組策略之軟件限制策略-完全教程與規(guī)則示例

1組策略之軟件限制策略——完全教程與規(guī)那么例如導(dǎo)讀

實(shí)際上，本教程主要為以下內(nèi)容：

理論局部：

1.軟件限制策略的路徑規(guī)那么的優(yōu)先級(jí)問(wèn)題

2.在路徑規(guī)那么中如何使用通配符

3.規(guī)那么的權(quán)限繼承問(wèn)題

4.軟件限制策略如何實(shí)現(xiàn)3D部署〔難點(diǎn)是NTFS權(quán)限〕，軟件限制策略的精髓在于權(quán)限，如何部署策略也就是如何設(shè)置權(quán)限

規(guī)那么局部：

5.如何用軟件限制策略防毒〔也就是如何寫規(guī)那么〕

6.規(guī)那么的例如與下載

其中，1、2、3點(diǎn)是根底，很多人寫出無(wú)效或者錯(cuò)誤的規(guī)那么出來(lái)都是因?yàn)閷?duì)這些內(nèi)容沒(méi)有搞清楚；第4點(diǎn)可能有

點(diǎn)難，但如果想讓策略有更好的防護(hù)效果并且不影響平時(shí)正常使用的話，這點(diǎn)很重要。

如果使用規(guī)那么后發(fā)現(xiàn)有的軟件工作不正常，請(qǐng)參考這局部?jī)?nèi)容，注意調(diào)整NTFS權(quán)限

理論局部軟件限制策略包括證書(shū)規(guī)那么、散列規(guī)那么、Internet區(qū)域規(guī)那么和路徑規(guī)那么。我們主要用到的是散列規(guī)那么和路徑規(guī)那么，其中靈活性最好的就是路徑規(guī)那么了，所以一般我們談到的策略規(guī)那么，假設(shè)沒(méi)有特別說(shuō)明，那么直接指路徑規(guī)那么。

一.環(huán)境變量、通配符和優(yōu)先級(jí)關(guān)于環(huán)境變量〔假定系統(tǒng)盤為C盤〕

%USERPROFILE%

表示C:\DocumentsandSettings\當(dāng)前用戶名

%HOMEPATH%

表示C:\DocumentsandSettings\當(dāng)前用戶名

%ALLUSERSPROFILE%

表示C:\DocumentsandSettings\AllUsers

%ComSpec%

表示C:\WINDOWS\System32\cmd.exe

%APPDATA%

表示C:\DocumentsandSettings\當(dāng)前用戶名\ApplicationData

%ALLAPPDATA%

表示C:\DocumentsandSettings\AllUsers\ApplicationData

%SYSTEMDRIVE%表示C:

%HOMEDRIVE%

表示C:

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP%和%TMP%

表示C:\DocumentsandSettings\當(dāng)前用戶名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

關(guān)于通配符：

Windows里面默認(rèn)

*：任意個(gè)字符〔包括0個(gè)〕，但不包括斜杠

?：1個(gè)或0個(gè)字符

幾個(gè)例子

*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每個(gè)目錄下的所有子文件夾。

C:\win*匹配C:\winnt、C:\windows、C:\windir以及每個(gè)目錄下的所有子文件夾。

*.vbs匹配WindowsXPProfessional中具有此擴(kuò)展名的任何應(yīng)用程序。

C:\ApplicationFiles\*.*匹配特定目錄〔ApplicationFiles〕中的應(yīng)用程序文件，但不包括ApplicationFiles的子目錄

關(guān)于優(yōu)先級(jí):

1.絕對(duì)路徑>通配符相對(duì)路徑

如C:\Windows\explorer.exe>*\Windows\explorer.exe

2.文件型規(guī)那么>目錄型規(guī)那么

如假設(shè)a.exe在Windows目錄中，那么

a.exe>C:\Windows

3.環(huán)境變量=相應(yīng)的實(shí)際路徑=注冊(cè)表鍵值路徑

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.散列規(guī)那么比任何路徑規(guī)那么優(yōu)先級(jí)都高

總的來(lái)說(shuō)，就是規(guī)那么越匹配越優(yōu)先

注：

1.通配符*并不包括斜杠\。例如*\WINDOWS匹配C:\Windows，但不匹配C:\Sandbox\WINDOWS

2.*和**是完全等效的，例如**\**\abc=*\*\abc

3.C:\abc\*

可以直接寫為C:\abc\或者C:\abc，最后的*是可以省去的，因?yàn)檐浖拗撇呗缘囊?guī)那么可以直接匹配到目錄。

4.軟件限制策略只對(duì)“指派的文件類型〞列表中的格式起效。例如*.txt不允許的，這樣的規(guī)那么實(shí)際上無(wú)效，除非你把TXT格式也參加“指派的文件類型〞列表中。

5.*和*.*是有區(qū)別的，后者要求文件名或路徑必須含有“.〞，而前者沒(méi)有此限制，因此，*.*的優(yōu)先級(jí)比*的高

6.?:\*與?:\*.*是截然不同的，前者是指所有分區(qū)下的每個(gè)目錄下的所有子文件夾，簡(jiǎn)單說(shuō)，就是整個(gè)硬盤；而?:\*.*僅包括所有分區(qū)下的帶“.〞的文件或目錄，一般情況

下，指的就是各盤根目錄下的文件。那非一般情況是什么呢？請(qǐng)參考第7點(diǎn)

7.?:\*.*中的“.〞可能使規(guī)那么范圍不限于根目錄。這里需要注意的是：有“.〞的不一定是文件，可以是文件夾。例如F:\ab.c，一樣符合?:\*.*，所以規(guī)那么對(duì)F:\ab.c下的所有文件及子目錄都生效。

8.這是很多人寫規(guī)那么時(shí)的誤區(qū)。首先引用?組策略軟件限制策略規(guī)那么包編寫之菜鳥(niǎo)入門〔修正版〕?里的一段：引用:狹4、抬如何城保護(hù)供上網(wǎng)于的安陰全

匪在瀏男覽不鵲平安疏的網(wǎng)苗頁(yè)時(shí)菌，病良毒會(huì)共首先鵲下載敢到I揭E緩醋存以菠及系杠統(tǒng)臨橋時(shí)文儉件夾株中，裳并自腫動(dòng)運(yùn)猜行，運(yùn)造成玩系統(tǒng)晶染毒懂，在呢了解際了這燙個(gè)感炕染途齒徑之蔥后，婆我們綢可以文利用愁軟件渠限制哭策略笨進(jìn)行筑封堵柱

