組策略之軟件限制策略-完全教程與規(guī)則示例

1組策略之軟件限制策略——完全教程與規(guī)那么例如導(dǎo)讀

實際上，本教程主要為以下內(nèi)容：

理論局部：

1.軟件限制策略的路徑規(guī)那么的優(yōu)先級問題

2.在路徑規(guī)那么中如何使用通配符

3.規(guī)那么的權(quán)限繼承問題

4.軟件限制策略如何實現(xiàn)3D部署〔難點是NTFS權(quán)限〕，軟件限制策略的精髓在于權(quán)限，如何部署策略也就是如何設(shè)置權(quán)限

規(guī)那么局部：

5.如何用軟件限制策略防毒〔也就是如何寫規(guī)那么〕

6.規(guī)那么的例如與下載

其中，1、2、3點是根底，很多人寫出無效或者錯誤的規(guī)那么出來都是因為對這些內(nèi)容沒有搞清楚；第4點可能有

點難，但如果想讓策略有更好的防護(hù)效果并且不影響平時正常使用的話，這點很重要。

如果使用規(guī)那么后發(fā)現(xiàn)有的軟件工作不正常，請參考這局部內(nèi)容，注意調(diào)整NTFS權(quán)限

理論局部軟件限制策略包括證書規(guī)那么、散列規(guī)那么、Internet區(qū)域規(guī)那么和路徑規(guī)那么。我們主要用到的是散列規(guī)那么和路徑規(guī)那么，其中靈活性最好的就是路徑規(guī)那么了，所以一般我們談到的策略規(guī)那么，假設(shè)沒有特別說明，那么直接指路徑規(guī)那么。

一.環(huán)境變量、通配符和優(yōu)先級關(guān)于環(huán)境變量〔假定系統(tǒng)盤為C盤〕

%USERPROFILE%

表示C:\DocumentsandSettings\當(dāng)前用戶名

%HOMEPATH%

表示C:\DocumentsandSettings\當(dāng)前用戶名

%ALLUSERSPROFILE%

表示C:\DocumentsandSettings\AllUsers

%ComSpec%

表示C:\WINDOWS\System32\cmd.exe

%APPDATA%

表示C:\DocumentsandSettings\當(dāng)前用戶名\ApplicationData

%ALLAPPDATA%

表示C:\DocumentsandSettings\AllUsers\ApplicationData

%SYSTEMDRIVE%表示C:

%HOMEDRIVE%

表示C:

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP%和%TMP%

表示C:\DocumentsandSettings\當(dāng)前用戶名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

關(guān)于通配符：

Windows里面默認(rèn)

*：任意個字符〔包括0個〕，但不包括斜杠

?：1個或0個字符

幾個例子

*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每個目錄下的所有子文件夾。

C:\win*匹配C:\winnt、C:\windows、C:\windir以及每個目錄下的所有子文件夾。

*.vbs匹配WindowsXPProfessional中具有此擴(kuò)展名的任何應(yīng)用程序。

C:\ApplicationFiles\*.*匹配特定目錄〔ApplicationFiles〕中的應(yīng)用程序文件，但不包括ApplicationFiles的子目錄

關(guān)于優(yōu)先級:

1.絕對路徑>通配符相對路徑

如C:\Windows\explorer.exe>*\Windows\explorer.exe

2.文件型規(guī)那么>目錄型規(guī)那么

如假設(shè)a.exe在Windows目錄中，那么

a.exe>C:\Windows

3.環(huán)境變量=相應(yīng)的實際路徑=注冊表鍵值路徑

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.散列規(guī)那么比任何路徑規(guī)那么優(yōu)先級都高

總的來說，就是規(guī)那么越匹配越優(yōu)先

注：

1.通配符*并不包括斜杠\。例如*\WINDOWS匹配C:\Windows，但不匹配C:\Sandbox\WINDOWS

2.*和**是完全等效的，例如**\**\abc=*\*\abc

3.C:\abc\*

可以直接寫為C:\abc\或者C:\abc，最后的*是可以省去的，因為軟件限制策略的規(guī)那么可以直接匹配到目錄。

4.軟件限制策略只對“指派的文件類型〞列表中的格式起效。例如*.txt不允許的，這樣的規(guī)那么實際上無效，除非你把TXT格式也參加“指派的文件類型〞列表中。

5.*和*.*是有區(qū)別的，后者要求文件名或路徑必須含有“.〞，而前者沒有此限制，因此，*.*的優(yōu)先級比*的高

6.?:\*與?:\*.*是截然不同的，前者是指所有分區(qū)下的每個目錄下的所有子文件夾，簡單說，就是整個硬盤；而?:\*.*僅包括所有分區(qū)下的帶“.〞的文件或目錄，一般情況

下，指的就是各盤根目錄下的文件。那非一般情況是什么呢？請參考第7點

7.?:\*.*中的“.〞可能使規(guī)那么范圍不限于根目錄。這里需要注意的是：有“.〞的不一定是文件，可以是文件夾。例如F:\ab.c，一樣符合?:\*.*，所以規(guī)那么對F:\ab.c下的所有文件及子目錄都生效。

8.這是很多人寫規(guī)那么時的誤區(qū)。首先引用?組策略軟件限制策略規(guī)那么包編寫之菜鳥入門〔修正版〕?里的一段：引用:狹4、抬如何城保護(hù)供上網(wǎng)于的安陰全

匪在瀏男覽不鵲平安疏的網(wǎng)苗頁時菌，病良毒會共首先鵲下載敢到I揭E緩醋存以菠及系杠統(tǒng)臨橋時文儉件夾株中，裳并自腫動運猜行，運造成玩系統(tǒng)晶染毒懂，在呢了解際了這燙個感炕染途齒徑之蔥后，婆我們綢可以文利用愁軟件渠限制哭策略笨進(jìn)行筑封堵柱

