：不能對(duì)目錄寫入，但可以進(jìn)行除此之外的任何操作高級(jí)權(quán)限名稱 描述 （包括了完整的FD和部分AD）遍歷文件夾/運(yùn)行文件  （遍歷文件夾可以不管，主要是“運(yùn)行文件”，若無(wú)此權(quán)限則不能啟動(dòng)文件，相當(dāng)于AD的運(yùn)行應(yīng)用程序）允許或拒絕用戶在整個(gè)文件夾中移動(dòng)以到達(dá)其他文件或文件夾的請(qǐng)求，即使用戶沒有遍歷文件夾的權(quán)限（

23、僅適用于文件夾）。列出文件夾/讀取數(shù)據(jù)允許或拒絕用戶查看指定文件夾內(nèi)文件名和子文件夾名的請(qǐng)求。它僅影響該文件夾的內(nèi)容，而不影響您對(duì)其設(shè)置權(quán)限的文件夾是否會(huì)列出（僅適用于文件夾）。讀取屬性 （FD的讀取）允許或拒絕查看文件中數(shù)據(jù)的能力（僅適用于文件）。讀取擴(kuò)展屬性允許或拒絕用戶查看文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。創(chuàng)建文件/寫入數(shù)據(jù) （FD的創(chuàng)建）“創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件（僅適用于文件夾）。“寫入數(shù)據(jù)”允許或拒絕對(duì)文件進(jìn)行修改并覆蓋現(xiàn)有內(nèi)容的能力（僅適用于文件）。創(chuàng)建文件夾/追加數(shù)據(jù)“創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請(qǐng)求（僅適用

24、于文件夾）?！白芳訑?shù)據(jù)”允許或拒絕對(duì)文件末尾進(jìn)行更改而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力（僅適用于文件）。寫入屬性 （即改寫操作了，F(xiàn)D的寫）允許或拒絕用戶對(duì)文件末尾進(jìn)行更改，而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請(qǐng)求（僅適用于文件）。  即寫操作寫入擴(kuò)展屬性允許或拒絕用戶更改文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。刪除子文件夾和文件 （FD的刪除）允許或拒絕刪除子文件夾和文件的能力，即使子文件夾或文件上沒有分配“刪除”權(quán)限（適用于文件夾）。刪除 （與上面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄本身）允許或拒絕用戶刪除子文件夾和文件的請(qǐng)求，即使子文件夾

25、或文件上沒有分配“刪除”權(quán)限（適用于文件夾）。讀取權(quán)限 （NTFS權(quán)限的查看）允許或拒絕用戶讀取文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫入”）的請(qǐng)求。更改權(quán)限 （NTFS權(quán)限的修改）允許或拒絕用戶更改文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫入”）的請(qǐng)求。取得所有權(quán) 允許或拒絕取得文件或文件夾的所有權(quán)。文件或文件夾的所有者始終可以更改其權(quán)限，而不論用于保護(hù)該文件或文件夾的現(xiàn)有權(quán)限如何。以基本用戶為例，基本用戶能做什么？在系統(tǒng)默認(rèn)的NTFS權(quán)限下，基本用戶對(duì)系統(tǒng)變量和用戶變量有完全訪問權(quán)，對(duì)系統(tǒng)文件夾只讀，對(duì)Program Files的公共文件夾只讀，Document

26、 and Setting下，僅對(duì)當(dāng)前用戶目錄有完全訪問權(quán)，其余不能訪問關(guān)于基本用戶的相關(guān)詳細(xì)介紹，請(qǐng)看這里：=如果覺得以上的限制嚴(yán)格了或者寬松了，可以自行調(diào)整各個(gè)目錄和文件的NTFS權(quán)限。如果發(fā)現(xiàn)瀏覽器在基本用戶下無(wú)法使用某些功能的，很多都是由NTFS權(quán)限造成的，可以嘗試調(diào)整對(duì)應(yīng)文件或文件夾的NTFS權(quán)限NTFS權(quán)限的調(diào)整基本用戶、受限用戶屬于以下組UsersAuthenticated UsersEveryoneINTERACTIVE調(diào)整權(quán)限時(shí)，主要利用到的組為 Users為什么是Users組？因?yàn)檎{(diào)整Users的權(quán)限可以限制基本用戶、受限用戶，但卻不會(huì)影響到管理員，這樣就既保證了使用基本用戶