哲%S怕YS鈴TE蕉MR思OO悶T%刷\t狗as蠟ks嫩\*獻(xiàn)*\議*.忙*

夸

六不史允許紋的

騙

損〔寬這個(gè)暫是計(jì)役劃任啄務(wù)，康病毒鋒藏身豆地之方一〕貨

叼%S丟YS迷TE詠MR菊OO記T%帝\T植em良p\般**料\*穿.*井

瓜

蠟不允尼許的叨

哥%U壁SE牌RP始RO慰FI滿LE權(quán)%\卡Co敘ok栽ie句s\異*.滾*

逝

場(chǎng)不裝允許挑的

罰%U粥SE方RP撞RO梳FI肌LE飄%\嘩Lo方ca扶l辨Se煙tt后in固gs巖\*慎*\準(zhǔn)*.受*

呢

罩不循允許起的

于

〔荷這個(gè)純是I服E緩序存、啞歷史皂記錄妻、臨游時(shí)文途件所諷在位池置〕記說(shuō)實(shí)疼話，如上面內(nèi)引用虛的部籌分不標(biāo)少地扇方都無(wú)是錯(cuò)筆誤的

鑒先不我談這壟樣的漁規(guī)那么濾能否矮保護(hù)凳上網(wǎng)禍平安精，實(shí)瀉際上型這幾眼條規(guī)唐那么在蘆設(shè)置呆時(shí)就自犯了歡一些削錯(cuò)誤

親例如廁：%乏US不ER廳PR殘OF誰(shuí)IL窄E%括\L材oc玉al遵S店et凡ti搶ng窩s\椅**員\*站.*交

毅不允抬許的

黨可以宮看出摸，規(guī)脆那么的誰(shuí)原意葛是阻遲止程部序從谷Lo替ca填l緣Se能tt盯in棟gs浴〔包律括所穗有子鍬目錄碎〕中拒啟動(dòng)

突現(xiàn)在診大家確不妨毛想想它這規(guī)哈那么的蜜實(shí)際睡作用貿(mào)是什膜么？

戶先參者考注陽(yáng)1和格注2待，*域*洪和*胡是逐等同炸的，浪而且斯不包呼含字屠符“駐\〞臺(tái)。所輔以，森這里流規(guī)那么繩的實(shí)鹽際效束果是沉“送禁止關(guān)程序今從L活oc延al老S委et普ti靈ng僅s文地件夾氧的一判級(jí)子輝目錄翠中啟連動(dòng)〞綱，不余包括絨Lo件ca偉l率Se腳tt礦in擁gs陰根目芳錄，塌也不搜包括肌二級(jí)架和以為下的袖子目圓錄。

糟現(xiàn)在逆我們渠再來(lái)翼看看景Lo門ca宿l掏Se店tt鬼in常gs旦的一狼級(jí)子奮目錄嬌有哪姨些：裝Te揀mp艙、T滾em韻po將ra圈ry暫I姜nt蝶er奪ne擴(kuò)t餅Fi械le扁s、童Ap著pl模ic死at修io晴n灰Da桃ta關(guān)、H雙is勻to告ry持。

存阻止嫂程序偉從T敗em衡p根汽目錄酬啟動(dòng)市，直錦接的味后果帝就是芒很多五軟件恢不能芝成功采安裝

收那么筋，阻盜止程燭序從賽Te憤mp僚or硬ar唱y洞In竄te菜rn誕et盆F私il宜es部根目族錄啟抬動(dòng)又浩如何臥呢？

莖實(shí)際演上，吧由于碼IE貼的緩扇存并借不是睜存放隔Te巨mp衰or童ar大y菌In坦te皆rn慈et冰F厘il皇es貸根目票錄中榨，而津是存遠(yuǎn)于T索em誘po顛ra劫ry嘴I認(rèn)nt各er影ne脹t微Fi而le紅s的誤子目幼錄C尿on始te燦nt油.I薦E5往的子滔目錄巾里〔斗-_蘆-|部|〕值，所晴以這俊種寫鉛法根脫本不殼能阻布止程藥序從腥IE啊緩存膝中啟從動(dòng)，糟是沒(méi)我有意咽義的之規(guī)那么

夠假設(shè)要及阻止液程序墾從某尼個(gè)文餃件夾薯及所熟有子永目錄把中啟弊動(dòng)，臂正確翻的寫務(wù)法應(yīng)許該是怨：

飛某目壩錄\蘆**濃興某目授錄\凈*高某目掉錄\武雙某目付錄

役9.恰蚊引用羽:急?:她\a姥ut丈or界un鏡.i便nf銹

我

重不允然許的第這是逗流傳朗的所派謂防搞U盤注病毒盡規(guī)那么桌，事珍實(shí)上組這條符規(guī)那么托是沒(méi)阿有作汽用的怠，關(guān)幕于這倦點(diǎn)在調(diào)碑關(guān)于落各種奪策略紹防范絞U盤徒病毒猛的討誠(chéng)論諒已正經(jīng)作利了分測(cè)析

捏二.羨軟件苦限制危策略誠(chéng)的3盯D的蓬實(shí)現(xiàn)請(qǐng)：

最“軟全件限殃制策還略本謊身即移實(shí)現(xiàn)氏AD炸，并盛通過(guò)度NT婚FS獎(jiǎng)權(quán)限輩實(shí)現(xiàn)奉FD券，同姓時(shí)通津過(guò)注頁(yè)冊(cè)表普權(quán)限差實(shí)現(xiàn)陰RD浙，從挽而完賓成3游D的許部署曲〞

堪對(duì)于浙軟件大限制鑄策略抹的A貨D限治制，澡是由谷權(quán)限進(jìn)指派陶來(lái)完栽成的飽，而吃這個(gè)膜權(quán)限甘的指圍派，脫用的白是微鴿軟內(nèi)袋置的較規(guī)那么燃，即沖使我抖們修綁改“豆用戶北權(quán)限惹指派貫〞項(xiàng)娛的內(nèi)誓容，拘也無(wú)必法對(duì)陣軟件柳限制博策略綠中的鐘平安鐵等級(jí)獎(jiǎng)進(jìn)行屯提權(quán)躁。所泳以，犁只要暢選擇服好安頸全等迎級(jí)，姐AD夕局部板就已滲經(jīng)部餅署好釘了，篇不能記再作摟干預(yù)

栽而軟黑件件繳限制膜策略亡的F佛D和傾RD肥限制舞，分棋別由疊NT纖FS貸權(quán)限每、注末冊(cè)表寒權(quán)限來(lái)來(lái)完薄成。柔而與儀AD蔬局部雅不同羅的是投，這萬(wàn)樣限雄制是襲可以災(zāi)干預(yù)遲的，串也就遙是說(shuō)寧，容我們返可以王通過(guò)眉調(diào)整揮NT逮FS下和注姻冊(cè)表皇權(quán)限讀來(lái)配吃置F慣D和辨RD冷，這搶就比嶄AD胳局部氏要靈琴活得早多。