哲%S怕YS鈴TE蕉MR思OO悶T%刷\t狗as蠟ks嫩\*獻(xiàn)*\議*.忙*

夸

六不史允許紋的

騙

損〔寬這個暫是計役劃任啄務(wù)，康病毒鋒藏身豆地之方一〕貨

叼%S丟YS迷TE詠MR菊OO記T%帝\T植em良p\般**料\*穿.*井

瓜

蠟不允尼許的叨

哥%U壁SE牌RP始RO慰FI滿LE權(quán)%\卡Co敘ok栽ie句s\異*.滾*

逝

場不裝允許挑的

罰%U粥SE方RP撞RO梳FI肌LE飄%\嘩Lo方ca扶l辨Se煙tt后in固gs巖\*慎*\準(zhǔn)*.受*

呢

罩不循允許起的

于

〔荷這個純是I服E緩序存、啞歷史皂記錄妻、臨游時文途件所諷在位池置〕記說實疼話，如上面內(nèi)引用虛的部籌分不標(biāo)少地扇方都無是錯筆誤的

鑒先不我談這壟樣的漁規(guī)那么濾能否矮保護(hù)凳上網(wǎng)禍平安精，實瀉際上型這幾眼條規(guī)唐那么在蘆設(shè)置呆時就自犯了歡一些削錯誤

親例如廁：%乏US不ER廳PR殘OF誰IL窄E%括\L材oc玉al遵S店et凡ti搶ng窩s\椅**員\*站.*交

毅不允抬許的

黨可以宮看出摸，規(guī)脆那么的誰原意葛是阻遲止程部序從谷Lo替ca填l緣Se能tt盯in棟gs浴〔包律括所穗有子鍬目錄碎〕中拒啟動

突現(xiàn)在診大家確不妨毛想想它這規(guī)哈那么的蜜實際睡作用貿(mào)是什膜么？

戶先參者考注陽1和格注2待，*域*洪和*胡是逐等同炸的，浪而且斯不包呼含字屠符“駐\〞臺。所輔以，森這里流規(guī)那么繩的實鹽際效束果是沉“送禁止關(guān)程序今從L活oc延al老S委et普ti靈ng僅s文地件夾氧的一判級子輝目錄翠中啟連動〞綱，不余包括絨Lo件ca偉l率Se腳tt礦in擁gs陰根目芳錄，塌也不搜包括肌二級架和以為下的袖子目圓錄。

糟現(xiàn)在逆我們渠再來翼看看景Lo門ca宿l掏Se店tt鬼in常gs旦的一狼級子奮目錄嬌有哪姨些：裝Te揀mp艙、T滾em韻po將ra圈ry暫I姜nt蝶er奪ne擴(kuò)t餅Fi械le扁s、童Ap著pl模ic死at修io晴n灰Da桃ta關(guān)、H雙is勻to告ry持。

存阻止嫂程序偉從T敗em衡p根汽目錄酬啟動市，直錦接的味后果帝就是芒很多五軟件恢不能芝成功采安裝

收那么筋，阻盜止程燭序從賽Te憤mp僚or硬ar唱y洞In竄te菜rn誕et盆F私il宜es部根目族錄啟抬動又浩如何臥呢？

莖實際演上，吧由于碼IE貼的緩扇存并借不是睜存放隔Te巨mp衰or童ar大y菌In坦te皆rn慈et冰F厘il皇es貸根目票錄中榨，而津是存遠(yuǎn)于T索em誘po顛ra劫ry嘴I認(rèn)nt各er影ne脹t微Fi而le紅s的誤子目幼錄C尿on始te燦nt油.I薦E5往的子滔目錄巾里〔斗-_蘆-|部|〕值，所晴以這俊種寫鉛法根脫本不殼能阻布止程藥序從腥IE啊緩存膝中啟從動，糟是沒我有意咽義的之規(guī)那么

夠假設(shè)要及阻止液程序墾從某尼個文餃件夾薯及所熟有子永目錄把中啟弊動，臂正確翻的寫務(wù)法應(yīng)許該是怨：

飛某目壩錄\蘆**濃興某目授錄\凈*高某目掉錄\武雙某目付錄

役9.恰蚊引用羽:急?:她\a姥ut丈or界un鏡.i便nf銹

我

重不允然許的第這是逗流傳朗的所派謂防搞U盤注病毒盡規(guī)那么桌，事珍實上組這條符規(guī)那么托是沒阿有作汽用的怠，關(guān)幕于這倦點在調(diào)碑關(guān)于落各種奪策略紹防范絞U盤徒病毒猛的討誠論諒已正經(jīng)作利了分測析

捏二.羨軟件苦限制危策略誠的3盯D的蓬實現(xiàn)請：

最“軟全件限殃制策還略本謊身即移實現(xiàn)氏AD炸，并盛通過度NT婚FS獎權(quán)限輩實現(xiàn)奉FD券，同姓時通津過注頁冊表普權(quán)限差實現(xiàn)陰RD浙，從挽而完賓成3游D的許部署曲〞

堪對于浙軟件大限制鑄策略抹的A貨D限治制，澡是由谷權(quán)限進(jìn)指派陶來完栽成的飽，而吃這個膜權(quán)限甘的指圍派，脫用的白是微鴿軟內(nèi)袋置的較規(guī)那么燃，即沖使我抖們修綁改“豆用戶北權(quán)限惹指派貫〞項娛的內(nèi)誓容，拘也無必法對陣軟件柳限制博策略綠中的鐘平安鐵等級獎進(jìn)行屯提權(quán)躁。所泳以，犁只要暢選擇服好安頸全等迎級，姐AD夕局部板就已滲經(jīng)部餅署好釘了，篇不能記再作摟干預(yù)

栽而軟黑件件繳限制膜策略亡的F佛D和傾RD肥限制舞，分棋別由疊NT纖FS貸權(quán)限每、注末冊表寒權(quán)限來來完薄成。柔而與儀AD蔬局部雅不同羅的是投，這萬樣限雄制是襲可以災(zāi)干預(yù)遲的，串也就遙是說寧，容我們返可以王通過眉調(diào)整揮NT逮FS下和注姻冊表皇權(quán)限讀來配吃置F慣D和辨RD冷，這搶就比嶄AD胳局部氏要靈琴活得早多。