27、的安全性和管理員帳戶下的操作的方便性例：對(duì)用戶變量Temp目錄進(jìn)行設(shè)置，禁止基本用戶從該目錄運(yùn)行程序，可以這樣做：首先進(jìn)入“高級(jí)”選項(xiàng)，取消勾選“從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目(I)” 然后設(shè)置Users的權(quán)限如圖 然后把除Administrators、Users、SYSTEM之外的所有組都刪除之這樣基本用戶下的程序就無(wú)法從Temp啟動(dòng)文件了注意：1. 不要使用“拒絕”，不然管理員權(quán)限下的程序也會(huì)受影響2. everyone組的權(quán)限適用于任何人、任何程序，故everyone組的權(quán)限不能太高，至少要低于Users組其實(shí)利用NTFS權(quán)限還可

28、以實(shí)現(xiàn)很多功能又例如，如果想保護(hù)某些文件不被修改或刪除，可以取消Users的刪除和寫入權(quán)限，從而限制基本用戶，達(dá)到保護(hù)重要文件的效果當(dāng)然，也可以防止基本用戶運(yùn)行指定的程序以下為微軟建議進(jìn)行限制的程序：regedit.exearp.exeat.exeattrib.execacls.exedebug.exeedlin.exeeventcreate.exeeventtriggers.exeftp.exenbtstat.exenet.exenet1.exenetsh.exenetstat.exenslookup.exentbackup.exercp.exereg.exeregedt32.exeregi

29、ni.exeregsvr32.exerexec.exeroute.exersh.exesc.exesecedit.exesubst.exesysteminfo.exetelnet.exetftp.exetlntsvr.exeRD部分：注冊(cè)表權(quán)限。由于微軟默認(rèn)的注冊(cè)表權(quán)限分配已經(jīng)做得很好了，不需要作什么改動(dòng)，所以這里就直接略過(guò)了三.關(guān)于組策略規(guī)則的設(shè)置：規(guī)則要顧及方便性，因此不能對(duì)自己有過(guò)多的限制，或者最低限度地，即使出現(xiàn)限制的情況，也能方便地進(jìn)行排除規(guī)則要顧及安全性，首先要考慮的對(duì)象就是瀏覽器等上網(wǎng)類軟件和可移動(dòng)設(shè)備所帶來(lái)的威脅。沒有這種防外能力的規(guī)則都是不完整或者不合格的基于文件名防病毒、防

30、流氓的規(guī)則不宜多設(shè)，甚至可以舍棄。一是容易誤阻，二是病毒名字可以隨便改，特征庫(kù)式的黑名單只會(huì)跟殺軟的病毒庫(kù)一樣滯后。于是，我們有兩種方案：如果想限制少一點(diǎn)的，可以只設(shè)防“入口”規(guī)則，主要面向U盤和瀏覽器如果想安全系數(shù)更高、全面一點(diǎn)的，可以考慮全局規(guī)則+白名單具體內(nèi)容見二樓待續(xù).最后布置幾道作業(yè) ，看看大家對(duì)上面的內(nèi)容消化得如何 1. 在規(guī)則“F:*.*  不允許”下，下面那些文件不能被打開？A:F:a.exeB.F:Folder.1b.exeC.F:Folder1Folder.2C.txtD.F:Folder1Folder.2Folder.3d

31、.exe2. 在以管理員身份登陸的情況下，建立規(guī)則如下：%Temp%                                                            &

32、#160;                           受限的%USERPROFILE%Local SettingsTemporary Internet Files                         不允許的%ProgramFiles%Intern

33、et Exploreriexplore.exe                                                 基本用戶%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

34、Shell FoldersDesktop%  不受限的在這四條規(guī)則下，假設(shè)這樣的情況：那么test2.exe的訪問令牌為：A.不受限的        B.不允許的      C.基本用戶       D.受限的3. 試說(shuō)出 F:win* 和 F:win* 的區(qū)別4. 若想限制QQ的行為，例如右下方彈出的廣告，并不允許QQ調(diào)用瀏覽器，可以怎么做？答對(duì)兩題即及格。不過(guò)貌似還是有些難度 本帖最后由 深紅的雪 于