功小結(jié)援一下仁，就配是

國(guó)AD駛——教用戶也權(quán)利奧指派

刑FD六——右NT活FS傻權(quán)限

炭RD笨——潛注冊(cè)械表權(quán)微限

寸先說(shuō)矛AD般局部槐，我糠們能徑選擇償?shù)木途剖遣牲S用哪鍋種權(quán)瘡限等治級(jí)，尚微軟頂提供屈了五鐮種等同級(jí)：澡不受糟限的呀、基槍本用婚戶、寺受限衣的、凱不信浮任的逆、不省允許狼的。

劈不受五限的蘇，最幣高的炒權(quán)限另等級(jí)栽，但以其意酸義并開(kāi)不是恭完全哨的不揭受限拴，而成是“露軟件咳訪問(wèn)躍權(quán)由晌用戶與的訪疫問(wèn)權(quán)南來(lái)決斷定〞防，即竟繼承究父進(jìn)仗程的掠權(quán)限掠。

植根本夕用戶鎮(zhèn)，基拍本用肅戶僅而享有撕“跳瘡過(guò)遍煎歷檢雙查〞蠟的特駕權(quán)，貿(mào)并拒蚊絕享盤有管興理員壁的權(quán)胳限。

緞受限鎖的，礙比基同本用袍戶限鐘制更紫多，方也僅漢享有燕“跳慚過(guò)遍演歷檢耐查〞億的特嚷權(quán)。

捉不信親任的漸，不趁允許格對(duì)系刻統(tǒng)資災(zāi)源、騾用戶感資源臟進(jìn)行側(cè)訪問(wèn)禾，直遇接的捐結(jié)果結(jié)就是銅程序撤將無(wú)能法運(yùn)彈行。

冬不允堆許的體，無(wú)阿條件敢地阻腳止程障序執(zhí)循行或妹文件微被打念開(kāi)

迷很容幫易看夕出，劫按權(quán)另限大價(jià)小排奏序?yàn)檫_(dá)不悅受限脹的撞>拜根本地用戶巷>居受扯限的爽>歇不澆信任蓬的存>牽不允溪許的

豐其中塊，基悔本用掉戶衣、受塞限的園、不惑信任旱的駝這三燥個(gè)安甲全等遇級(jí)是忌要手段動(dòng)打挪開(kāi)的白具體捉做法號(hào)：

師翻開(kāi)悄注冊(cè)動(dòng)表編嫁輯器歌，展霞開(kāi)至

歉HK腦EY剛_L鉆OC調(diào)AL擁_M僑AC鉆HI極NE玩\S得OF活TW帳AR千E\均Po喂li父ci功es劑\M幣ic珍ro固so屢ft騙\W響in好do闖ws脈\S布af頁(yè)er林\C趣od設(shè)eI精de忙nt鞏if今ie焰rs

純新建尊一個(gè)瓦DO亮WR偉D，吃命名壟為L(zhǎng)疑ev究el謎s，破其值壩可以敞為

故0x塌10民00嗽0

掃

謀

陽(yáng)

垮

邀

先

沿

揚(yáng)

昏

/威/增去加受耐限的

扁0x綠20稍00衛(wèi)0

愧

音

嗚

朱

固

咳

眠

公

嗽

/慶/增松加基遭本用防戶

養(yǎng)0x晶30尸00悟0

咽

櫻

辣

玉

誼

糞

電

江

跪

/效/增婆加受變限的填，基覽本用他戶

勉0x怪31抹00吩0

零

博

炊

卡

基

作

永

銹

豆

/頓/增士加受匹限的戒，基磚本用拔戶，弓不信搖任的

拖設(shè)成細(xì)0x遷31煮00扛0〔蠟即4繩13結(jié)10沒(méi)00雞〕即互可

藏如圖捉：

孟踐閑登萍作估斷埋外購(gòu)幣共尾接半拖那么概或者曬將下羅面附管件中啟的r掩eg喜雙擊第導(dǎo)入蹄注冊(cè)靠表即異可給sa作fe齡r.悔ra匆r至(奴27進(jìn)9雷By再te掀s)三暈傷鴨柿愈倆核塞請(qǐng)適豬議胞秋圣療宏拘王掛喚莊耍哨偏速番率再?gòu)?qiáng)疾調(diào)兩丈點(diǎn)：

煩1.痰“不叼允許住的〞等級(jí)別剃不包閃含任盾何F傷D操狠作。閃你可饞以對(duì)停一個(gè)即設(shè)定編成“幣不允嚷許的戲〞文招件進(jìn)滑行讀紫取、刪復(fù)制協(xié)、粘節(jié)貼、社修改晨、刪曾除等剛操作巖，組血策略糕不會(huì)獻(xiàn)阻止循，前愁提當(dāng)絮然是菊你的奧用戶鄭級(jí)別球擁有奸修改小該文與件的直權(quán)限舍2.魚(yú)“不新受限記的〞繼級(jí)別憤不等糧于完浮全不捕受限僻制，盾只是鎮(zhèn)不受毯軟件靠限制游策略縫的附促加限處制。丟事實(shí)浙上，北“不集受限進(jìn)的〞殲程序栗在啟礎(chǔ)動(dòng)時(shí)殿，系越統(tǒng)將證賦予賣該程霧序的貨父進(jìn)丹程的給權(quán)限染字，居該程鑒序所揪獲得晶的訪駱問(wèn)令去牌決銹定于侍其父茶進(jìn)程煎，所通以任幼何程資序的莖權(quán)限否將不破會(huì)超根過(guò)它滿的父止進(jìn)程魂。

榴權(quán)限等的分堪配與罩繼承映:

刻這里德的講研解默賽認(rèn)了定一個(gè)育前提漿：假鼻設(shè)你晃的用爺戶類同型是仙管理掏員。

六在沒(méi)授有軟鼻件限廊制策井略的丈情況點(diǎn)下，

正很簡(jiǎn)妙單，餡如果敢程序間a啟弟動(dòng)程欺序b掠，那卸么a灰是b套的父飛進(jìn)程獻(xiàn)，b嘩繼承筆a的宿權(quán)限

鹿現(xiàn)在討把a(bǔ)顯設(shè)為溪根本早用戶關(guān)，b趟不做擊限制蹲〔把照b設(shè)睡為不娛受限償或者畫不對(duì)六b設(shè)法置規(guī)椒那么效剪果是踢一樣尸的〕

敏然后階由a分啟動(dòng)愈b，遲那么蔥b的遼權(quán)限誤繼承更于a貞，也熟是基怠本用臉戶，炊即:

妥a〔廚根本妹用戶確〕-壇>天b〔拐不受某限的題〕假設(shè)=爭(zhēng)b〔占根本耍用戶晃〕

推假設(shè)把痛b設(shè)伐為基就本用升戶，礦a不偉做限下制，痰那么滔a啟著動(dòng)b昆后，弄b仍余然為蝕根本聰用戶馳權(quán)限乏，即

慘a〔關(guān)不受賽限的章〕-李>熊b〔捕根本爆用戶易〕暖=羽b〔寨根本雄用戶燥〕

匠可以擔(dān)看到策，一惜個(gè)程們序所雜能獲峰得的思最終哥權(quán)限遠(yuǎn)取決差于：宵父進(jìn)館程權(quán)落限刃和繡規(guī)那么拆限定傳的權(quán)龜限膛的最扒低等鴨級(jí)，酸也就貸是我恐們所吩說(shuō)的霸最低閱權(quán)限番原那么

渠舉一找個(gè)例誠(chéng)：

給假設(shè)我詳們把夸IE報(bào)設(shè)成縮根本滋用戶它等級(jí)貴啟動(dòng)亡，那儲(chǔ)么由棉IE蓄執(zhí)行李的任程何程設(shè)序的撈權(quán)限離都將次不高倚于基學(xué)本用昂戶級(jí)些別，沸只能腸更低客。所隆以就?？梢詫O到達(dá)燒防范傾網(wǎng)馬譯的效使果—古—即隨使I是E下鍬載病斬毒并悄執(zhí)行勤了，寨病毒捎由于脂權(quán)限攏的限虹制，齡無(wú)法厚對(duì)系亂統(tǒng)進(jìn)仿行有擠害的烘更改位，如寺果重矛啟一忘下，爭(zhēng)那么止病毒態(tài)就只咳剩下矮尸體喉了。

惹甚至桑，我寫們還假設(shè)可以診通過(guò)浪NT勢(shì)FS缸權(quán)限嘴的設(shè)效置，赤讓I灘E無(wú)尾法下康載和救運(yùn)行測(cè)病毒膚，不屠給病謊毒任姑何的驕時(shí)機(jī)羅。

愚FD逮：N增TF較S權(quán)歷限

飼*郵要求掙磁盤艷分區(qū)泰為N絡(luò)TF伍S格娘式鄰*

仰其實(shí)堂Mi求cr航os腹of傲t送Wi抽nd爐ow技s籠的每嚇個(gè)新能版本隸都對(duì)螞N墻TF氏S墊文件黎系統(tǒng)荒進(jìn)行趣了改鄰進(jìn)。瓦NT灑FS棄的抄默認(rèn)妖權(quán)限俗對(duì)大靠多數(shù)倍組織發(fā)而言已都已罪夠用侄。

瞎NT賴FS被權(quán)限賠的分鄙配

音1.筋如果街一個(gè)木用戶澡屬于芒多個(gè)駁組，鈴那么險(xiǎn)該用趣戶所美獲得污的權(quán)難限是名各個(gè)嬌組的競(jìng)疊加

絲2.匪“拒滾絕〞參的優(yōu)斑先級(jí)構(gòu)比“事允許邁〞要參高

訪例如褲：用標(biāo)戶A灶同器時(shí)屬孤于A貫dm束in托is夸tr山at栗or股s和晌Ev駐er嶄yo凝ne旁組，竄假設(shè)A務(wù)dm勻in純is墓tr柜at悟or疑s組完具有立完全升訪問(wèn)顫?rùn)?quán)，漲但E釋ve泡ry怖on桂e組驕拒絕開(kāi)對(duì)目哥錄的孫寫入廚，那艦么用醫(yī)戶A鞠的實(shí)止際權(quán)腥限是遲：不氏能對(duì)藍(lán)目錄寸寫入戰(zhàn)，但嬸可以顫進(jìn)行偽除此墾之外裕的任散何操炊作

貴高級(jí)睡權(quán)限朵名稱拒描隊(duì)述?！沧尠ㄆ罅送隄M整的遙FD玻和部欄分A玻D〕衣懶引用快:燃遍歷截文件花夾/千運(yùn)行糧文件穩(wěn)

升〔遍倍歷文稈件夾誰(shuí)可以頭不管不，主閥要是稻“運(yùn)朽行文尚件〞弓，假設(shè)給無(wú)此互權(quán)限描那么不丈能啟淡動(dòng)文艇件，捧相當(dāng)婆于A乓D的專運(yùn)行罷應(yīng)用晌程序酬〕

施允許偵或拒板絕用肉戶在鄰整個(gè)紡文件盟夾中吵移動(dòng)假設(shè)以到榴達(dá)其的他文鹽件或呢文件秋夾的賄請(qǐng)求捕，即鳳使用煌戶沒(méi)員有遍母歷文墊件夾訊的權(quán)驗(yàn)限〔弄僅適獵用于嗚文件塊夾〕市。

秀列出劫文件遍夾/定讀取論數(shù)據(jù)

猛允許份或拒崖絕用斃戶查哲看指藍(lán)定文質(zhì)件夾削內(nèi)文要件名誼和子崖文件傻夾名廊的請(qǐng)嚼求。父它僅葵影響下該文乳件夾礙的內(nèi)王容，賞而不斃影響掀您對(duì)兄其設(shè)膏置權(quán)脖限的芝文件勒夾是態(tài)否會(huì)累列出干〔僅爹適用近于文妙件夾典〕。

惱讀取股屬性捆〔春FD琴的讀肚取〕

撇允許仆或拒敞絕查綢看文劃件中相數(shù)據(jù)往的能摔力〔拼僅適膛用于芹文件臨〕。

域讀取順擴(kuò)展付屬性

輔允許處或拒企絕用凡戶查躬看文烤件或斧文件鬼夾屬厚性〔啞例如犬只讀許和隱貨藏〕墨的請(qǐng)蒼求。額屬性造由杯NT雀FS完定掏義。

膚創(chuàng)立羊文件立/寫族入數(shù)驚據(jù)槍〔F臉D的壇創(chuàng)立砍〕

市“創(chuàng)窮建文貸件〞康允許促或拒笑絕在穿文件兇夾中務(wù)創(chuàng)立顛文件戲〔僅領(lǐng)適用劉于文撐件夾旱〕。迅“寫過(guò)入數(shù)吧據(jù)〞名允許冰或拒菜絕對(duì)鹽文件餐進(jìn)行蹲修改脾并覆如蓋現(xiàn)梨有內(nèi)圈容的心能力盤〔僅俯適用桐于文蒼件〕剖。

建創(chuàng)立含文件腫夾/劍追加撫數(shù)據(jù)

單“創(chuàng)團(tuán)建文忌件夾障〞允難許或弟拒絕脈用戶格在指煤定文策件夾最中創(chuàng)啞建文蝶件夾紙的請(qǐng)項(xiàng)求〔討僅適聞?dòng)糜诮j(luò)文件矮夾〕堅(jiān)。“累追加飛數(shù)據(jù)著〞允軟許或口拒絕燒對(duì)文鈔件末束尾進(jìn)綠行更謙改而憶不更糟改、喚刪除違或覆貼蓋現(xiàn)債有數(shù)踐據(jù)的叢能力染〔僅蛾適用末于文靜件〕減。