功小結(jié)援一下仁，就配是

國AD駛——教用戶也權(quán)利奧指派

刑FD六——右NT活FS傻權(quán)限

炭RD笨——潛注冊械表權(quán)微限

寸先說矛AD般局部槐，我糠們能徑選擇償?shù)木途剖遣牲S用哪鍋種權(quán)瘡限等治級，尚微軟頂提供屈了五鐮種等同級：澡不受糟限的呀、基槍本用婚戶、寺受限衣的、凱不信浮任的逆、不省允許狼的。

劈不受五限的蘇，最幣高的炒權(quán)限另等級栽，但以其意酸義并開不是恭完全哨的不揭受限拴，而成是“露軟件咳訪問躍權(quán)由晌用戶與的訪疫問權(quán)南來決斷定〞防，即竟繼承究父進(jìn)仗程的掠權(quán)限掠。

植根本夕用戶鎮(zhèn)，基拍本用肅戶僅而享有撕“跳瘡過遍煎歷檢雙查〞蠟的特駕權(quán)，貿(mào)并拒蚊絕享盤有管興理員壁的權(quán)胳限。

緞受限鎖的，礙比基同本用袍戶限鐘制更紫多，方也僅漢享有燕“跳慚過遍演歷檢耐查〞億的特嚷權(quán)。

捉不信親任的漸，不趁允許格對系刻統(tǒng)資災(zāi)源、騾用戶感資源臟進(jìn)行側(cè)訪問禾，直遇接的捐結(jié)果結(jié)就是銅程序撤將無能法運彈行。

冬不允堆許的體，無阿條件敢地阻腳止程障序執(zhí)循行或妹文件微被打念開

迷很容幫易看夕出，劫按權(quán)另限大價小排奏序為達(dá)不悅受限脹的撞>拜根本地用戶巷>居受扯限的爽>歇不澆信任蓬的存>牽不允溪許的

豐其中塊，基悔本用掉戶衣、受塞限的園、不惑信任旱的駝這三燥個安甲全等遇級是忌要手段動打挪開的白具體捉做法號：

師翻開悄注冊動表編嫁輯器歌，展霞開至

歉HK腦EY剛_L鉆OC調(diào)AL擁_M僑AC鉆HI極NE玩\S得OF活TW帳AR千E\均Po喂li父ci功es劑\M幣ic珍ro固so屢ft騙\W響in好do闖ws脈\S布af頁er林\C趣od設(shè)eI精de忙nt鞏if今ie焰rs

純新建尊一個瓦DO亮WR偉D，吃命名壟為L疑ev究el謎s，破其值壩可以敞為

故0x塌10民00嗽0

掃

謀

陽

垮

邀

先

沿

揚

昏

/威/增去加受耐限的

扁0x綠20稍00衛(wèi)0

愧

音

嗚

朱

固

咳

眠

公

嗽

/慶/增松加基遭本用防戶

養(yǎng)0x晶30尸00悟0

咽

櫻

辣

玉

誼

糞

電

江

跪

/效/增婆加受變限的填，基覽本用他戶

勉0x怪31抹00吩0

零

博

炊

卡

基

作

永

銹

豆

/頓/增士加受匹限的戒，基磚本用拔戶，弓不信搖任的

拖設(shè)成細(xì)0x遷31煮00扛0〔蠟即4繩13結(jié)10沒00雞〕即互可

藏如圖捉：

孟踐閑登萍作估斷埋外購幣共尾接半拖那么概或者曬將下羅面附管件中啟的r掩eg喜雙擊第導(dǎo)入蹄注冊靠表即異可給sa作fe齡r.悔ra匆r至(奴27進(jìn)9雷By再te掀s)三暈傷鴨柿愈倆核塞請適豬議胞秋圣療宏拘王掛喚莊耍哨偏速番率再強(qiáng)疾調(diào)兩丈點：

煩1.痰“不叼允許住的〞等級別剃不包閃含任盾何F傷D操狠作。閃你可饞以對停一個即設(shè)定編成“幣不允嚷許的戲〞文招件進(jìn)滑行讀紫取、刪復(fù)制協(xié)、粘節(jié)貼、社修改晨、刪曾除等剛操作巖，組血策略糕不會獻(xiàn)阻止循，前愁提當(dāng)絮然是菊你的奧用戶鄭級別球擁有奸修改小該文與件的直權(quán)限舍2.魚“不新受限記的〞繼級別憤不等糧于完浮全不捕受限僻制，盾只是鎮(zhèn)不受毯軟件靠限制游策略縫的附促加限處制。丟事實浙上，北“不集受限進(jìn)的〞殲程序栗在啟礎(chǔ)動時殿，系越統(tǒng)將證賦予賣該程霧序的貨父進(jìn)丹程的給權(quán)限染字，居該程鑒序所揪獲得晶的訪駱問令去牌決銹定于侍其父茶進(jìn)程煎，所通以任幼何程資序的莖權(quán)限否將不破會超根過它滿的父止進(jìn)程魂。

榴權(quán)限等的分堪配與罩繼承映:

刻這里德的講研解默賽認(rèn)了定一個育前提漿：假鼻設(shè)你晃的用爺戶類同型是仙管理掏員。

六在沒授有軟鼻件限廊制策井略的丈情況點下，

正很簡妙單，餡如果敢程序間a啟弟動程欺序b掠，那卸么a灰是b套的父飛進(jìn)程獻(xiàn)，b嘩繼承筆a的宿權(quán)限

鹿現(xiàn)在討把a(bǔ)顯設(shè)為溪根本早用戶關(guān)，b趟不做擊限制蹲〔把照b設(shè)睡為不娛受限償或者畫不對六b設(shè)法置規(guī)椒那么效剪果是踢一樣尸的〕

敏然后階由a分啟動愈b，遲那么蔥b的遼權(quán)限誤繼承更于a貞，也熟是基怠本用臉戶，炊即:

妥a〔廚根本妹用戶確〕-壇>天b〔拐不受某限的題〕假設(shè)=爭b〔占根本耍用戶晃〕

推假設(shè)把痛b設(shè)伐為基就本用升戶，礦a不偉做限下制，痰那么滔a啟著動b昆后，弄b仍余然為蝕根本聰用戶馳權(quán)限乏，即

慘a〔關(guān)不受賽限的章〕-李>熊b〔捕根本爆用戶易〕暖=羽b〔寨根本雄用戶燥〕

匠可以擔(dān)看到策，一惜個程們序所雜能獲峰得的思最終哥權(quán)限遠(yuǎn)取決差于：宵父進(jìn)館程權(quán)落限刃和繡規(guī)那么拆限定傳的權(quán)龜限膛的最扒低等鴨級，酸也就貸是我恐們所吩說的霸最低閱權(quán)限番原那么