35、2008-12-20 18:48 編輯 規(guī)則部分基礎(chǔ)部分，如何建立規(guī)則：首先，打開組策略開始-運(yùn)行，輸入 “gpedit.msc”（不包含引號(hào)）并回車。在彈出的對(duì)話框中，依次展開 計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-軟件限制策略如果你之前沒有配置過(guò)軟件限制策略，那么可以在菜單欄上選擇 操作-創(chuàng)建新的策略如圖 然后轉(zhuǎn)到“其它規(guī)則”項(xiàng)，在菜單欄選擇“操作”，在下拉菜單選擇“新路徑規(guī)則”在彈出的對(duì)話框中，就可以編輯規(guī)則了 華麗麗的分割線軟件限制策略的其實(shí)并不復(fù)雜，在規(guī)則設(shè)置上是十分簡(jiǎn)單的，只有五個(gè)安全級(jí)別，你要做的就只是寫一條路徑，然后選擇一個(gè)安全等級(jí)，這樣就完成

36、了一條規(guī)則的設(shè)置了，不像HIPS那樣，光AD部分就細(xì)分成N項(xiàng)。但軟件限制策略的難點(diǎn)在于：如何確保你的規(guī)則真正有效并按你的意愿去工作，即如何保證規(guī)則的正確性和有效性。從四道題目的答對(duì)率來(lái)看，發(fā)現(xiàn)問題還是不少的 附上題目的參考答案1.D考點(diǎn)：注2、注4、注7這題的C選項(xiàng)是陷阱，因?yàn)門XT文件不在規(guī)則的阻擋范圍之內(nèi)。D項(xiàng)參考注7，F(xiàn):Folder1Folder.2Folder.3 （注意“.”）正好能匹配 F:*.*，因此Folder.3下面的EXE文件不能被打開2.D說(shuō)明：此題的考點(diǎn)為“AD權(quán)限的分配/最低權(quán)限原則”我們先整理一下父子進(jìn)程的關(guān)系：iexplore.exe -> te

37、st.exe -> test2.exe（基本用戶）    （受限的）  （受限的）其中，test.exe從Temp目錄啟動(dòng)，受規(guī)則“%Temp%  受限的”的限制，其權(quán)限降為“受限的”。test2.exe從桌面啟動(dòng)，雖然桌面的程序是不受限的，但由于其父進(jìn)程為test.exe，故繼承test.exe的權(quán)限，故test2.exe的最終獲得訪問令牌還是“受限的”另外要注意的是，復(fù)制、創(chuàng)建文件等操作都不會(huì)構(gòu)成權(quán)限的繼承3.考點(diǎn)：注1、注3、綜合分析說(shuō)明：F:win* 和 F:win* 僅相差一個(gè)字符 “”，由注1可知，* 并不包括斜杠。

38、那么斜杠“”在這里的作用是什么？實(shí)際上，這個(gè)斜杠在規(guī)則中的作用相當(dāng)于聲明斜杠前的路徑指的是目錄，而不是文件，注意到這點(diǎn)后，就可以看出區(qū)別了：F:win* 既可以匹配到 F:windows、F:windir、F:winrar等目錄，也可以匹配到F:winrar.exe、F:winNT.bat等文件而F:win* 僅能匹配到目錄4.考點(diǎn)：NTFS權(quán)限此題答案不唯一，只要是合理可行的方案即可下面答案僅供參考：限制QQ的行為，可以把QQ設(shè)為基本用戶。防止QQ廣告，可以對(duì)Tencent下的AD目錄調(diào)整NTFS權(quán)限取消Users組的創(chuàng)建、寫入權(quán)限不允許QQ調(diào)用瀏覽器，可以對(duì)IE調(diào)整NTFS權(quán)限取消User

39、s組的“讀取和運(yùn)行”的權(quán)限 參考答案.rar (1019 Bytes, 下載次數(shù): 511) 下面將詳細(xì)討論規(guī)則部分一、再次強(qiáng)調(diào)一下通配符的使用Windows里面默認(rèn)* ：任意個(gè)字符（包括0個(gè)），但不包括斜杠? ：1個(gè)或0個(gè)字符在組策略中*不包括斜杠，這和HIPS是不同的，一定要注意例如：C:Windowssystem32 可以表示為 *system32而以下的表達(dá)式都是無(wú)效的：*system32 、system32*、system32二、根目錄規(guī)則軟件限制策略對(duì)初學(xué)者來(lái)說(shuō)有一定的難度，因?yàn)樗鼪]有HIPS那么豐富的功能選項(xiàng)，故利用規(guī)則實(shí)現(xiàn)某一功能需要一定的技巧。根