券寫入泄屬性豬〔岔即改術(shù)寫操砌作了法，F(xiàn)徹D的勢(shì)寫〕

貨允許記或拒該絕用像戶對(duì)綢文件饑末尾于進(jìn)行壞更改伙，而捐不更科改、臟刪除抄或覆她蓋現(xiàn)買有數(shù)芬據(jù)的斧請(qǐng)求慎〔僅狠適用確于文簽件〕伸。

非

即過(guò)寫操障作

茫寫入薦擴(kuò)展山屬性

蒙允許遞或拒智絕用估戶更星改文肝件或講文件鍋夾屬玻性〔雷例如疫只讀駁和隱錦藏〕詳?shù)恼?qǐng)成求。怪屬性氣由疲NT鼓FS搖定商義。

臣刪除偏子文刪件夾請(qǐng)和文粗件殊〔F頑D的榜刪除蒜〕

屠允許閑或拒沸絕刪鋸除子留文件局夾和繁文件測(cè)的能肝力，世即使心子文賽件夾易或文匯件上沖沒(méi)有壯分配炸“刪思除〞蠻權(quán)限?！策m蹈用于請(qǐng)文件鹿夾〕蒙。

腰刪除種〔橡與上景面的輩區(qū)別混是，喪這里困除了梁子目最錄及薄其文梯件，骨還包波括了濫目錄艘本身掩〕

支允許陸或拒翅絕用第戶刪愛(ài)除子息文件陵夾和術(shù)文件南的請(qǐng)罰求，遮即使筋子文諸件夾消或文猜件上凝沒(méi)有慈分配啟“刪洞除〞返權(quán)限誼〔適絨用于捆文件悅夾〕握。

栽讀取燃權(quán)限惹〔男NT腦FS之權(quán)限治的查剖看〕

裹允許效或拒飾絕用笨戶讀隆取文米件或廳文件扮夾權(quán)皆限〔叔例如拔“完魔全控夫制〞表、“聯(lián)讀取惜〞和騾“寫母入〞陜〕的紐請(qǐng)求錢。

秧更改襪權(quán)限檢〔附NT昨FS筐權(quán)限煙的修腹改〕

恰允許鏈或拒賭絕用敲戶更憤改文糕件或始文件虹夾權(quán)蜘限〔尸例如您“完粥全控鄙制〞間、“報(bào)讀取含〞和僻“寫聽(tīng)入〞舍〕的貍請(qǐng)求調(diào)。

惑取得珍所有焦權(quán)

奔允許螞或拒境絕取甘得文齡件或疲文件摟夾的福所有睬權(quán)。儀文件慘或文撿件夾根的所篇有者狂始終救可以泊更改誠(chéng)其權(quán)猛限，姥而不里論用燙于保叨護(hù)該類文件康或文頑件夾騾的現(xiàn)串有權(quán)做限如聞何。唱以基糕本用托戶為比例，墳根本蹄用戶蛾能做賭什么片？

榮在系儀統(tǒng)默儉認(rèn)的考NT陰FS坦權(quán)限栗下，讓根本詳用戶叼對(duì)系咸統(tǒng)變專量和懼用戶察變量蛋有完著全訪鏡問(wèn)權(quán)治，對(duì)器系統(tǒng)勝文件拉夾只情讀，萄對(duì)P撓ro闖gr崇am窗F再il孕es駕的公工共文芝件夾械只讀誦，D瓜oc曬um盆en郵t險(xiǎn)an映d蜜Se染tt減in疲g下逆，僅落對(duì)當(dāng)肅前用釋戶目帳錄有同完全煙訪問(wèn)贊?rùn)?quán)，小其余順不能栗訪問(wèn)

誤如果萌覺(jué)得口以上乖的限慘制嚴(yán)掌格了潔或者競(jìng)寬松年了，鴿可以贏自行賭調(diào)整雜各個(gè)琴目錄及和文滋件的途NT脅FS燃權(quán)限上。

聚如果社發(fā)現(xiàn)爸瀏覽揮器在孩根本厚用戶衰下無(wú)賓法使隨用某框些功腳能的矛，很順多都您是由攤于N犧TF碼S權(quán)暖限造譜成的枯，可播以嘗革試調(diào)區(qū)整對(duì)夫應(yīng)的默NT苗FS愁權(quán)限

柏根本蔽用戶謹(jǐn)、受材限用匙戶屬鞏于以瓣下組

紗Us爐er遲s

叔Au時(shí)th菠en吩ti虹ca仔te決d深Us膝er夸s

認(rèn)Ev抖er穩(wěn)yo粒ne

藍(lán)IN他TE漢RA干CT志IV盛E

推但受踐限用暑戶權(quán)傳限更籌低，邁無(wú)論編NT綢FS啞權(quán)限電如何留，受散限用旦戶始洋終受兄到限減制。

日調(diào)整驕權(quán)限增時(shí)，弱主要象利用野到的握組為耳U仆se碼rs

斗例：謊對(duì)用爆戶變莊量T紀(jì)em翁p目叫錄進(jìn)咳行設(shè)憤置，貫禁止蹄根本脫用戶剩從該限目錄替運(yùn)行靜程序茫，可蓋以這低樣做外：

珠首先辯進(jìn)入竿“高鼓級(jí)〞肝選項(xiàng)綱，取脂消勾紗選并“從姿父項(xiàng)極繼承博那些稠可以檢應(yīng)用蠶到子透對(duì)象屑的權(quán)籮限項(xiàng)舒目，新包括歇那些閱在此獎(jiǎng)明確荷定義樣的項(xiàng)阻目(督I)壺〞

袍誼景肉窩集腸畢儉駝扶避播嘆柴勸急施宮千川榜

掛然后句設(shè)置睜Us灶er補(bǔ)s的晃權(quán)限蜜如圖

奧遷塑玻死側(cè)妹片稻高涌逮百吳改吩掩緣丑

這樣根本用戶下的程序就無(wú)法從Temp啟動(dòng)文件了

注意：

1.不要使用“拒絕〞，不然管理員權(quán)限下的程序也會(huì)受影響

2.everyone組的權(quán)限適用于任何人、任何程序，故everyone組的權(quán)限不能太高，至少要低于Users組

其實(shí)利用NTFS權(quán)限還可以實(shí)現(xiàn)很多功能

又例如，如果想保護(hù)某些文件不被修改或刪除，可以取消Users的刪除和寫入權(quán)限，從而限制根本用戶，到達(dá)保護(hù)重要文件的效果

當(dāng)然，也可以防止根本用戶運(yùn)行指定的程序

以下為微軟建議進(jìn)行限制的程序：

regedit.exe

arp.exe

at.exe

attrib.exe

cacls.exe

debug.exe

edlin.exe

eventcreate.exe

eventtriggers.exe

ftp.exe

nbtstat.exe

net.exe

net1.exe

netsh.exe

netstat.exe

nslookup.exe

ntbackup.exe

rcp.exe

reg.exe

regedt32.exe

regini.exe

regsvr32.exe

rexec.exe

route.exe

rsh.exe

sc.exe

secedit.exe

subst.exe

systeminfo.exe

telnet.exe

tftp.exe

tlntsvr.exe

RD局部：注冊(cè)表權(quán)限。由于微軟默認(rèn)的注冊(cè)表權(quán)限分配已經(jīng)做得很好了，不需要作什么改動(dòng)，所以這里就直接略過(guò)了

三.關(guān)于組策略規(guī)那么的設(shè)置：

規(guī)那么要顧及方便性，因此不能對(duì)自己有過(guò)多的限制，或者最低限度地，即使出現(xiàn)限制的情況，也能方便地進(jìn)行排除

規(guī)那么要顧及平安性，首先要考慮的對(duì)象就是瀏覽器等上網(wǎng)類軟件和可移動(dòng)設(shè)備所帶來(lái)的威脅。沒(méi)有這種防外能力的規(guī)那么都是不完整或者不合格的

基于文件名防病毒、防流氓的規(guī)那么不宜多設(shè)，甚至可以舍棄。

一是容易誤阻，二是病毒名字可以隨便改，特征庫(kù)式的黑名單只會(huì)跟殺軟的病毒庫(kù)一樣滯后。

于是，我們有兩種方案：

如果想限制少一點(diǎn)的，可以只設(shè)防“入口〞規(guī)那么，主要面向U盤和瀏覽器

興如果伍想安頃全系品數(shù)更下高、尸全面掩一點(diǎn)榴的，釘可以拌考慮刮全局斗規(guī)那么橡+白光名單

溝具體代內(nèi)容快見(jiàn)二動(dòng)樓

扎待續(xù)顫..定..掃.

諷最后愈布置學(xué)幾道慰作業(yè)愧，星看看握大家浩對(duì)上熱面的菌內(nèi)容訴消化喂得如比何喂1.很在葬規(guī)那么腹“F衰:\疏**豪\*役\*寶.*臟

臉不允扭許〞朱下，情下面姻那些環(huán)文件卡不能延被打蹄開(kāi)？

遭A:墳F:靠\a摸.e兵xe

韻B.煙F:逆\F登ol疫de剪r.霸1\棋b.爭(zhēng)ex訴e

見(jiàn)C.羞F:罷\F導(dǎo)ol關(guān)de額r1林\F奮ol年de獸r.陵2\酬C.鉤tx寸t

射D.旬F:揀\F萌ol歸de籃r1抬\F惰ol歲de爸r.嘆2\街Fo傅ld余er造.3撈\d例.e閘xe

丘2.站在寇以管慶理員鐘身份享登陸緣的情方?jīng)r下韻，建退立規(guī)踐那么如才下：

離%T澡em覽p%奔

圣

協(xié)

綱

使

閉

皂

滴

雁

禽

仔

唇

岡

元

勞

廉

槽

混

奉

隙

蝴

轉(zhuǎn)

旋

阿

翁

幻

伶

旱

谷

爹

醒

冒

絹

擺

割

便

須

瘡

幼

甜

精

鴨

包

模

雅受限無(wú)的

摔%U環(huán)SE灰RP牌RO孟FI鏡LE發(fā)%\悅Lo垃ca關(guān)l敵Se席tt善in看gs數(shù)\T婦em惱po微ra率ry鋸I秧nt增er構(gòu)ne圖t嶄Fi貨le偏s

姐

逃

間

澆

非

漏

查

院

乒

政

鍋

哀

圈不允易許的

完%P賭ro莊gr禁am攻Fi意le慨s%師\I擋nt辭er逢ne役t猛Ex品pl殃or嘗er壺\i徐ex蜜pl職or盼e.蔬ex朽e

岸

啞

攝

鴿

其

毛

部

屆

帝

與

稱

叢

學(xué)

智

熊

柜

拔

瀉

滔

棟

波

痰

腔

紫

閉根本錦用戶

導(dǎo)%H央KE蘇Y_毛CU敏RR薪EN貧T_搶US瞧ER鏈\S孩of找tw串a(chǎn)r仍e\源Mi補(bǔ)cr類os仙of聞t\宰Wi輪nd被ow窄s\攜Cu辨rr法en拾tV枝er壟si斬on應(yīng)\E爐xp漆lo挨re申r\突Sh悠el月l印Fo列l(wèi)d屠er綠s\趴De圓sk講to詞p%箏

奮不受悲限的

蛋在這時(shí)四條匯規(guī)那么孫下，動(dòng)假設(shè)要這樣言的情爹況：

鞋ie嘆xp等lo議re貞.e激xe厘下沸載一添個(gè)t獨(dú)es末t.肥ex菌e到方Te堤mp尋or偶ar植y毯In凳te沉rn鑄et撲F孝il院es胃目錄擇，然稀后復(fù)萌制到吊Te挪mp競(jìng)目錄臨，再楊從T援em堡p目懷錄中搞運(yùn)行惱te捐st該.e新xe瓣，〔敗復(fù)制日和運(yùn)煌行的含操作嘆都是火IE暑在做碼〕，撈然后半由t液ex蒸t.偏ex譽(yù)e釋蘭放t膝es域t2怒.e鋸xe妖到桌旋面，照并運(yùn)冬行t沙es靠t2畢.e釋xe繁。

玉那么肯te誓st勒2.歲ex送e的燕訪問(wèn)者令牌跡為：

休A.稠不受梢限的耀

簽

勢(shì)

斷

謎B.尋不允誓許的離

況

磁

遙C.賤根本永用戶介

音

杯

國(guó)D宜.受降限的

燕3.情試雅說(shuō)出嚴(yán)F腿:\謙wi泉n*憶和戀F冠:\所wi愁n*鹽\化的區(qū)翻別

叔4.伸假設(shè)壇想限南制Q堂Q的肢行為民，例捎如右蔥下方究彈出助的廣彈告，許并不紀(jì)允許件QQ餅調(diào)用雀瀏覽炒器，猜可以穩(wěn)怎么職做？

妻答對(duì)嚇兩題洽即及孫格。柳不過(guò)荷貌似專還是技有尺些難壞度規(guī)那么局部根底局部，如何建立規(guī)那么：

首先，翻開(kāi)組策略

開(kāi)始-運(yùn)行，輸入“gpedit.msc〞〔不包含引號(hào)〕并回車。

在彈出的對(duì)話框中，依次展開(kāi)計(jì)算機(jī)配置-Windows設(shè)置-平安設(shè)置-軟件限制策略

如果你之前沒(méi)有配置過(guò)軟件限制策略，那么可以在菜單欄上選擇操作-創(chuàng)立新的策略

如圖

然后轉(zhuǎn)到“其它規(guī)那么〞項(xiàng)，在菜單欄選擇“操作〞，在下拉菜單項(xiàng)選擇擇“新路徑規(guī)那么〞

在彈出的對(duì)話框中，就可以編輯規(guī)那么了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~華美麗的分割線~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

軟件限制策略的其實(shí)并不復(fù)雜，在規(guī)那么設(shè)置上是十分簡(jiǎn)單的，只有五個(gè)平安級(jí)別，不像HIPS那樣，光

AD局部就細(xì)分成N項(xiàng)。

但軟件限制策略的難點(diǎn)在于：如何確保你的規(guī)那么真正有效并按你的意愿去工作，即如何保證規(guī)那么的正

確性和有效性。

從四道題目的答對(duì)率來(lái)看，發(fā)現(xiàn)問(wèn)題還是不少的附上題目的參考答案引用:1.D

考點(diǎn)：注2、注4、注7

這題的C選項(xiàng)是陷阱，因?yàn)門XT文件不在規(guī)那么的阻擋范圍之內(nèi)。

D項(xiàng)參考注7，F(xiàn):\Folder1\Folder.2\Folder.3〔注意“.〞〕正好能匹配F:\**\*\*.*，因此Folder.3下面的EXE文件不能被翻開(kāi)

2.D

說(shuō)明：此題的考點(diǎn)為“AD權(quán)限的分配/最低權(quán)限原那么〞

我們先整理一下父子進(jìn)程的關(guān)系：

iexplore.exe->test.exe->test2.exe

〔根本用戶〕

〔受限的〕

〔受限的〕

其中，test.exe從Temp目錄啟動(dòng)，受規(guī)那么“%Temp%

受限的〞的限制，其權(quán)限降為“受限的〞。test2.exe從桌面啟動(dòng)，雖然桌面的程序是不受限的，但由于其父進(jìn)程為test.exe，故繼承test.exe的權(quán)限，故test2.exe的最終獲得訪問(wèn)令牌還是“受限的〞

另外要注意的是，復(fù)制、創(chuàng)立文件等操作都不會(huì)構(gòu)成權(quán)限的繼承

3.考點(diǎn)：注1、注3、綜合分析

說(shuō)明：F:\win*和F:\win*\僅相差一個(gè)字符“\〞，由注1可知，*并不包括斜杠。那么斜杠“\〞在這里的作用是什么？

實(shí)際上，這個(gè)斜杠在規(guī)那么中的作用相當(dāng)于聲明斜杠前的路徑指的是目錄，而不是文件，注意到這點(diǎn)后，就可以看出區(qū)別了：

F:\win*既可以匹配到F:\windows、F:\windir、F:\winrar等目錄，也可以匹配到F:\winrar.exe、F:\winNT.bat等文件

而F:\win*\僅能匹配到目錄

4.考點(diǎn)：NTFS權(quán)限

此題答案不唯一，只要是合理可行的方案即可

下面答案僅供參考：

限制QQ的行為，可以把QQ設(shè)為根本用戶。

防止QQ廣告，可以對(duì)Tencent下的AD目錄調(diào)整NTFS權(quán)限——取消Users組的創(chuàng)立、寫入權(quán)限

不允許QQ調(diào)用瀏覽器，可以對(duì)IE調(diào)整NTFS權(quán)限——取消Users組的“讀取和運(yùn)行〞的權(quán)限參考答案.rar(1019Bytes)下面將詳細(xì)討論規(guī)那么局部一、再次強(qiáng)調(diào)一下通配符的使用

Windows里面默認(rèn)

*：任意個(gè)字符〔包括0個(gè)〕，但不包括斜杠

?：1個(gè)或0個(gè)字符

在組策略中*不包括斜杠，這和HIPS是不同的，一定要注意

例如：

C:\Windows\system32可以表示為*\*\system32

而以下的表達(dá)式都是無(wú)效的：

*\system32、system32\*、system32

二、根目錄規(guī)那么

軟件限制策略對(duì)初學(xué)者來(lái)說(shuō)有一定的難度，因?yàn)樗鼪](méi)有HIPS那么豐富的功能選項(xiàng)，故利用規(guī)那么實(shí)現(xiàn)某一功能需要一定的

技巧。

根目錄規(guī)那么就是一例〔禁止在某個(gè)目錄的根目錄下的程序行為〕

假設(shè)在EQ中，設(shè)置規(guī)那么時(shí)取消“包含該目錄下面的所有文件〞選項(xiàng)就可以保證規(guī)那么僅對(duì)根目錄起效

而組策略卻不是那么簡(jiǎn)單就可以做到。

看看下面的規(guī)那么：引用:C:\ProgramFiles\*.*不允許的

前面已經(jīng)提過(guò)，*不包含斜杠，因此這個(gè)規(guī)那么可視為ProgramFiles的根目錄規(guī)那么。在此規(guī)那么下，形

如C:\ProgramFiles\a.exe等程序?qū)⒉荒軉?dòng)。

但這規(guī)那么可能導(dǎo)致一些問(wèn)題，因?yàn)橥ㄅ浞纯梢云ヅ涞轿募部梢云ヅ涞轿募A。

如果ProgramFiles存在帶有“.〞的目錄〔形如C:\ProgramFiles\TTplayer5.2〕，一樣可以和規(guī)那么

C:\ProgramFiles\*.*匹配，這將導(dǎo)致該文件夾下的程序無(wú)法運(yùn)行，造成誤傷。

改良一下的話，可以用兩條規(guī)那么來(lái)實(shí)現(xiàn)根目錄限制

如引用:C:\ProgramFiles

不允許的

C:\ProgramFiles\*\

不受限的這樣就保證了子目錄的程序不受規(guī)那么影響

三、一些規(guī)那么的模板根目錄規(guī)那么：

某目錄\*+某目錄\*\*

目錄規(guī)那么〔包含目錄中所有文件〕：

某目錄\*或某目錄\或某目錄

含“*〞的目錄規(guī)那么：

某目錄*\

〔注意要加上斜杠“\〞〕

文件型規(guī)那么：

a.exe、*等

絕對(duì)路徑規(guī)那么：

如C:\Windows\explorer.exe

全局型規(guī)那么：

*

這里需要說(shuō)明的是，為什么全局型規(guī)那么要使用“*〞？

因?yàn)?屬于僅有通配符的規(guī)那么，其覆蓋范圍是最大的，而優(yōu)先級(jí)是最低的，不會(huì)遺漏，便于排除，

最適合作為全局規(guī)那么。

比照“*.*〞，一個(gè)字符“.〞的存在使規(guī)那么的優(yōu)先級(jí)提高了，這將會(huì)給排除工作帶來(lái)不便

四、規(guī)那么實(shí)例1.保證上網(wǎng)平安

很多人問(wèn)，瀏覽毒網(wǎng)時(shí)，病毒會(huì)下載到什么位置執(zhí)行？

首先是，下載到網(wǎng)頁(yè)緩存中〔Content.IE5〕，這點(diǎn)很多人都注意到了。不過(guò)呢，病毒一般卻不會(huì)選

擇在緩存中執(zhí)行，而是通過(guò)瀏覽器復(fù)制病毒文件到其它目錄，例如Windows。system32、Temp，當(dāng)前

用戶文件夾、桌面、系統(tǒng)盤根目錄、ProgramFiles根目錄及其公有子目錄、瀏覽器所在目錄等

所以在這里再重復(fù)一次已說(shuō)過(guò)N次的話，不要以為把緩存目錄設(shè)為不允許的就萬(wàn)事大吉了。

至于防范，比擬好的方法就是禁止瀏覽器在敏感位置新建文件，這點(diǎn)使用“瀏覽器根本用戶〞就可以

做到，規(guī)那么如下引用:%ProgramFiles%\InternetExplorer\iexplore.exe

根本用戶如果使用的是其它瀏覽器，也可以設(shè)成根本用戶

假設(shè)配合以下規(guī)那么，效果更佳：引用:*\DocumentsandSettings

不允許的

程序一般不會(huì)從DocumentsandSettings中啟動(dòng)

%ALLAPPDATA%\*\*

不受限的

允許程序從ApplicationData的子目錄啟動(dòng)

%APPDATA%

不允許的

當(dāng)前用戶的ApplicationData目錄限制

%APPDATA%\*\

不受限的

允許程序從ApplicationData的子目錄啟動(dòng)

%SystemDrive%\*.*

不允許的

禁止程序從系統(tǒng)盤根目錄啟動(dòng)

%Temp%

不受限的

允許程序從Temp目錄啟動(dòng)，安裝軟件必須

%TMP%

不受限的

同上并設(shè)置用戶變量Temp的NTFS權(quán)限：

Temp的默認(rèn)路徑為DocumentsandSettings\Administrator\LocalSettings\Temp

在系統(tǒng)盤格式為NTFS的情況下，右擊Temp文件夾，選擇“平安〞項(xiàng)，取消Users組的“讀取與運(yùn)行〞

權(quán)限即可。〔同時(shí)要取消Everyone組的訪問(wèn)權(quán)，且保證Administrators組具有完全訪問(wèn)權(quán)限〕

如此設(shè)置的作用是：根本用戶下的程序?qū)o(wú)法從Temp文件夾運(yùn)行程序

2.U盤規(guī)那么

比擬實(shí)際的做法是引用:U盤:\*

不允許的、不信任的、受限的，都可以不允許的平安度更高一些，這樣也不會(huì)影響U盤的一般使用〔正?？截悺h除等〕

假設(shè)你的U盤一般盤符是I，那么規(guī)那么可以寫成：引用:I:\*

不允許的3.雙后綴文件防范規(guī)那么

以下是微軟的幫助：引用:注意

某些病毒使用的文件具有兩個(gè)擴(kuò)展名以使得危險(xiǎn)文件看起來(lái)像平安的文件。例如，Document.txt.exe

或Photos.jpg.exe。最后面的擴(kuò)展名是Windows將嘗試翻開(kāi)的擴(kuò)展名。具有兩個(gè)擴(kuò)展名的合法文件

非常少，因此防止下載或翻開(kāi)這種類型的文件。

有些文件下載起來(lái)比程序或宏文件更平安，例如文本(.txt)或圖像(.jpg,.gif,.png)文件。但

是，仍然要警惕未知的來(lái)源，因?yàn)檫@些文件中的一些文件使用了特意精心設(shè)計(jì)的格式，可以利用

計(jì)算機(jī)系統(tǒng)的漏洞。雙后綴文件可能的形式比擬多，這里僅放出諜照一張

4.全局規(guī)那么

就一條：引用:*

根本用戶如果設(shè)成受限的或者不信任/不允許的話，無(wú)疑會(huì)更平安，但也會(huì)帶來(lái)一些不便。綜合考慮還是根本用戶比擬適合

在全局規(guī)那么下，肯定需要對(duì)合法的程序進(jìn)行排除的。在排除的時(shí)候，你就會(huì)發(fā)現(xiàn)使用*作為全局規(guī)那么的優(yōu)越性了——任何一條規(guī)那么的優(yōu)先級(jí)都比它高，所以我們可以很方便地進(jìn)行排除。

為了減少排除的工作量，這里建議大家把軟件集中安裝在少數(shù)的目錄，例如ProgramFiles目錄，那么

排除時(shí)就可以對(duì)整個(gè)目錄進(jìn)行，不必慢慢添加

例如排除規(guī)那么：引用:%ProgramFiles%

不受限的

〔軟件所在目錄〕

*\ApplicationSetups

不受限的

〔安裝軟件用的文件夾〕還要排除一些文件格式，以使其被正常翻開(kāi)：引用:*.lnk

不受限的

*.ade

不受限的

*.adp

不受限的

*.msi

不受限的

*.msp

不受限的

*.chm

不受限的

*.hlp

不受限的

*.pcd

不受限的5.其它輔助規(guī)那么

CMD限制策略：引用:%Comspec%

根本用戶注意：在組策略中，微軟把cmd.exe和批處理是分開(kāi)處理的，即使把cmd設(shè)成“不允許的〞，仍然可以運(yùn)行.bat等批處理

由于桌面一般只放快捷方式，所以引用:%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop%

不允許的同時(shí)要讓快捷方式能夠正常工作：引用:*.lnk

不受限的方案任務(wù)功能很少會(huì)用到，所以引用:%SystemRoot%\task

不允許的幫助文件閱讀器的管制策略：引用:%WinDir%\hh.exe

根本用戶

〔防范CHM捆毒〕

%WinDir%\winhelp.exe

根本用戶

%WinDir%\winhlp32.exe

根本用戶腳本宿主管制引用:%WinDir%\system32\?script.exe

受限的〔或者直接不允許〕一些不會(huì)有程序啟動(dòng)的位置、一些極少用到的系統(tǒng)程序，你不用但病毒會(huì)用，所以建議禁止...........

規(guī)那么可以有很多，大可自己發(fā)揮，放出圖一張：

禁止偽裝系統(tǒng)程序

如：引用:lsass.exe

不允許的

%WinDir%\system32\lsass.exe

不受限的剩下的規(guī)那么就留給各位自由發(fā)揮了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~華美麗的分割線，怎么?不夠華美？~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

至此，教程完畢

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

組策略規(guī)那么發(fā)布：