渠舉一找個例誠：

給假設(shè)我詳們把夸IE報設(shè)成縮根本滋用戶它等級貴啟動亡，那儲么由棉IE蓄執(zhí)行李的任程何程設(shè)序的撈權(quán)限離都將次不高倚于基學(xué)本用昂戶級些別，沸只能腸更低客。所隆以就?？梢詫O到達(dá)燒防范傾網(wǎng)馬譯的效使果—古—即隨使I是E下鍬載病斬毒并悄執(zhí)行勤了，寨病毒捎由于脂權(quán)限攏的限虹制，齡無法厚對系亂統(tǒng)進(jìn)仿行有擠害的烘更改位，如寺果重矛啟一忘下，爭那么止病毒態(tài)就只咳剩下矮尸體喉了。

惹甚至桑，我寫們還假設(shè)可以診通過浪NT勢FS缸權(quán)限嘴的設(shè)效置，赤讓I灘E無尾法下康載和救運行測病毒膚，不屠給病謊毒任姑何的驕時機(jī)羅。

愚FD逮：N增TF較S權(quán)歷限

飼*郵要求掙磁盤艷分區(qū)泰為N絡(luò)TF伍S格娘式鄰*

仰其實堂Mi求cr航os腹of傲t送Wi抽nd爐ow技s籠的每嚇個新能版本隸都對螞N墻TF氏S墊文件黎系統(tǒng)荒進(jìn)行趣了改鄰進(jìn)。瓦NT灑FS棄的抄默認(rèn)妖權(quán)限俗對大靠多數(shù)倍組織發(fā)而言已都已罪夠用侄。

瞎NT賴FS被權(quán)限賠的分鄙配

音1.筋如果街一個木用戶澡屬于芒多個駁組，鈴那么險該用趣戶所美獲得污的權(quán)難限是名各個嬌組的競疊加

絲2.匪“拒滾絕〞參的優(yōu)斑先級構(gòu)比“事允許邁〞要參高

訪例如褲：用標(biāo)戶A灶同器時屬孤于A貫dm束in托is夸tr山at栗or股s和晌Ev駐er嶄yo凝ne旁組，竄假設(shè)A務(wù)dm勻in純is墓tr柜at悟or疑s組完具有立完全升訪問顫權(quán)，漲但E釋ve泡ry怖on桂e組驕拒絕開對目哥錄的孫寫入廚，那艦么用醫(yī)戶A鞠的實止際權(quán)腥限是遲：不氏能對藍(lán)目錄寸寫入戰(zhàn)，但嬸可以顫進(jìn)行偽除此墾之外裕的任散何操炊作

貴高級睡權(quán)限朵名稱拒描隊述?！沧尠ㄆ罅送隄M整的遙FD玻和部欄分A玻D〕衣懶引用快:燃遍歷截文件花夾/千運行糧文件穩(wěn)

升〔遍倍歷文稈件夾誰可以頭不管不，主閥要是稻“運朽行文尚件〞弓，假設(shè)給無此互權(quán)限描那么不丈能啟淡動文艇件，捧相當(dāng)婆于A乓D的專運行罷應(yīng)用晌程序酬〕

施允許偵或拒板絕用肉戶在鄰整個紡文件盟夾中吵移動假設(shè)以到榴達(dá)其的他文鹽件或呢文件秋夾的賄請求捕，即鳳使用煌戶沒員有遍母歷文墊件夾訊的權(quán)驗限〔弄僅適獵用于嗚文件塊夾〕市。

秀列出劫文件遍夾/定讀取論數(shù)據(jù)

猛允許份或拒崖絕用斃戶查哲看指藍(lán)定文質(zhì)件夾削內(nèi)文要件名誼和子崖文件傻夾名廊的請嚼求。父它僅葵影響下該文乳件夾礙的內(nèi)王容，賞而不斃影響掀您對兄其設(shè)膏置權(quán)脖限的芝文件勒夾是態(tài)否會累列出干〔僅爹適用近于文妙件夾典〕。

惱讀取股屬性捆〔春FD琴的讀肚取〕

撇允許仆或拒敞絕查綢看文劃件中相數(shù)據(jù)往的能摔力〔拼僅適膛用于芹文件臨〕。

域讀取順擴(kuò)展付屬性

輔允許處或拒企絕用凡戶查躬看文烤件或斧文件鬼夾屬厚性〔啞例如犬只讀許和隱貨藏〕墨的請蒼求。額屬性造由杯NT雀FS完定掏義。

膚創(chuàng)立羊文件立/寫族入數(shù)驚據(jù)槍〔F臉D的壇創(chuàng)立砍〕

市“創(chuàng)窮建文貸件〞康允許促或拒笑絕在穿文件兇夾中務(wù)創(chuàng)立顛文件戲〔僅領(lǐng)適用劉于文撐件夾旱〕。迅“寫過入數(shù)吧據(jù)〞名允許冰或拒菜絕對鹽文件餐進(jìn)行蹲修改脾并覆如蓋現(xiàn)梨有內(nèi)圈容的心能力盤〔僅俯適用桐于文蒼件〕剖。

建創(chuàng)立含文件腫夾/劍追加撫數(shù)據(jù)

單“創(chuàng)團(tuán)建文忌件夾障〞允難許或弟拒絕脈用戶格在指煤定文策件夾最中創(chuàng)啞建文蝶件夾紙的請項求〔討僅適聞用于絡(luò)文件矮夾〕堅?！袄圩芳语w數(shù)據(jù)著〞允軟許或口拒絕燒對文鈔件末束尾進(jìn)綠行更謙改而憶不更糟改、喚刪除違或覆貼蓋現(xiàn)債有數(shù)踐據(jù)的叢能力染〔僅蛾適用末于文靜件〕減。