40、目錄規(guī)則就是一例（禁止在某個(gè)目錄的根目錄下的程序行為）若在EQ中，設(shè)置規(guī)則時(shí)取消“包含該目錄下面的所有文件”選項(xiàng)就可以保證規(guī)則僅對(duì)根目錄起效而組策略卻不是那么簡(jiǎn)單就可以做到。看看下面的規(guī)則：C:Program Files*.* 不允許的前面已經(jīng)提過(guò)，* 不包含斜杠，因此這個(gè)規(guī)則可視為Program Files的根目錄規(guī)則。在此規(guī)則下，形如 C:Program Filesa.exe 等程序?qū)⒉荒軉?dòng)。但這規(guī)則可能導(dǎo)致一些問題，因?yàn)橥ㄅ浞纯梢云ヅ涞轿募部梢云ヅ涞轿募A。如果Program Files存在帶有“.”的目錄（形如C:Program FilesTTplayer5.2），一樣可以和規(guī)

41、則 C:Program Files*.* 匹配，這將導(dǎo)致該文件夾下的程序無(wú)法運(yùn)行，造成誤傷。改進(jìn)一下的話，可以用兩條規(guī)則來(lái)實(shí)現(xiàn)根目錄限制如C:Program Files     不允許的C:Program Files*  不受限的這樣就保證了子目錄的程序不受規(guī)則影響三、一些規(guī)則的模板根目錄規(guī)則：                           

42、                     某目錄* + 某目錄*目錄規(guī)則（包含目錄中所有文件）：             某目錄* 或 某目錄 或 某目錄含“*”的目錄規(guī)則：                        

43、;            某目錄*   （注意要加上斜杠“”）文件型規(guī)則：                                                a.exe

44、 、*.com 等絕對(duì)路徑規(guī)則：                                            如 C:Windowsexplorer.exe全局型規(guī)則：              &#

45、160;                                *這里需要說(shuō)明的是，為什么全局型規(guī)則要使用“*”？因?yàn)?* 屬于僅有通配符的規(guī)則，其覆蓋范圍是最大的，而優(yōu)先級(jí)是最低的，不會(huì)遺漏，便于排除，最適合作為全局規(guī)則。對(duì)比“*.*”，一個(gè)字符“.”的存在使規(guī)則的優(yōu)先級(jí)提高了，這將會(huì)給排除工作帶來(lái)不便四、規(guī)則實(shí)例1. 保證上網(wǎng)安全很多人問，瀏覽毒網(wǎng)時(shí)，病毒會(huì)下載到什

46、么位置執(zhí)行？首先是，下載到網(wǎng)頁(yè)緩存中（Content.IE5），這點(diǎn)很多人都注意到了。不過(guò)呢，病毒一般卻不會(huì)選擇在緩存中執(zhí)行，而是通過(guò)瀏覽器復(fù)制病毒文件到其它目錄，例如Windows。system32、Temp，當(dāng)前用戶文件夾、桌面、系統(tǒng)盤根目錄、ProgramFiles根目錄及其公有子目錄、瀏覽器所在目錄等所以在這里再重復(fù)一次已說(shuō)過(guò)N次的話，不要以為把緩存目錄設(shè)為不允許的就萬(wàn)事大吉了。 至于防范，比較好的方法就是禁止瀏覽器在敏感位置新建文件，這點(diǎn)使用“瀏覽器基本用戶”就可以做到，規(guī)則如下%ProgramFiles%Internet Exploreriexplore.exe 

47、; 基本用戶如果使用的是其它瀏覽器，也可以設(shè)成 基本用戶若配合以下規(guī)則，效果更佳：*Documents and Settings  不允許的       程序一般不會(huì)從Documents and Settings中啟動(dòng)%ALLAPPDATA%*          不受限的       允許程序從Application Data的子目錄啟動(dòng)%APPDATA%       

48、60;            不允許的       當(dāng)前用戶的Application Data目錄限制%APPDATA%*                  不受限的       允許程序從Application Data的子目錄啟動(dòng)%SystemDrive%*.*      &

49、#160;      不允許的       禁止程序從系統(tǒng)盤根目錄啟動(dòng)%Temp%                            不受限的       允許程序從Temp目錄啟動(dòng)，安裝軟件必須%TMP%           

50、0;                  不受限的       同上并設(shè)置用戶變量Temp的NTFS權(quán)限：Temp的默認(rèn)路徑為 Documents and SettingsAdministratorLocal SettingsTemp在系統(tǒng)盤格式為NTFS的情況下，右擊Temp文件夾，選擇“安全”項(xiàng)，取消Users組的“讀取與運(yùn)行”權(quán)限即可。（同時(shí)要取消Everyone組的訪問權(quán)，且保證Administrators組具有完全訪問權(quán)限）如此

51、設(shè)置的作用是：基本用戶下的程序?qū)o(wú)法從Temp文件夾運(yùn)行程序2.U盤規(guī)則比較實(shí)際的做法是U盤:*        不允許的、不信任的、受限的，都可以不允許的安全度更高一些，這樣也不會(huì)影響U盤的一般使用（正?？截?、刪除等）假設(shè)你的U盤一般盤符是I，那么規(guī)則可以寫成：I:*  不允許的3.雙后綴文件防范規(guī)則以下是微軟的幫助：  有些文件下載起來(lái)比程序或宏文件更安全，例如文本 (.txt) 或圖像 (.jpg, .gif, .png) 文件。但是，仍然要警惕未知的來(lái)源，因?yàn)橐阎@些文件中的一些文件使用了

52、特意精心設(shè)計(jì)的格式，可以利用計(jì)算機(jī)系統(tǒng)的漏洞。雙后綴文件可能的形式比較多，這里僅放出諜照一張 4.全局規(guī)則就一條：*    基本用戶如果設(shè)成受限的或者不信任/不允許的話，無(wú)疑會(huì)更安全，但也會(huì)帶來(lái)一些不便。綜合考慮還是基本用戶比較適合在全局規(guī)則下，肯定需要對(duì)合法的程序進(jìn)行排除的。在排除的時(shí)候，你就會(huì)發(fā)現(xiàn)使用 * 作為全局規(guī)則的優(yōu)越性了任何一條規(guī)則的優(yōu)先級(jí)都比它高，所以我們可以很方便地進(jìn)行排除。為了減少排除的工作量，這里建議大家把軟件集中安裝在少數(shù)的目錄，例如ProgramFiles目錄，那么排除時(shí)就可以對(duì)整個(gè)目錄進(jìn)行，不必慢慢添加示例排除規(guī)則：%ProgramFil

53、es%  不受限的         （軟件所在目錄）*ApplicationSetups   不受限的  （安裝軟件用的文件夾）還要排除一些文件格式，以使其被正常打開：*.lnk            不受限的*.ade           不受限的*.adp      

54、0;    不受限的*.msi           不受限的*.msp           不受限的*.chm           不受限的*.hlp           不受限的*.pcd      

55、0;    不受限的5. 其它輔助規(guī)則CMD限制策略：%Comspec%   基本用戶注意：在組策略中，微軟把cmd.exe和批處理是分開處理的，即使把cmd設(shè)成“不允許的”，仍然可以運(yùn)行.bat等批處理由于桌面一般只放快捷方式，所以%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersDesktop%  不允許的同時(shí)要讓快捷方式能夠正常工作：*.lnk     不受限的計(jì)劃任務(wù)功能很少

56、會(huì)用到，所以%SystemRoot%task    不允許的幫助文件閱讀器的管制策略：%WinDir%hh.exe    基本用戶  （防范CHM捆毒）%WinDir%winhelp.exe    基本用戶%WinDir%winhlp32.exe    基本用戶腳本宿主管制%WinDir%system32?script.exe  受限的（或者直接不允許）一些不會(huì)有程序啟動(dòng)的位置、一些極少用到的系統(tǒng)程序，你不用但病毒會(huì)用，所以建議禁止.規(guī)則可以有很多，大可自己發(fā)揮，放出圖一張：

57、 禁止偽裝系統(tǒng)程序如：lsass.exe                  不允許的%WinDir%system32lsass.exe   不受限的剩下的規(guī)則就留給各位自由發(fā)揮了 華麗麗的分割線，怎么? 不夠華麗？至此，教程完畢 組策略規(guī)則發(fā)布：根據(jù)防入口和全局防護(hù)的思路，做了兩套規(guī)則簡(jiǎn)單規(guī)則和全局規(guī)則 如果你沒有看前面冗長(zhǎng)的教程的話，那么至少請(qǐng)記住一點(diǎn)：如果使用這些規(guī)則而出現(xiàn)“某某文件夾無(wú)法訪問”、“磁盤

58、空間不夠或磁盤不可寫”、“軟件運(yùn)行錯(cuò)誤”之類的問題的話，請(qǐng)調(diào)整對(duì)應(yīng)文件夾或者文件的NTFS權(quán)限（設(shè)置成允許Users訪問，也可以干脆設(shè)置成Users完全訪問）簡(jiǎn)單規(guī)則說(shuō)明：以基本用戶限制主流瀏覽器Avant.exe Brexpo.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe miniie.exe netscape.exe opera.exe Orca.exe realplay.exe Safari.exe SeaMonkey.exe Sleipnir.ex