券寫入泄屬性豬〔岔即改術(shù)寫操砌作了法，F(xiàn)徹D的勢寫〕

貨允許記或拒該絕用像戶對綢文件饑末尾于進(jìn)行壞更改伙，而捐不更科改、臟刪除抄或覆她蓋現(xiàn)買有數(shù)芬據(jù)的斧請求慎〔僅狠適用確于文簽件〕伸。

非

即過寫操障作

茫寫入薦擴(kuò)展山屬性

蒙允許遞或拒智絕用估戶更星改文肝件或講文件鍋夾屬玻性〔雷例如疫只讀駁和隱錦藏〕詳?shù)恼埑汕?。怪屬性氣由疲NT鼓FS搖定商義。

臣刪除偏子文刪件夾請和文粗件殊〔F頑D的榜刪除蒜〕

屠允許閑或拒沸絕刪鋸除子留文件局夾和繁文件測的能肝力，世即使心子文賽件夾易或文匯件上沖沒有壯分配炸“刪思除〞蠻權(quán)限希〔適蹈用于請文件鹿夾〕蒙。

腰刪除種〔橡與上景面的輩區(qū)別混是，喪這里困除了梁子目最錄及薄其文梯件，骨還包波括了濫目錄艘本身掩〕

支允許陸或拒翅絕用第戶刪愛除子息文件陵夾和術(shù)文件南的請罰求，遮即使筋子文諸件夾消或文猜件上凝沒有慈分配啟“刪洞除〞返權(quán)限誼〔適絨用于捆文件悅夾〕握。

栽讀取燃權(quán)限惹〔男NT腦FS之權(quán)限治的查剖看〕

裹允許效或拒飾絕用笨戶讀隆取文米件或廳文件扮夾權(quán)皆限〔叔例如拔“完魔全控夫制〞表、“聯(lián)讀取惜〞和騾“寫母入〞陜〕的紐請求錢。

秧更改襪權(quán)限檢〔附NT昨FS筐權(quán)限煙的修腹改〕

恰允許鏈或拒賭絕用敲戶更憤改文糕件或始文件虹夾權(quán)蜘限〔尸例如您“完粥全控鄙制〞間、“報讀取含〞和僻“寫聽入〞舍〕的貍請求調(diào)。

惑取得珍所有焦權(quán)

奔允許螞或拒境絕取甘得文齡件或疲文件摟夾的福所有睬權(quán)。儀文件慘或文撿件夾根的所篇有者狂始終救可以泊更改誠其權(quán)猛限，姥而不里論用燙于保叨護(hù)該類文件康或文頑件夾騾的現(xiàn)串有權(quán)做限如聞何。唱以基糕本用托戶為比例，墳根本蹄用戶蛾能做賭什么片？

榮在系儀統(tǒng)默儉認(rèn)的考NT陰FS坦權(quán)限栗下，讓根本詳用戶叼對系咸統(tǒng)變專量和懼用戶察變量蛋有完著全訪鏡問權(quán)治，對器系統(tǒng)勝文件拉夾只情讀，萄對P撓ro闖gr崇am窗F再il孕es駕的公工共文芝件夾械只讀誦，D瓜oc曬um盆en郵t險an映d蜜Se染tt減in疲g下逆，僅落對當(dāng)肅前用釋戶目帳錄有同完全煙訪問贊權(quán)，小其余順不能栗訪問

誤如果萌覺得口以上乖的限慘制嚴(yán)掌格了潔或者競寬松年了，鴿可以贏自行賭調(diào)整雜各個琴目錄及和文滋件的途NT脅FS燃權(quán)限上。

聚如果社發(fā)現(xiàn)爸瀏覽揮器在孩根本厚用戶衰下無賓法使隨用某框些功腳能的矛，很順多都您是由攤于N犧TF碼S權(quán)暖限造譜成的枯，可播以嘗革試調(diào)區(qū)整對夫應(yīng)的默NT苗FS愁權(quán)限

柏根本蔽用戶謹(jǐn)、受材限用匙戶屬鞏于以瓣下組

紗Us爐er遲s

叔Au時th菠en吩ti虹ca仔te決d深Us膝er夸s

認(rèn)Ev抖er穩(wěn)yo粒ne

藍(lán)IN他TE漢RA干CT志IV盛E

推但受踐限用暑戶權(quán)傳限更籌低，邁無論編NT綢FS啞權(quán)限電如何留，受散限用旦戶始洋終受兄到限減制。

日調(diào)整驕權(quán)限增時，弱主要象利用野到的握組為耳U仆se碼rs

斗例：謊對用爆戶變莊量T紀(jì)em翁p目叫錄進(jìn)咳行設(shè)憤置，貫禁止蹄根本脫用戶剩從該限目錄替運行靜程序茫，可蓋以這低樣做外：

珠首先辯進(jìn)入竿“高鼓級〞肝選項綱，取脂消勾紗選并“從姿父項極繼承博那些稠可以檢應(yīng)用蠶到子透對象屑的權(quán)籮限項舒目，新包括歇那些閱在此獎明確荷定義樣的項阻目(督I)壺〞

袍誼景肉窩集腸畢儉駝扶避播嘆柴勸急施宮千川榜

掛然后句設(shè)置睜Us灶er補(bǔ)s的晃權(quán)限蜜如圖

奧遷塑玻死側(cè)妹片稻高涌逮百吳改吩掩緣丑

這樣根本用戶下的程序就無法從Temp啟動文件了

注意：

1.不要使用“拒絕〞，不然管理員權(quán)限下的程序也會受影響

2.everyone組的權(quán)限適用于任何人、任何程序，故everyone組的權(quán)限不能太高，至少要低于Users組

其實利用NTFS權(quán)限還可以實現(xiàn)很多功能

又例如，如果想保護(hù)某些文件不被修改或刪除，可以取消Users的刪除和寫入權(quán)限，從而限制根本用戶，到達(dá)保護(hù)重要文件的效果

當(dāng)然，也可以防止根本用戶運行指定的程序

以下為微軟建議進(jìn)行限制的程序：

regedit.exe

arp.exe

at.exe

attrib.exe

cacls.exe

debug.exe

edlin.exe

eventcreate.exe

eventtriggers.exe

ftp.exe

nbtstat.exe

net.exe

net1.exe

netsh.exe

netstat.exe

nslookup.exe

ntbackup.exe

rcp.exe

reg.exe

regedt32.exe

regini.exe

regsvr32.exe

rexec.exe

route.exe

rsh.exe

sc.exe

secedit.exe

subst.exe

systeminfo.exe

telnet.exe

tftp.exe

tlntsvr.exe

RD局部：注冊表權(quán)限。由于微軟默認(rèn)的注冊表權(quán)限分配已經(jīng)做得很好了，不需要作什么改動，所以這里就直接略過了

三.關(guān)于組策略規(guī)那么的設(shè)置：

規(guī)那么要顧及方便性，因此不能對自己有過多的限制，或者最低限度地，即使出現(xiàn)限制的情況，也能方便地進(jìn)行排除

規(guī)那么要顧及平安性，首先要考慮的對象就是瀏覽器等上網(wǎng)類軟件和可移動設(shè)備所帶來的威脅。沒有這種防外能力的規(guī)那么都是不完整或者不合格的

基于文件名防病毒、防流氓的規(guī)那么不宜多設(shè)，甚至可以舍棄。

一是容易誤阻，二是病毒名字可以隨便改，特征庫式的黑名單只會跟殺軟的病毒庫一樣滯后。

于是，我們有兩種方案：

如果想限制少一點的，可以只設(shè)防“入口〞規(guī)那么，主要面向U盤和瀏覽器

興如果伍想安頃全系品數(shù)更下高、尸全面掩一點榴的，釘可以拌考慮刮全局斗規(guī)那么橡+白光名單

溝具體代內(nèi)容快見二動樓

扎待續(xù)顫..定..掃.

諷最后愈布置學(xué)幾道慰作業(yè)愧，星看看握大家浩對上熱面的菌內(nèi)容訴消化喂得如比何喂1.很在葬規(guī)那么腹“F衰:\疏**豪\*役\*寶.*臟

臉不允扭許〞朱下，情下面姻那些環(huán)文件卡不能延被打蹄開？

遭A:墳F:靠\a摸.e兵xe

韻B.煙F:逆\F登ol疫de剪r.霸1\棋b.爭ex訴e

見C.羞F:罷\F導(dǎo)ol關(guān)de額r1林\F奮ol年de獸r.陵2\酬C.鉤tx寸t

射D.旬F:揀\F萌ol歸de籃r1抬\F惰ol歲de爸r.嘆2\街Fo傅ld余er造.3撈\d例.e閘xe

丘2.站在寇以管慶理員鐘身份享登陸緣的情方?jīng)r下韻，建退立規(guī)踐那么如才下：

離%T澡em覽p%奔

圣

協(xié)

綱

使

閉

皂

滴

雁

禽

仔

唇

岡

元

勞

廉

槽

混

奉

隙

蝴

轉(zhuǎn)

旋

阿

翁

幻

伶

旱

谷

爹

醒

冒

絹

擺

割

便

須

瘡

幼

甜

精

鴨

包

模

雅受限無的

摔%U環(huán)SE灰RP牌RO孟FI鏡LE發(fā)%\悅Lo垃ca關(guān)l敵Se席tt善in看gs數(shù)\T婦em惱po微ra率ry鋸I秧nt增er構(gòu)ne圖t嶄Fi貨le偏s

姐

逃

間

澆

非

漏

查

院

乒

政

鍋

哀

圈不允易許的

完%P賭ro莊gr禁am攻Fi意le慨s%師\I擋nt辭er逢ne役t猛Ex品pl殃or嘗er壺\i徐ex蜜pl職or盼e.蔬ex朽e

岸

啞

攝

鴿

其

毛

部

屆

帝

與

稱

叢

學(xué)

智

熊

柜

拔

瀉

滔

棟

波

痰

腔

紫

閉根本錦用戶

導(dǎo)%H央KE蘇Y_毛CU敏RR薪EN貧T_搶US瞧ER鏈\S孩of找tw串a(chǎn)r仍e\源Mi補(bǔ)cr類os仙of聞t\宰Wi輪nd被ow窄s\攜Cu辨rr法en拾tV枝er壟si斬on應(yīng)\E爐xp漆lo挨re申r\突Sh悠el月l印Fo列l(wèi)d屠er綠s\趴De圓sk講to詞p%箏

奮不受悲限的

蛋在這時四條匯規(guī)那么孫下，動假設(shè)要這樣言的情爹況：

鞋ie嘆xp等lo議re貞.e激xe厘下沸載一添個t獨es末t.肥ex菌e到方Te堤mp尋or偶ar植y毯In凳te沉rn鑄et撲F孝il院es胃目錄擇，然稀后復(fù)萌制到吊Te挪mp競目錄臨，再楊從T援em堡p目懷錄中搞運行惱te捐st該.e新xe瓣，〔敗復(fù)制日和運煌行的含操作嘆都是火IE暑在做碼〕，撈然后半由t液ex蒸t.偏ex譽(yù)e釋蘭放t膝es域t2怒.e鋸xe妖到桌旋面，照并運冬行t沙es靠t2畢.e釋xe繁。

玉那么肯te誓st勒2.歲ex送e的燕訪問者令牌跡為：

休A.稠不受梢限的耀

簽

勢

斷

謎B.尋不允誓許的離

況

磁

遙C.賤根本永用戶介

音

杯

國D宜.受降限的

燕3.情試雅說出嚴(yán)F腿:\謙wi泉n*憶和戀F冠:\所wi愁n*鹽\化的區(qū)翻別

叔4.伸假設(shè)壇想限南制Q堂Q的肢行為民，例捎如右蔥下方究彈出助的廣彈告，許并不紀(jì)允許件QQ餅調(diào)用雀瀏覽炒器，猜可以穩(wěn)怎么職做？

妻答對嚇兩題洽即及孫格。柳不過荷貌似專還是技有尺些難壞度規(guī)那么局部根底局部，如何建立規(guī)那么：

首先，翻開組策略

開始-運行，輸入“gpedit.msc〞〔不包含引號〕并回車。

在彈出的對話框中，依次展開計算機(jī)配置-Windows設(shè)置-平安設(shè)置-軟件限制策略

如果你之前沒有配置過軟件限制策略，那么可以在菜單欄上選擇操作-創(chuàng)立新的策略

如圖

然后轉(zhuǎn)到“其它規(guī)那么〞項，在菜單欄選擇“操作〞，在下拉菜單項選擇擇“新路徑規(guī)那么〞

在彈出的對話框中，就可以編輯規(guī)那么了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~華美麗的分割線~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

軟件限制策略的其實并不復(fù)雜，在規(guī)那么設(shè)置上是十分簡單的，只有五個平安級別，不像HIPS那樣，光

AD局部就細(xì)分成N項。

但軟件限制策略的難點在于：如何確保你的規(guī)那么真正有效并按你的意愿去工作，即如何保證規(guī)那么的正

確性和有效性。

從四道題目的答對率來看，發(fā)現(xiàn)問題還是不少的附上題目的參考答案引用:1.D

考點：注2、注4、注7

這題的C選項是陷阱，因為TXT文件不在規(guī)那么的阻擋范圍之內(nèi)。

D項參考注7，F(xiàn):\Folder1\Folder.2\Folder.3〔注意“.〞〕正好能匹配F:\**\*\*.*，因此Folder.3下面的EXE文件不能被翻開

2.D

說明：此題的考點為“AD權(quán)限的分配/最低權(quán)限原那么〞

我們先整理一下父子進(jìn)程的關(guān)系：

iexplore.exe->test.exe->test2.exe

〔根本用戶〕

〔受限的〕

〔受限的〕

其中，test.exe從Temp目錄啟動，受規(guī)那么“%Temp%

受限的〞的限制，其權(quán)限降為“受限的〞。test2.exe從桌面啟動，雖然桌面的程序是不受限的，但由于其父進(jìn)程為test.exe，故繼承test.exe的權(quán)限，故test2.exe的最終獲得訪問令牌還是“受限的〞

另外要注意的是，復(fù)制、創(chuàng)立文件等操作都不會構(gòu)成權(quán)限的繼承

3.考點：注1、注3、綜合分析

說明：F:\win*和F:\win*\僅相差一個字符“\〞，由注1可知，*并不包括斜杠。那么斜杠“\〞在這里的作用是什么？

實際上，這個斜杠在規(guī)那么中的作用相當(dāng)于聲明斜杠前的路徑指的是目錄，而不是文件，注意到這點后，就可以看出區(qū)別了：

F:\win*既可以匹配到F:\windows、F:\windir、F:\winrar等目錄，也可以匹配到F:\winrar.exe、F:\winNT.bat等文件

而F:\win*\僅能匹配到目錄

4.考點：NTFS權(quán)限

此題答案不唯一，只要是合理可行的方案即可

下面答案僅供參考：

限制QQ的行為，可以把QQ設(shè)為根本用戶。

防止QQ廣告，可以對Tencent下的AD目錄調(diào)整NTFS權(quán)限——取消Users組的創(chuàng)立、寫入權(quán)限

不允許QQ調(diào)用瀏覽器，可以對IE調(diào)整NTFS權(quán)限——取消Users組的“讀取和運行〞的權(quán)限參考答案.rar(1019Bytes)下面將詳細(xì)討論規(guī)那么局部一、再次強(qiáng)調(diào)一下通配符的使用

Windows里面默認(rèn)

*：任意個字符〔包括0個〕，但不包括斜杠

?：1個或0個字符

在組策略中*不包括斜杠，這和HIPS是不同的，一定要注意

例如：

C:\Windows\system32可以表示為*\*\system32

而以下的表達(dá)式都是無效的：

*\system32、system32\*、system32

二、根目錄規(guī)那么

軟件限制策略對初學(xué)者來說有一定的難度，因為它沒有HIPS那么豐富的功能選項，故利用規(guī)那么實現(xiàn)某一功能需要一定的

技巧。

根目錄規(guī)那么就是一例〔禁止在某個目錄的根目錄下的程序行為〕

假設(shè)在EQ中，設(shè)置規(guī)那么時取消“包含該目錄下面的所有文件〞選項就可以保證規(guī)那么僅對根目錄起效

而組策略卻不是那么簡單就可以做到。

看看下面的規(guī)那么：引用:C:\ProgramFiles\*.*不允許的

前面已經(jīng)提過，*不包含斜杠，因此這個規(guī)那么可視為ProgramFiles的根目錄規(guī)那么。在此規(guī)那么下，形

如C:\ProgramFiles\a.exe等程序?qū)⒉荒軉印?/p>

但這規(guī)那么可能導(dǎo)致一些問題，因為通配符即可以匹配到文件，也可以匹配到文件夾。

如果ProgramFiles存在帶有“.〞的目錄〔形如C:\ProgramFiles\TTplayer5.2〕，一樣可以和規(guī)那么

C:\ProgramFiles\*.*匹配，這將導(dǎo)致該文件夾下的程序無法運行，造成誤傷。

改良一下的話，可以用兩條規(guī)那么來實現(xiàn)根目錄限制

如引用:C:\ProgramFiles

不允許的

C:\ProgramFiles\*\

不受限的這樣就保證了子目錄的程序不受規(guī)那么影響

三、一些規(guī)那么的模板根目錄規(guī)那么：

某目錄\*+某目錄\*\*

目錄規(guī)那么〔包含目錄中所有文件〕：

某目錄\*或某目錄\或某目錄

含“*〞的目錄規(guī)那么：

某目錄*\

〔注意要加上斜杠“\〞〕

文件型規(guī)那么：

a.exe、*等

絕對路徑規(guī)那么：

如C:\Windows\explorer.exe

全局型規(guī)那么：

*

這里需要說明的是，為什么全局型規(guī)那么要使用“*〞？

因為*屬于僅有通配符的規(guī)那么，其覆蓋范圍是最大的，而優(yōu)先級是最低的，不會遺漏，便于排除，

最適合作為全局規(guī)那么。

比照“*.*〞，一個字符“.〞的存在使規(guī)那么的優(yōu)先級提高了，這將會給排除工作帶來不便

四、規(guī)那么實例1.保證上網(wǎng)平安

很多人問，瀏覽毒網(wǎng)時，病毒會下載到什么位置執(zhí)行？

首先是，下載到網(wǎng)頁緩存中〔Content.IE5〕，這點很多人都注意到了。不過呢，病毒一般卻不會選

擇在緩存中執(zhí)行，而是通過瀏覽器復(fù)制病毒文件到其它目錄，例如Windows。system32、Temp，當(dāng)前

用戶文件夾、桌面、系統(tǒng)盤根目錄、ProgramFiles根目錄及其公有子目錄、瀏覽器所在目錄等

所以在這里再重復(fù)一次已說過N次的話，不要以為把緩存目錄設(shè)為不允許的就萬事大吉了。

至于防范，比擬好的方法就是禁止瀏覽器在敏感位置新建文件，這點使用“瀏覽器根本用戶〞就可以

做到，規(guī)那么如下引用:%ProgramFiles%\InternetExplorer\iexplore.exe

根本用戶如果使用的是其它瀏覽器，也可以設(shè)成根本用戶

假設(shè)配合以下規(guī)那么，效果更佳：引用:*\DocumentsandSettings

不允許的

程序一般不會從DocumentsandSettings中啟動

%ALLAPPDATA%\*\*

不受限的

允許程序從ApplicationData的子目錄啟動

%APPDATA%

不允許的

當(dāng)前用戶的ApplicationData目錄限制

%APPDATA%\*\

不受限的

允許程序從ApplicationData的子目錄啟動

%SystemDrive%\*.*

不允許的

禁止程序從系統(tǒng)盤根目錄啟動

%Temp%

不受限的

允許程序從Temp目錄啟動，安裝軟件必須

%TMP%

不受限的

同上并設(shè)置用戶變量Temp的NTFS權(quán)限：

Temp的默認(rèn)路徑為DocumentsandSettings\Administrator\LocalSettings\Temp

在系統(tǒng)盤格式為NTFS的情況下，右擊Temp文件夾，選擇“平安〞項，取消Users組的“讀取與運行〞

權(quán)限即可?！餐瑫r要取消Everyone組的訪問權(quán)，且保證Administrators組具有完全訪問權(quán)限〕

如此設(shè)置的作用是：根本用戶下的程序?qū)o法從Temp文件夾運行程序

2.U盤規(guī)那么

比擬實際的做法是引用:U盤:\*

不允許的、不信任的、受限的，都可以不允許的平安度更高一些，這樣也不會影響U盤的一般使用〔正?？截?、刪除等〕

假設(shè)你的U盤一般盤符是I，那么規(guī)那么可以寫成：引用:I:\*

不允許的3.雙后綴文件防范規(guī)那么

以下是微軟的幫助：引用:注意

某些病毒使用的文件具有兩個擴(kuò)展名以使得危險文件看起來像平安的文件。例如，Document.txt.exe

或Photos.jpg.exe。最后面的擴(kuò)展名是Windows將嘗試翻開的擴(kuò)展名。具有兩個擴(kuò)展名的合法文件

非常少，因此防止下載或翻開這種類型的文件。

有些文件下載起來比程序或宏文件更平安，例如文本(.txt)或圖像(.jpg,.gif,.png)文件。但

是，仍然要警惕未知的來源，因為這些文件中的一些文件使用了特意精心設(shè)計的格式，可以利用

計算機(jī)系統(tǒng)的漏洞。雙后綴文件可能的形式比擬多，這里僅放出諜照一張

4.全局規(guī)那么

就一條：引用:*

根本用戶如果設(shè)成受限的或者不信任/不允許的話，無疑會更平安，但也會帶來一些不便。綜合考慮還是根本用戶比擬適合

在全局規(guī)那么下，肯定需要對合法的程序進(jìn)行排除的。在排除的時候，你就會發(fā)現(xiàn)使用*作為全局規(guī)那么的優(yōu)越性了——任何一條規(guī)那么的優(yōu)先級都比它高，所以我們可以很方便地進(jìn)行排除。

為了減少排除的工作量，這里建議大家把軟件集中安裝在少數(shù)的目錄，例如ProgramFiles目錄，那么

排除時就可以對整個目錄進(jìn)行，不必慢慢添加

例如排除規(guī)那么：引用:%ProgramFiles%

不受限的

〔軟件所在目錄〕

*\ApplicationSetups

不受限的

〔安裝軟件用的文件夾〕還要排除一些文件格式，以使其被正常翻開：引用:*.lnk

不受限的

*.ade

不受限的

*.adp

不受限的

*.msi

不受限的

*.msp

不受限的

*.chm

不受限的

*.hlp

不受限的

*.pcd

不受限的5.其它輔助規(guī)那么

CMD限制策略：引用:%Comspec%

根本用戶注意：在組策略中，微軟把cmd.exe和批處理是分開處理的，即使把cmd設(shè)成“不允許的〞，仍然可以運行.bat等批處理

由于桌面一般只放快捷方式，所以引用:%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop%

不允許的同時要讓快捷方式能夠正常工作：引用:*.lnk

不受限的方案任務(wù)功能很少會用到，所以引用:%SystemRoot%\task

不允許的幫助文件閱讀器的管制策略：引用:%WinDir%\hh.exe

根本用戶

〔防范CHM捆毒〕

%WinDir%\winhelp.exe

根本用戶

%WinDir%\winhlp32.exe

根本用戶腳本宿主管制引用:%WinDir%\system32\?script.exe

受限的〔或者直接不允許〕一些不會有程序啟動的位置、一些極少用到的系統(tǒng)程序，你不用但病毒會用，所以建議禁止...........

規(guī)那么可以有很多，大可自己發(fā)揮，放出圖一張：

禁止偽裝系統(tǒng)程序

如：引用:lsass.exe

不允許的

%WinDir%\system32\lsass.exe

不受限的剩下的規(guī)那么就留給各位自由發(fā)揮了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~華美麗的分割線，怎么?不夠華美？~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

至此，教程完畢

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

組策略規(guī)那么發(fā)布：