59、e theworld.exe TTraveler.exe限制或禁用一些不常用的系統(tǒng)程序禁止程序從U盤啟動(dòng)（需要手動(dòng)修改一下規(guī)則）全局規(guī)則說(shuō)明：采用全局基本用戶并加入了數(shù)目可觀的系統(tǒng)程序白名單默認(rèn)排除（不受限的）的目錄、程序有：1.所有分區(qū)根目錄下的Program Files文件夾  請(qǐng)把軟件安裝在此目錄中，或者另外進(jìn)行目錄排除2.所有分區(qū)根目錄下的“安裝程序”文件夾   請(qǐng)從此目錄安裝程序，或者另外進(jìn)行目錄排除3.所有分區(qū)根目錄下的“信任目錄”文件夾4.System32下的系統(tǒng)運(yùn)行必須的程序以基本用戶限制的主流瀏覽器Avant.exe Brex

60、po.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe miniie.exe netscape.exe opera.exe Orca.exe realplay.exe Safari.exe SeaMonkey.exe Sleipnir.exe theworld.exe TTraveler.exe另外提醒一下，大家在設(shè)置規(guī)則時(shí)，注意要考慮以下4條系統(tǒng)默認(rèn)規(guī)則的影響：%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

61、NTCurrentVersionSystemRoot% 路徑 不受限的  %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%*.exe 路徑 不受限的  %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32*.exe 路徑 不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramF

62、ilesDir% 路徑 不受限的相當(dāng)于規(guī)則：%SystemRoot% 不受限的                   整個(gè)Windows目錄不受限%SystemRoot%*.exe 不受限的             Windows下的exe文件不受限%SystemRoot%System32*.exe 不受限的   System32下的exe文件不受限%ProgramFiles%&

63、#160;   不受限的             整個(gè)ProgramFiles目錄不受限規(guī)則已做成安裝包，程序會(huì)提示輸入可移動(dòng)設(shè)備盤符，一般直接按“確定”即可簡(jiǎn)單規(guī)則和全局規(guī)則之間可以方便地進(jìn)行轉(zhuǎn)換_若需要取消所有規(guī)則，執(zhí)行“還原軟件限制策略”附件中的批處理即可規(guī)則可能還不是很完善，歡迎測(cè)試和反饋意見 本帖最后由 深紅的雪 于 2008-11-14 19:40 編輯 簡(jiǎn)單規(guī)則.rar19.35 KB, 下載次數(shù): 3356全局規(guī)則.rar33.08 KB, 下載次數(shù): 3397還原軟件

64、限制策略.rar181 Bytes, 下載次數(shù): 2793本文來(lái)自：一些值得參考的回帖4#板凳坐著慢慢看。教程有了。 規(guī)則呢簡(jiǎn)單規(guī)則：名稱 類型 安全級(jí)別 描述 上一次修改日期%APPDATA% 路徑 不允許的 禁止從當(dāng)前用戶下的Application Data根目錄啟動(dòng)文件 2008-3-4  0:34:14%APPDATA%* 路徑 不受限的 允許從Application Data的子目錄中啟動(dòng)文件 2008-3-4  0:33:21%CommonProgramFiles%*.* 路徑 不允許的 CommonProgramFiles根目錄文

65、件管制 2008-2-14  18:33:21%CommonProgramFiles%DESIGNER 路徑 不允許的  2000-2-25  21:27:54%CommonProgramFiles%Microsoft Shared*.* 路徑 不允許的  2000-2-25  21:28:05%CommonProgramFiles%Microsoft SharedMSInfo 路徑 不允許的  2000-2-25  21:28:09%CommonProg

66、ramFiles%MSSoap 路徑 不允許的  2000-2-25  21:28:14%CommonProgramFiles%ODBC 路徑 不允許的  2000-2-25  21:28:25%CommonProgramFiles%Services 路徑 不允許的  2000-2-25  21:28:30%CommonProgramFiles%SpeechEngines 路徑 不允許的  2000-2-25  21:28:35%CommonProgramFiles%System 路徑 不允許的  2000-2-25  21:28:39%ComSpec% 路徑 基本用戶 Cmd.exe基本用戶限制 2000-3-2  20:44:49%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplo