組策略完全解析

組策略完全解析七寸〞其實就是所謂的〝打蛇打七寸〞 1[原創(chuàng)]

組戰(zhàn)略之軟件限制戰(zhàn)略——完全教程與規(guī)那么例如 11七寸〞其實就是所謂的〝打蛇打七寸〞七寸〞其實就是所謂的〝打蛇打七寸〞，以擊中關(guān)鍵為目的，而最大限制的不攪擾其他操作，所以，假設(shè)要完成〝七寸〞的效果，就不能用全局規(guī)那么的想法來思索，而只能以point-to-point的形式來停止控制。固然，組戰(zhàn)略關(guān)于交互式的HIPS操作來說，可比性各有所長，HIPS的API函數(shù)掛鉤是一個一個的完成，勝在細(xì)致、直觀，但是總會有漏掉的；而組戰(zhàn)略的一個平安等級相當(dāng)于一個現(xiàn)成的HIPS規(guī)那么，這顯然要比HIPS一個一個的HOOK高效得多，畢竟這是微軟給我們提供好的，雖然也不能所每個平安等級都能面面俱到，但至少它勝在方便，上手復(fù)雜。

既然不能用全局規(guī)那么的思緒來編，那么就從系統(tǒng)目錄一個一個來講，至于其他盤符目錄，可以在熟習(xí)的條件下自己添加，這里僅舉出系統(tǒng)盤戰(zhàn)略。

在XP系統(tǒng)，系統(tǒng)盤假定為C盤，那么其下無非就幾個目錄而已，DocumentsandSettings，ProgramFiles，WINDOWS，一些WindowsInstaller軟件的裝置還會創(chuàng)立一個Config.Msi目錄。

關(guān)于通配符、優(yōu)先級和環(huán)境變量，這里再贅述一遍，由于它很重要：

*：恣意個字符〔包括0個〕，但不包括斜杠。

?：1個或0個字符。

優(yōu)先級總的原那么是：規(guī)那么越婚配越優(yōu)先。

①.相對途徑>通配符全途徑

如C:\Windows\explorer.exe>*\Windows\explorer.exe

②.文件名規(guī)那么>目錄型規(guī)那么

如假定a.exe在Windows目錄中，那么a.exe>C:\Windows

③.環(huán)境變量=相應(yīng)的實踐途徑=注冊表鍵值途徑

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

④.關(guān)于同是目錄規(guī)那么，那么能婚配的目錄級數(shù)越多的規(guī)那么越優(yōu)先；關(guān)于同是文件名規(guī)那么，優(yōu)先級均相反。

⑤.假定規(guī)那么的優(yōu)先級相反，按最受限制的規(guī)那么為準(zhǔn)。

舉例：

相對途徑(如C:\Windows\system32\cmd.exe)

>通配符全途徑(如*\Windows\*\cmd.exe)>文件名規(guī)那么(如cmd.exe)=通配符文件名規(guī)那么(如*.*)>局部相對途徑(不包括文件名，如C:\Windows\system32)

=

局部通配符途徑〔不包括文件名，如C:\*\system32〕

>C:\Windows

=

*\*

常用的環(huán)境變量：

%SystemDrive%

表示C:\

%AllUsersProfile%

表示C:\DocumentsandSettings\AllUsers

%UserProfile%

表示C:\DocumentsandSettings\以后用戶名

%AppData%

表示C:\DocumentsandSettings\以后用戶名\ApplicationData

%Temp%和%Tmp%

表示C:\DocumentsandSettings\以后用戶名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

%WinDir%

表示C:\WINDOWS

%ComSpec%

表示C:\WINDOWS\system32\cmd.exe

===========================================

一、DocumentsandSettings

于是我們來一步一步掃除，在一些緩存目錄未修正的前提下，首先需求掃除的是三個用戶順序目錄，一些軟件在裝置終了后會在這三個目錄下創(chuàng)立相關(guān)文件：

%AppData%\*\不受限的

%AppData%\LocalSettings\ApplicationData\*\不受限的

%AllUsersProfile%\ApplicationData\*\不受限的

然后在掃除文檔目錄

%UserProfile%\MyDocuments基本用戶

%AllUsersProfile%\Documents基本用戶

接著掃除暫時文件目錄

%Temp%不受限的

%Tmp%不受限的

最后在掃除桌面目錄

%UserProfile%\桌面受限的

%AllUsersProfile%\桌面受限的

附加*.lnk不受限的

掃除終了后，就可以擔(dān)憂的加上一條制止規(guī)那么%SystemDrive%\DocumentsandSettings，由于下面的這幾個目錄是我們常用到的，除了這幾個目錄，其他位置運(yùn)轉(zhuǎn)的文件基本都不是什么好東西。

二、ProgramFiles

第一個目錄搞定，漸漸接著往上去。

ProgramFiles目錄相對來講也很復(fù)雜，受限制止ProgramFiles根目錄運(yùn)轉(zhuǎn)順序，然后掃除下一級目錄：

%ProgramFiles%不允許的

%ProgramFiles%\*\不受限的

然后把系統(tǒng)順序降權(quán)，限制其訪問令牌，重點是聯(lián)網(wǎng)的，尤其是閱讀器：

%ProgramFiles%\InternetExplorer基本用戶

%ProgramFiles%\NetMeeting基本用戶

%ProgramFiles%\OutlookExpress基本用戶

%ProgramFiles%\WindowsMediaPlayer基本用戶

%ProgramFiles%\WindowsNT基本用戶

關(guān)于一些其他順序的降權(quán)，可以參考我之前發(fā)的一個帖子：

:///thread-720738-1-1.html

制止一些寄存軟件用到的公用庫目錄，擔(dān)憂大膽的禁：

%CommonProgramFiles%\*.*

%CommonProgramFiles%\DESIGNER

%CommonProgramFiles%\MicrosoftShared

%CommonProgramFiles%\MSSoap

%CommonProgramFiles%\ODBC

%CommonProgramFiles%\Services

%CommonProgramFiles%\SpeechEngines

%CommonProgramFiles%\System

最后添加%CommonProgramFiles%基本用戶，作用于一些用戶文件，比如Adobe，Tencent...

這樣ProgramFiles目錄就掃除終了，是不是很復(fù)雜？沒錯，追求基本平安的方法就是這樣容易上手。

三、Windows

備受爭議的Windows目錄，但別看Windows目錄下目錄這么多，少數(shù)病毒的躲藏居所基本都是一些罕見的目錄，漸漸來：

先掃除Windows目錄下的一些常用順序：

explorer.exe

NOTEPAD.exe

regedit.exe

TASKMAN.exe

soundman.exe

amcap.exe

RTHDCPL.exe

RTLCPL.exe

taskman.exe

需求降權(quán)為基本用戶的一些順序：

hh.exe防協(xié)助文件捆綁

winhelp.exe防chm格式文件捆綁

winhlp32.exe〔此文件在Windows目錄和system32目錄都有〕

至于一些用戶順序會在Windows下樹立的一些順序，不是很多的，自己手動掃除下就可以了。

然后制止一些高危目錄：

%WinDir%\Debug調(diào)試目錄

%WinDir%\DownloadedProgramFiles防IE插件

%WinDir%\Fonts字體目錄，普通順序不會在此目錄啟動

%WinDir%\inf用于寄存驅(qū)動信息目錄

%WinDir%\OfflineWebPages脫機(jī)閱讀文件目錄

%WinDir%\system16位系統(tǒng)文件目錄，普通順序不會在此目錄啟動

%WinDir%\tasks制止方案義務(wù)目錄啟動可疑順序

%WinDir%\Temp高危系統(tǒng)變量，制止

%WinDir%\WinSxS系統(tǒng)重要組件，普通順序不會在此目錄啟動

最后加上兩條：

%WinDir%不允許的

%WinDir%\*\不受限的

順承接入下一目錄，魚龍混雜的system32，既然不思索全局，那么可以只制止一些高危目錄:

%WinDir%\system32\Com除了系統(tǒng)自有的順序，普通順序不會在此目錄啟動

%WinDir%\system32\config系統(tǒng)配置目錄，包括注冊表

%WinDir%\system32\dllcache備份目錄，普通順序不會在此目錄啟動

%WinDir%\system32\drivers驅(qū)動目錄，普通順序不會在此目錄啟動

%WinDir%\system32\ShellExt風(fēng)險目錄，制止

%WinDir%\system32\spool打印機(jī)目錄，不用打印機(jī)的話可以制止

%WinDir%\system32\wins風(fēng)險目錄，制止

然后再制止一些不用要的系統(tǒng)順序：

%WinDir%\system32\at.exe方案義務(wù)，很少用到

%WinDir%\system32\autoconv.exe防止啟動中轉(zhuǎn)換系統(tǒng)

%WinDir%\system32\autofmt.exe防止啟動中格式化

%WinDir%\system32\cacls.exe控制訪問控制列表

%WinDir%\system32\format格式化命令，制止

%WinDir%\system32\Fsutil.exe用于執(zhí)行多種系統(tǒng)相關(guān)的義務(wù)，初級用戶才干運(yùn)用

%WinDir%\system32\ntsd.exe風(fēng)險調(diào)試順序，制止

%WinDir%\system32\regini.exe修正注冊表權(quán)限，制止

%WinDir%\system32\replace.exe交流維護(hù)文件和正在運(yùn)轉(zhuǎn)的文件，制止

%WinDir%\system32\sc.exe配置效勞用，防被惡意調(diào)用

%WinDir%\system32\subst.exe將途徑與驅(qū)動器盤符關(guān)聯(lián)，很少用到

%WinDir%\system32\taskkill.exe命令行完畢進(jìn)程工具，制止

%WinDir%\system32\wscript.exe腳本宿主，防止惡意腳本

當(dāng)然，這些往往要依據(jù)團(tuán)體知識掌握度來添加。這樣一來Windows和system32目錄差不多也掃除終了，沒有設(shè)置%WinDir%\*\基本用戶是由于那樣基本相當(dāng)于系統(tǒng)目錄全局規(guī)那么，而且還要做很多掃除任務(wù)。

四、其他相關(guān)目錄

1.輸入法目錄的限制：

%WinDir%\ime受限的

%WinDir%\system32\IME受限的

2.制止可移動磁盤：

U盤盤符:\*不信任的或不允許的都可以

3.制止系統(tǒng)盤根目錄：

%SystemDrive%\*.*不信任的或不允許的都可以

4.制止雙后綴惡意順序：

*.*.bat

*.*.chm

*.*d

*.*.pif

*.*.vbs

*.?peg.exe

*.rm??.exe

*.torrent.exe

*.???.exe〔其中???可以是mp3、avi、doc、rar等，覺得這個限制太嚴(yán)峻的話，就拆開寫，一些罕見的都可以寫出來?！?/p>

5.制止一些特殊的后綴：

*d高危格式制止

?.exe高危格式制止

6.降權(quán)一些特殊的后綴：

*.scr基本用戶〔防止惡意scr屏?！?/p>

由于cmd和bat在組戰(zhàn)略里是獨自處置的，也就是說，制止cmd之后，bat也可以獨立運(yùn)轉(zhuǎn)，所以：

%ComSpec%基本用戶

*.bat基本用戶〔bat等一些格式降權(quán)后雙擊會提示有關(guān)聯(lián)操作，這個能夠與open方式有關(guān)，此時可以經(jīng)過調(diào)用的方式翻開，如Win+R，處置的進(jìn)程依然是以基本用戶權(quán)限運(yùn)轉(zhuǎn)的cmd，或許更復(fù)雜的方式——創(chuàng)立快捷方式?！?/p>

7.特殊的系統(tǒng)目錄：

?:\Recycle?\回收站目錄不信任的或不允許的都可以

?:\SystemVolumeInformation系統(tǒng)恢復(fù)目錄不信任的或不允許的都可以

8.至于偽裝系統(tǒng)順序名，還是寫上一些吧：

alg.exe不允許的

%WinDir%\system32\alg.exe不受限的

csrss.exe不允許的

%WinDir%\system32\csrss.exe不受限的

explorer.exe不允許的

%WinDir%\explorer.exe不受限的

lsass.exe不允許的

%WinDir%\system32\lsass.exe不受限的

smss.exe不允許的

%WinDir%\system32\smss.exe不受限的

svchost.exe不允許的

%WinDir%\system32\svchost.exe不受限的

winlogon.exe不允許的

%WinDir%\system32\winlogon.exe不受限的

spoolsv.exe、userinit.exe等等以此類推...

9.掃除一些相關(guān)文件：

*.ade不受限的Access項目文件

*.adp不受限的Access項目文件

*.chm不受限的CHM格式文件

*.hlp不受限的協(xié)助文件

*.mdb不受限的數(shù)據(jù)庫文件

*.mde不受限的數(shù)據(jù)庫文件

*.msi不受限的微軟WindowsInstaller裝置包

*.msp不受限的微軟WindowsInstaller修補(bǔ)包

*.pcd不受限的PCD格式文件

10.可以應(yīng)用組戰(zhàn)略制止一些插件〔可選〕，例如：

*bar*.*

*cnnic*.*

*coopen*.*

11.掃除system32下的14個MS-DOS文件，然后參與*不允許的〔可選〕。

這樣一來，該制止的風(fēng)險都制止掉了，平安的舉措基本也都放行掉，〝七寸〞這個關(guān)鍵點可以說掌握的比擬到位了。AD的局部基本差不太多，但不要以為基本用戶就足夠平安了，基本用戶雖然很弱小，無法控制System等級的進(jìn)程，但基本用戶下的進(jìn)程可以經(jīng)過注入或發(fā)送音訊的方法控制其他初等級的進(jìn)程，如explorer，控制了explorer能做什么？不用我說想必也能知道了吧...

===========================================

五、注冊表局部

微軟默許的注冊表權(quán)限限制得寬松有至，一些順序降權(quán)后是無法對HKLM下的鍵值停止修正的，最多也就是只讀，但基本用戶的順序是有以后操作用戶的權(quán)限的，也就是通常運(yùn)用的administrator權(quán)限〔但沒有administrators組的權(quán)限〕，所以基本用戶在操作HKCU鍵值的時分會以以后用戶的權(quán)限來操作，也就是說，基本用戶下的順序是有權(quán)限來對HKCU下的鍵值停止修正和刪除的，所以一些修正主頁的流氓順序就會鉆這個空子，對付這一類的不再贅述了，平安軟件，HIPS，選擇平安的下載點都可以防范，這里說一些值得思索的中央：

映像劫持，話說在AV終結(jié)者迸發(fā)之前，有多少用戶把IFEO設(shè)置只讀了呢：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions

U盤自動運(yùn)轉(zhuǎn)：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

系統(tǒng)自啟動：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

DLL加載自啟動〔可選〕：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

有關(guān)IE的鍵值太多，Winlogon和Explorer的自啟動也不少，不逐一羅列了，也不建議都設(shè)置只讀屬性，系統(tǒng)的權(quán)限設(shè)置最大的優(yōu)點是底層，而最大的缺陷就是不夠靈敏，這也是很多人不喜歡組戰(zhàn)略+系統(tǒng)權(quán)限的緣由吧，假設(shè)要一項一項來設(shè)置，瘋掉了

===========================================

六、NTFS權(quán)限局部

也是個費事事。。。異樣，Microsoft默許的夠用，可以思索用默許的：

重要資料〔文件夾〕只讀，重要文件備份只讀，這個不解釋了。

允許啟動順序的中央不允許創(chuàng)立文件InternetExplorer目錄，允許創(chuàng)立文件的中央不允許啟動順序IE暫時文件目錄、下載目錄，至于%Temp%可以思索為了軟件的裝置而允許運(yùn)轉(zhuǎn)順序，假設(shè)有從閱讀器下載上去的病毒運(yùn)轉(zhuǎn)，它的權(quán)限也是承襲了閱讀器的權(quán)限，無法對關(guān)鍵目錄停止破壞。

任務(wù)量大點的，可以參考：

ProgramFiles和其它順序目錄允許Users讀取和運(yùn)轉(zhuǎn)不允許寫，或許堅持已存在文件的只讀只允許創(chuàng)立和寫新文件，再或許系統(tǒng)關(guān)鍵目錄的白名單。

最后說一說everyone這個組別，望文生義，這個組別順應(yīng)于一切的用戶，所以這個組別的權(quán)限必需是最低的，而且一定不要高于只讀權(quán)限的users組。有鑒于此，在一個用戶屬于多個組的時分，該用戶所取得的權(quán)限是各個組的疊加，由于〝拒絕〞要比〝允許〞的優(yōu)先級要高，所以不需求相關(guān)的權(quán)限取消打勾即可，故盡量不要運(yùn)用〝拒絕〞，不然Adm權(quán)限下的順序也會受影響，例如用戶kafan同時屬于Administrators和Everyone組，假定Administrators組具有完全訪問權(quán)，但Everyone組拒絕寫目錄，那么該用戶的實踐權(quán)限那么不能對目錄停止寫如操作，但除此之外其他恣意的操作都可以停止。

為了滿足一些人降權(quán)后的特殊需求，提供制止基本用戶順序在磁盤根目錄創(chuàng)立文件的方法，很復(fù)雜：

翻開一切隱藏屬性，確保各盤符下的文件夾和文件復(fù)制承襲了各盤符的NTFS權(quán)限后，刪除Users組的其他權(quán)限，只保管讀取和運(yùn)轉(zhuǎn)。

===========================================

碼字好累

說了這么多，就是提供一些有平安軟件防護(hù)組合的條件下對一些風(fēng)險操作的制止，老帖中有很多躲藏的精品回復(fù)，而置頂教程和規(guī)那么貼也不少，復(fù)雜些的防入口，片面些的控全局，希望以上內(nèi)容能起到給一些喜歡自己定制規(guī)那么的人自我揣摩的思緒，這也是我發(fā)這個帖子的初衷。關(guān)于一些喜歡不直接套用規(guī)那么的人，我覺得這個想法還算不錯，婚配自己運(yùn)用環(huán)境的戰(zhàn)略才是好戰(zhàn)略，拿來主義好，惋惜的是，不加修正直接援用就會招致好的不清楚

那么，感謝下看到這里的人吧，你們辛勞了〔其實我也很辛勞〕

上圖一張

附規(guī)那么例如文件，內(nèi)有說明，僅供交流學(xué)習(xí)運(yùn)用。

運(yùn)用前留意備份原文件〔GroupPolicy目錄不可手工樹立，新建默許戰(zhàn)略后運(yùn)轉(zhuǎn)，熟練運(yùn)用eventvwr.msc檢查日志為上〕

Registry.7z

(46.55KB,下載次數(shù):683)

備份下載地址點擊進(jìn)入

===========================================

就說這么多吧，寫來寫去怎樣覺得越來越淺薄...一些不成熟的團(tuán)體建議，歡迎批判指正，感謝涕零。

以上[原創(chuàng)]

組戰(zhàn)略之軟件限制戰(zhàn)略——完全教程與規(guī)那么例如

。留意：假設(shè)你沒有耐煩或興味看完一切內(nèi)容而想直接運(yùn)用規(guī)那么的話，請至少仔細(xì)看一次規(guī)那么的說明，謝謝

實踐上，本教程主要為以下內(nèi)容：

實際局部：

1.軟件限制戰(zhàn)略的途徑規(guī)那么的優(yōu)先級效果

2.在途徑規(guī)那么中如何運(yùn)用通配符

3.規(guī)那么的權(quán)限承襲效果

4.軟件限制戰(zhàn)略如何完成3D部署〔配合訪問控制，如NTFS權(quán)限〕，軟件限制戰(zhàn)略的精髓在于權(quán)限，部署戰(zhàn)略同時，往往也需求學(xué)會設(shè)置權(quán)限

規(guī)那么局部：

5.如何用軟件限制戰(zhàn)略防毒〔也就是如何寫規(guī)那么〕

6.規(guī)那么的例如與下載

其中，1、2、3點是基礎(chǔ)，很多人寫出有效或許錯誤的規(guī)那么出來都是由于對這些內(nèi)容沒有搞清楚；第4點能夠有

點難，但假設(shè)想讓戰(zhàn)略有更好的防護(hù)效果并且不影響往常正常運(yùn)用的話，這點很重要。

假設(shè)運(yùn)用規(guī)那么后發(fā)現(xiàn)有的軟件任務(wù)不正常，請參考這局部外容，留意調(diào)整NTFS權(quán)限

實際局部

軟件限制戰(zhàn)略包括證書規(guī)那么、散列規(guī)那么、Internet區(qū)域規(guī)那么和途徑規(guī)那么。我們主要用到的是散列規(guī)那么和途徑規(guī)那么，其中靈敏性最好的就是途徑規(guī)那么了，所以普通我們談到的戰(zhàn)略規(guī)那么，假定沒有特別說明，那么直接指途徑規(guī)那么。

或許有人問：為什么不用散列規(guī)那么？散列規(guī)那么可以防病毒交流白名單中的順序，平安性不是更好么？

一是由于散列規(guī)那么不能通用，二是即使用了也意義不大——防交流應(yīng)該要應(yīng)用好NTFS權(quán)限，而不是散列規(guī)那么，要是真讓病毒交流了系統(tǒng)順序，那么再談規(guī)那么曾經(jīng)晚了

一.環(huán)境變量、通配符和優(yōu)先級

關(guān)于環(huán)境變量〔假定系統(tǒng)盤為C盤〕

%USERPROFILE%

表示C:\DocumentsandSettings\以后用戶名

%HOMEPATH%

表示C:\DocumentsandSettings\以后用戶名

%ALLUSERSPROFILE%

表示C:\DocumentsandSettings\AllUsers

%ComSpec%

表示C:\WINDOWS\System32\cmd.exe

%APPDATA%

表示C:\DocumentsandSettings\以后用戶名\ApplicationData

%ALLAPPDATA%

表示C:\DocumentsandSettings\AllUsers\ApplicationData

%SYSTEMDRIVE%表示C:

%HOMEDRIVE%

表示C:

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP%和%TMP%

表示C:\DocumentsandSettings\以后用戶名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

關(guān)于通配符：

Windows外面默許

*：恣意個字符〔包括0個〕，但不包括斜杠

?：1個或0個字符

幾個例子

*\Windows婚配C:\Windows、D:\Windows、E:\Windows以及每個目錄下的一切子文件夾。

C:\win*婚配C:\winnt、C:\windows、C:\windir以及每個目錄下的一切子文件夾。

*.vbs婚配WindowsXPProfessional中具有此擴(kuò)展名的任何運(yùn)用順序。

C:\ApplicationFiles\*.*婚配特定目錄〔ApplicationFiles〕中的運(yùn)用順序文件，但不包括ApplicationFiles的子目錄

關(guān)于優(yōu)先級:

總的原那么是:規(guī)那么越婚配越優(yōu)先

1.相對途徑>通配符全途徑

如C:\Windows\explorer.exe>*\Windows\explorer.exe

2.文件名規(guī)那么>目錄型規(guī)那么

如假定a.exe在Windows目錄中，那么

a.exe>C:\Windows

3.環(huán)境變量=相應(yīng)的實踐途徑=注冊表鍵值途徑

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.關(guān)于同是目錄規(guī)那么，那么能婚配的目錄級數(shù)越多的規(guī)那么越優(yōu)先

關(guān)于同是文件名規(guī)那么，優(yōu)先級均相反

5.散列規(guī)那么比任何途徑規(guī)那么優(yōu)先級都高

6.假定規(guī)那么的優(yōu)先級相反，按最受限制的規(guī)那么為準(zhǔn)

舉例說明，例如cmd的全途徑是C:\Windows\system32\cmd.exe

那么，優(yōu)先級順序是：

相對途徑(如C:\Windows\system32\cmd.exe)

>

通配符全途徑(如*\Windows\*\cmd.exe)

>

文件名規(guī)那么(如cmd.exe)

=

通配符文件名規(guī)那么(如*.*)

>

局部相對途徑(不包括文件名，如

C:\Windows\system32

)

=

局部通配符途徑〔不包括文件名，如C:\*\system32

〕

>

C:\Windows

=

*\*

注：

1.

通配符*并不包括斜杠\。例如*\WINDOWS婚配C:\Windows，但不婚配C:\Sandbox\WINDOWS

2.*和**是完全等效的，例如**\**\abc=*\*\abc

3.C:\abc\*

可以直接寫為C:\abc\或許C:\abc，最后的*是可以省去的，由于軟件限制戰(zhàn)略的規(guī)那么可以直接婚配到目錄。

4.軟件限制戰(zhàn)略只對〝指派的文件類型〞列表中的格式起效。例如*.txt不允許的，這樣的規(guī)那么實踐上有效，除非你把TXT格式也參與〝指派的文件類型〞列表中。而且默許不對加載dll停止限制，除非在〝強(qiáng)迫〞選項中指定：

5.*和*.*是有區(qū)別的，后者要求文件名或途徑必需含有〝.〞，而前者沒有此限制，因此，*.*的優(yōu)先級比*的高

6.?:\*與?:\*.*是一模一樣的，前者是指一切分區(qū)下的每個目錄下的一切子文件夾，復(fù)雜說，就是整個硬盤；而?:\*.*僅包括一切分區(qū)下的帶〝.〞的文件或目錄，普通狀況

下，指的就是各盤根目錄下的文件。那非普通狀況是什么呢？請參考第7點

7.?:\*.*中的〝.〞能夠使規(guī)那么范圍不限于根目錄。這里需求留意的是：有〝.〞的不一定是文件，可以是文件夾。例如F:\ab.c，一樣契合?:\*.*，所以規(guī)那么對F:\ab.c下的一切文件及子目錄都失效。

8.這是很多人寫規(guī)那么時的誤區(qū)。首先援用?組戰(zhàn)略軟件限制戰(zhàn)略規(guī)那么包編寫之菜鳥入門〔修正版〕?里的一段：4、如何維護(hù)上網(wǎng)的平安

在閱讀不平安的網(wǎng)頁時，病毒會首先下載到IE緩存以及系統(tǒng)暫時文件夾中，并自動運(yùn)轉(zhuǎn)，形成系統(tǒng)染毒，在了解了這個感染途徑之后，我們可以應(yīng)用軟件限制戰(zhàn)略停止封堵

%SYSTEMROOT%\tasks\**\*.*

不允許的

〔這個是方案義務(wù)，病毒藏身地之一〕

%SYSTEMROOT%\Temp\**\*.*

不允許的

%USERPROFILE%\Cookies\*.*

不允許的

%USERPROFILE%\LocalSettings\**\*.*

不允許的

〔這個是IE緩存、歷史記載、暫時文件所在位置〕

說假話，下面援用的局部不少中央都是錯誤的

先不談這樣的規(guī)那么能否維護(hù)上網(wǎng)平安，實踐上這幾條規(guī)那么在設(shè)置時就犯了一些錯誤

例如：%USERPROFILE%\LocalSettings\**\*.*

不允許的

可以看出，規(guī)那么的原意是阻止順序從LocalSettings〔包括一切子目錄〕中啟動

如今大家無妨想想這規(guī)那么的實踐作用是什么？

先參考注1和注2，**和*是同等的，而且不包括字符〝\〞。所以，這里規(guī)那么的實踐效果是〝制止順序從LocalSettings文件夾的一級子目錄中啟動〞，不包括LocalSettings根目錄，也不包括二級和以下的子目錄。

如今我們再來看看LocalSettings的一級子目錄有哪些：Temp、TemporaryInternetFiles、ApplicationData、History。

阻止順序從Temp根目錄啟動，直接的結(jié)果就是很多軟件不能成功裝置

那么，阻止順序從TemporaryInternetFiles根目錄啟動又如何呢？

實踐上，由于IE的緩存并不是寄存TemporaryInternetFiles根目錄中，而是存于TemporaryInternetFiles的子目錄Content.IE5的子目錄里〔-_-||〕，所以這種寫法基本不能阻止順序從IE緩存中啟動，是沒有意義的規(guī)那么

假定要阻止順序從某個文件夾及一切子目錄中啟動，正確的寫法應(yīng)該是：

某目錄\**

某目錄\*

某目錄\

某目錄

9.?:\autorun.inf

不允許的

這是傳達(dá)的所謂防U盤病毒規(guī)那么，理想上這條規(guī)那么是沒有作用的，關(guān)于這點在

關(guān)于各種戰(zhàn)略防范U盤病毒的討論

曾經(jīng)作了剖析

二.軟件限制戰(zhàn)略的3D的完成：

〝軟件限制戰(zhàn)略經(jīng)過降權(quán)完成AD，并經(jīng)過NTFS權(quán)限完成FD，同時經(jīng)過注冊表權(quán)限完成RD，從而完成3D的部署〞

關(guān)于軟件限制戰(zhàn)略的AD限制，是由權(quán)限指派來完成的，而這個權(quán)限的指派，用的是微軟內(nèi)置的規(guī)那么，即使我們修正〝用戶權(quán)限指派〞項的內(nèi)容〔這個是對登陸用戶的權(quán)限而言〕，也無法對軟件限制戰(zhàn)略中的平安等級停止提權(quán)。所以，只需選擇好平安等級，AD局部就曾經(jīng)部署好了，不能再作干預(yù)

而軟件件限制戰(zhàn)略的FD和RD限制，區(qū)分由NTFS權(quán)限、注冊表權(quán)限來完成。而與AD局部不同的是，這樣限制是可以干預(yù)的，也就是說，我們可以經(jīng)過調(diào)整NTFS和注冊表權(quán)限來配置FD和RD，這就比AD局部要靈敏得多。

小結(jié)一下，就是

AD——用戶權(quán)益指派〔內(nèi)置的平安等級〕

FD——NTFS權(quán)限

RD——注冊表權(quán)限

先說AD局部，我們能選擇的就是采用哪種權(quán)限等級，微軟提供了五種等級：不受限的、基本用戶、受限的、不信任的、不允許的。

不受限的，最高的權(quán)限等級，但其意義并不是完全的不受限，而是〝軟件訪問權(quán)由用戶的訪問權(quán)來決議〞，即承襲父進(jìn)程的權(quán)限。

基本用戶，基本用戶僅享有〝跳過遍歷反省〞的特權(quán)，并拒絕享有管理員的權(quán)限。

受限的，比基本用戶限制更多，也僅享有〝跳過遍歷反省〞的特權(quán)。

不信任的，不允許對系統(tǒng)資源、用戶資源停止訪問，直接的結(jié)果就是順序?qū)o法運(yùn)轉(zhuǎn)。

不允許的，無條件地阻止順序執(zhí)行或文件被翻開

很容易看出，按權(quán)限大小排序為不受限的>基本用戶>受限的>不信任的>不允許的

其中，基本用戶、受限的、不信任的這三個平安等級是要手動翻開的

詳細(xì)做法：

翻開注冊表編輯器，展開至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一個DWORD值，命名為Levels，其值可以為

0x10000

//添加受限的

0x20000

//添加基本用戶

0x30000

//添加受限的，基本用戶

0x31000

//添加受限的，基本用戶，不信任的

設(shè)成0x31000〔即4131000〕即可

如圖：

或許將下面附件中的reg雙擊導(dǎo)入注冊表即可

safer.rar

(279Bytes,下載次數(shù):2135)

再強(qiáng)調(diào)兩點：

1.〝不允許的〞級別不包括任何FD操作。你可以對一個設(shè)定成〝不允許的〞文件停止讀取、復(fù)制、粘貼、修正、刪除等操作，組戰(zhàn)略不會阻止，前提當(dāng)然是你的用戶級別擁有修正該文件的權(quán)限

2.〝不受限的〞級別不等于完全不受限制，只是不受軟件限制戰(zhàn)略的附加限制。理想上，〝不受限的〞順序在啟動時，系統(tǒng)將賦予該順序的父進(jìn)程的權(quán)限字，該順序所取得的訪問令牌決議于其父進(jìn)程，所以任何順序的權(quán)限將不會超越它的父進(jìn)程。

權(quán)限的分配與承襲:

這里的解說默許了一個前提：假定你的用戶類型是管理員。

在沒有軟件限制戰(zhàn)略的狀況下，

很復(fù)雜，假設(shè)順序a啟動順序b，那么a是b的父進(jìn)程，b承襲a的權(quán)限

如今把a(bǔ)設(shè)為基本用戶，b不做限制〔把b設(shè)為不受限或許不對b設(shè)置規(guī)那么效果是一樣的〕

然后由a啟動b，那么b的權(quán)限承襲于a，也是基本用戶，即:

a〔基本用戶〕->b〔不受限的〕=b〔基本用戶〕

假定把b設(shè)為基本用戶，a不做限制，那么a啟動b后，b依然為基本用戶權(quán)限，即

a〔不受限的〕->b〔基本用戶〕=b〔基本用戶〕

可以看到，一個順序所能取得的最終權(quán)限取決于：父進(jìn)程權(quán)限和規(guī)那么限定的權(quán)限的最高等級，也就是我們所說的最低權(quán)限原那么

舉一個例：

假定我們把IE設(shè)成基本用戶等級啟動，那么由IE執(zhí)行的任何順序的權(quán)限都將不高于基本用戶級別，只能更低。所以就可以到達(dá)防范網(wǎng)馬的效果——即使IE下載病毒并執(zhí)行了，病毒由于權(quán)限的限制，無法對系統(tǒng)停止有害的更改，假設(shè)重啟一下，那么病毒就只剩下尸體了。

甚至，我們還可以經(jīng)過NTFS權(quán)限的設(shè)置，讓IE無法下載和運(yùn)轉(zhuǎn)病毒，不給病毒任何的時機(jī)。

FD：NTFS權(quán)限

*要求磁盤分區(qū)為NTFS格式*

其實MicrosoftWindows的每個新版本都對NTFS文件系統(tǒng)停止了改良。NTFS的默許權(quán)限對大少數(shù)組織而言都已夠用。

注：設(shè)置前請先在〝文件夾選項〞中取消選中〝運(yùn)用復(fù)雜文件共享〔引薦〕〞

NTFS權(quán)限的分配

1.假設(shè)一個用戶屬于多個組，那么該用戶所取得的權(quán)限是各個組的疊加

2.〝拒絕〞的優(yōu)先級比〝允許〞要高

例如：用戶A同時屬于Administrators和Everyone組，假定Administrators組具有完全訪問權(quán)，但Everyone組拒相對目錄的寫入，那么用戶A的實踐權(quán)限是：不能對目錄寫入，但可以停止除此之外的任何操作

初級權(quán)限稱號描畫

〔包括了完整的FD和局部AD〕遍歷文件夾/運(yùn)轉(zhuǎn)文件

〔遍歷文件夾可以不論，主要是〝運(yùn)轉(zhuǎn)文件〞，假定無此權(quán)限那么不能啟動文件，相當(dāng)于AD的運(yùn)轉(zhuǎn)運(yùn)用順序〕

允許或拒絕用戶在整個文件夾中移動以抵達(dá)其他文件或文件夾的央求，即使用戶沒有遍歷文件夾的權(quán)限〔僅適用于文件夾〕。

列出文件夾/讀取數(shù)據(jù)

允許或拒絕用戶檢查指定文件夾內(nèi)文件名和子文件夾名的央求。它僅影響該文件夾的內(nèi)容，而不影響您對其設(shè)置權(quán)限的文件夾能否會列出〔僅適用于文件夾〕。

讀取屬性〔FD的讀取〕

允許或拒絕檢查文件中數(shù)據(jù)的才干〔僅適用于文件〕。

讀取擴(kuò)展屬性

允許或拒絕用戶檢查文件或文件夾屬性〔例如只讀和隱藏〕的央求。屬性由NTFS定義。

創(chuàng)立文件/寫入數(shù)據(jù)〔FD的創(chuàng)立〕

〝創(chuàng)立文件〞允許或拒絕在文件夾中創(chuàng)立文件〔僅適用于文件夾〕。〝寫入數(shù)據(jù)〞允許或拒相對文件停止修正并掩蓋現(xiàn)有內(nèi)容的才干〔僅適用于文件〕。

創(chuàng)立文件夾/追加數(shù)據(jù)

〝創(chuàng)立文件夾〞允許或拒絕用戶在指定文件夾中創(chuàng)立文件夾的央求〔僅適用于文件夾〕。〝追加數(shù)據(jù)〞允許或拒相對文件末尾停止更改而不更改、刪除或掩蓋現(xiàn)有數(shù)據(jù)的才干〔僅適用于文件〕。

寫入屬性〔即改寫操作了，F(xiàn)D的寫〕

允許或拒絕用戶對文件末尾停止更改，而不更改、刪除或掩蓋現(xiàn)有數(shù)據(jù)的央求〔僅適用于文件〕。

即寫操作

寫入擴(kuò)展屬性

允許或拒絕用戶更改文件或文件夾屬性〔例如只讀和隱藏〕的央求。屬性由NTFS定義。

刪除子文件夾和文件〔FD的刪除〕

允許或拒絕刪除子文件夾和文件的才干，即使子文件夾或文件上沒有分配〝刪除〞權(quán)限〔適用于文件夾〕。

刪除〔與下面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄自身〕

允許或拒絕用戶刪除子文件夾和文件的央求，即使子文件夾或文件上沒有分配〝刪除〞權(quán)限〔適用于文件夾〕。

讀取權(quán)限〔NTFS權(quán)限的檢查〕

允許或拒絕用戶讀取文件或文件夾權(quán)限〔例如〝完全控制〞、〝讀取〞和〝寫入〞〕的央求。

更改權(quán)限〔NTFS權(quán)限的修正〕

允許或拒絕用戶更改文件或文件夾權(quán)限〔例如〝完全控制〞、〝讀取〞和〝寫入〞〕的央求。

取得一切權(quán)

允許或拒絕取得文件或文件夾的一切權(quán)。文件或文件夾的一切者一直可以更改其權(quán)限，而不論用于維護(hù)該文件或文件夾的現(xiàn)有權(quán)限如何。

以基本用戶為例，基本用戶能做什么？

在系統(tǒng)默許的NTFS權(quán)限下，基本用戶對系統(tǒng)變量和用戶變量有完全訪問權(quán)，對系統(tǒng)文件夾只讀，對ProgramFiles的公共文件夾只讀，DocumentandSetting下，僅對以后用戶目錄有完全訪問權(quán)，其他不能訪問

關(guān)于基本用戶的相關(guān)詳細(xì)引見，請看這里：

:///viewthread.php?tid=282171&highlight=

假設(shè)覺得以上的限制嚴(yán)厲了或許寬松了，可以自行調(diào)整各個目錄和文件的NTFS權(quán)限。

假設(shè)發(fā)現(xiàn)閱讀器在基本用戶下無法運(yùn)用某些功用的，很多都是由NTFS權(quán)限形成的，可以嘗試調(diào)整對應(yīng)文件或文件夾的NTFS權(quán)限

NTFS權(quán)限的調(diào)整

基本用戶、受限用戶屬于以下組

Users

AuthenticatedUsers

Everyone

INTERACTIVE

調(diào)整權(quán)限時，主要應(yīng)用到的組為Users

為什么是Users組？由于調(diào)整Users的權(quán)限可以限制基本用戶、受限用戶，但卻不會影響到管理員，這樣就既保證了運(yùn)用基本用戶的平安性和管理員帳戶下的操作的方便性

例：對用戶變量Temp目錄停止設(shè)置，制止基本用戶從該目錄運(yùn)轉(zhuǎn)順序，可以這樣做：

首先進(jìn)入〝初級〞選項，取消勾選〝從父項承襲那些可以運(yùn)用到子對象的權(quán)限項目，包括那些在此明白定義的項目(I)〞

然后設(shè)置Users的權(quán)限如圖

然后把除Administrators、Users、SYSTEM之外的一切組都刪除之

這樣基本用戶下的順序就無法從Temp啟動文件了

留意：

1.不要運(yùn)用〝拒絕〞，不然管理員權(quán)限下的順序也會受影響

2.everyone組的權(quán)限適用于任何人、任何順序，故everyone組的權(quán)限不能太高，至少要低于Users組

其實應(yīng)用NTFS權(quán)限還可以完成很多功用

又例如，假設(shè)想維護(hù)某些文件不被修正或刪除，可以取消Users的刪除和寫入權(quán)限，從而限制基本用戶，到達(dá)維護(hù)重要文件的效果

當(dāng)然，也可以防止基本用戶運(yùn)轉(zhuǎn)指定的順序

以下為微軟建議停止限制的順序：

regedit.exe

arp.exe

at.exe

attrib.exe

cacls.exe

debug.exe

edlin.exe

eventcreate.exe

eventtriggers.exe

ftp.exe

nbtstat.exe

net.exe

net1.exe

netsh.exe

netstat.exe

nslookup.exe

ntbackup.exe

rcp.exe

reg.exe

regedt32.exe

regini.exe

regsvr32.exe

rexec.exe

route.exe

rsh.exe

sc.exe

secedit.exe

subst.exe

systeminfo.exe

telnet.exe

tftp.exe

tlntsvr.exe

RD局部：注冊表權(quán)限。由于微軟默許的注冊表權(quán)限分配曾經(jīng)做得很好了，不需求作什么改動，所以這里就直接略過了

三.關(guān)于組戰(zhàn)略規(guī)那么的設(shè)置：

規(guī)那么要顧及方便性，因此不能對自己有過多的限制，或許最低限制地，即使出現(xiàn)限制的狀況，也能方便地停止掃除

規(guī)那么要顧及平安性，首先要思索的對象就是閱讀器等上網(wǎng)類軟件和可移動設(shè)備所帶來的要挾。沒有這種防外才干的規(guī)那么都是不完整或許不合格的

基于文件名防病毒、防流氓的規(guī)那么不宜多設(shè)，甚至可以舍棄。

一是容易誤阻，二是病毒名字可以隨意改，特征庫式的黑名單只會跟殺軟的病毒庫一樣滯后。

于是，我們有兩種方案：

假設(shè)想限制少一點的，可以只設(shè)防〝入口〞規(guī)那么，主要面向U盤和閱讀器

假設(shè)想平安系數(shù)更高、片面一點的，可以思索全局規(guī)那么+白名單

詳細(xì)內(nèi)容見二樓

待續(xù)

最后布置幾道作業(yè)

，看看大家對下面的內(nèi)容消化得如何

1.

在規(guī)那么〝F:\**\*\*.*

不允許〞下，下面那些文件不能被翻開？

A:F:\a.exe

B.F:\Folder.1\b.exe

C.F:\Folder1\Folder.2\C.txt

D.F:\Folder1\Folder.2\Folder.3\d.exe

2.

在以管理員身份登陸的狀況下，樹立規(guī)那么如下：

%Temp%

受限的

%USERPROFILE%\LocalSettings\TemporaryInternetFiles

不允許的

%ProgramFiles%\InternetExplorer\iexplore.exe

基本用戶

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop%

不受限的

在這四條規(guī)那么下，假定這樣的狀況：

iexplore.exe下載一個test.exe到TemporaryInternetFiles目錄，然后復(fù)制到Temp目錄，再從Temp目錄中運(yùn)轉(zhuǎn)test.exe，〔復(fù)制和運(yùn)轉(zhuǎn)的操作都是IE在做〕，然后由text.exe釋放test2.exe到桌面，并運(yùn)轉(zhuǎn)test2.exe。

那么test2.exe的訪問令牌為：

A.不受限的

B.不允許的

C.基本用戶

D.受限的

3.

試說出F:\win*和F:\win*\的區(qū)別

4.

假想象限制QQ的行為，例如右下方彈出的廣告，并不允許QQ調(diào)用閱讀器，可以怎樣做？

答對兩題即及格。不過貌似還是有些難度規(guī)那么局部

基礎(chǔ)局部，如何樹立規(guī)那么：

首先，翻開組戰(zhàn)略

末尾-運(yùn)轉(zhuǎn)，輸入〝gpedit.msc〞〔不包括引號〕并回車。

在彈出的對話框中，依次展開計算機(jī)配置-Windows設(shè)置-平安設(shè)置-軟件限制戰(zhàn)略

假設(shè)你之前沒有配置過軟件限制戰(zhàn)略，那么可以在菜單欄上選擇操作-創(chuàng)立新的戰(zhàn)略

如圖

然后轉(zhuǎn)到〝其它規(guī)那么〞項，在菜單欄選擇〝操作〞，在下拉菜單項選擇擇〝新途徑規(guī)那么〞

在彈出的對話框中，就可以編輯規(guī)那么了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~華美麗的聯(lián)系線~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

軟件限制戰(zhàn)略的其實并不復(fù)雜，在規(guī)那么設(shè)置上是十分復(fù)雜的，只要五個平安級別，你要做的就只是寫一條途徑，然后選擇一個平安等級，這樣就完成了一條規(guī)那么的設(shè)置了，不像HIPS那樣，光AD局部就細(xì)分紅N項。

但軟件限制戰(zhàn)略的難點在于：如何確保你的規(guī)那么真正有效并按你的志愿去任務(wù)，即如何保證規(guī)那么的正

確性和有效性。

從四道標(biāo)題的答對率來看，發(fā)現(xiàn)效果還是不少的

附上標(biāo)題的參考答案

1.D

考點：注2、注4、注7

這題的C選項是圈套，由于TXT文件不在規(guī)那么的阻撓范圍之內(nèi)。

D項參考注7，F(xiàn):\Folder1\Folder.2\Folder.3〔留意〝.〞〕正好能婚配F:\**\*\*.*，因此Folder.3下面的EXE文件不能被翻開

2.D

說明：此題的考點為〝AD權(quán)限的分配/最低權(quán)限原那么〞

我們先整理一下父子進(jìn)程的關(guān)系：

iexplore.exe->test.exe->test2.exe

〔基本用戶〕

〔受限的〕

〔受限的〕

其中，test.exe從Temp目錄啟動，受規(guī)那么〝%Temp%

受限的〞的限制，其權(quán)限降為〝受限的〞。test2.exe從桌面啟動，雖然桌面的順序是不受限的，但由于其父進(jìn)程為test.exe，故承襲test.exe的權(quán)限，故test2.exe的最終取得訪問令牌還是〝受限的〞

另外要留意的是，復(fù)制、創(chuàng)立文件等操作都不會構(gòu)成權(quán)限的承襲

3.考點：注1、注3、綜合剖析

說明：F:\win*和F:\win*\僅相差一個字符〝\〞，由注1可知，*并不包括斜杠。那么斜杠〝\〞在這里的作用是什么？

實踐上，這個斜杠在規(guī)那么中的作用相當(dāng)于聲明斜杠前的途徑指的是目錄，而不是文件，留意到這點后，就可以看出區(qū)別了：

F:\win*既可以婚配到F:\windows、F:\windir、F:\winrar等目錄，也可以婚配到F:\winrar.exe、F:\winNT.bat等文件

而F:\win*\僅能婚配到目錄

4.考點：NTFS權(quán)限

此題答案不獨一，只需是合理可行的方案即可

下面答案僅供參考：

限制QQ的行為，可以把QQ設(shè)為基本用戶。

防止QQ廣告，可以對Tencent下的AD目錄調(diào)整NTFS權(quán)限——取消Users組的創(chuàng)立、寫入權(quán)限

不允許QQ調(diào)用閱讀器，可以對IE調(diào)整NTFS權(quán)限——取消Users組的〝讀取和運(yùn)轉(zhuǎn)〞的權(quán)限

參考答案.rar

(1019Bytes,下載次數(shù):561)

下面將詳細(xì)討論規(guī)那么局部

一、再次強(qiáng)調(diào)一下通配符的運(yùn)用

Windows外面默許

*：恣意個字符〔包括0個〕，但不包括斜杠

?：1個或0個字符

在組戰(zhàn)略中*不包括斜杠，這和HIPS是不同的，一定要留意

例如：

C:\Windows\system32可以表示為*\*\system32

而以下的表達(dá)式都是有效的：

*\system32、system32\*、system32

二、根目錄規(guī)那么

軟件限制戰(zhàn)略對初學(xué)者來說有一定的難度，由于它沒有HIPS那么豐厚的功用選項，故應(yīng)用規(guī)那么完成某一功用需求一定的

技巧。

根目錄規(guī)那么就是一例〔制止在某個目錄的根目錄下的順序行為〕

假定在EQ中，設(shè)置規(guī)那么時取消〝包括該目錄下面的一切文件〞選項就可以保證規(guī)那么僅對根目錄起效

而組戰(zhàn)略卻不是那么復(fù)雜就可以做到。

看看下面的規(guī)那么：C:\ProgramFiles\*.*不允許的

前面曾經(jīng)提過，*不包括斜杠，因此這個規(guī)那么可視為ProgramFiles的根目錄規(guī)那么。在此規(guī)那么下，形

如C:\ProgramFiles\a.exe等順序?qū)⒉荒軉印?/p>

但這規(guī)那么能夠招致一些效果，由于通配符即可以婚配到文件，也可以婚配到文件夾。

假設(shè)ProgramFiles存在帶有〝.〞的目錄〔形如C:\ProgramFiles\TTplayer5.2〕，一樣可以和規(guī)那么

C:\ProgramFiles\*.*婚配，這將招致該文件夾下的順序無法運(yùn)轉(zhuǎn)，形成誤傷。

by:://ceelnet/常州網(wǎng)站樹立

改良一下的話，可以用兩條規(guī)那么來完成根目錄限制

如C:\ProgramFiles

不允許的

C:\ProgramFiles\*\

不受限的

這樣就保證了子目錄的順序不受規(guī)那么影響

三、一些規(guī)那么的模板

根目錄規(guī)那么：

某目錄\*+某目錄\*\*

目錄規(guī)那么〔包括目錄中一切文件〕：

某目錄\*或某目錄\或某目錄

含〝*〞的目錄規(guī)那么：

某目錄*\

〔留意要加上斜杠〝\〞〕

文件型規(guī)那么：

a.exe、*等

相對途徑規(guī)那么：

如C:\Windows\explorer.exe

全局型規(guī)那么：

*

這里需求說明的是，為什么全局型規(guī)那么要運(yùn)用〝*〞？

由于*屬于僅有通配符的規(guī)那么，其掩蓋范圍是最大的，而優(yōu)先級是最低的，不會遺漏，便于掃除，

最適宜作為全局規(guī)那么。

對比〝*.*〞，一個字符〝.〞的存在使規(guī)那么的優(yōu)先級提高了，這將會給掃除任務(wù)帶來方便

四、規(guī)那么實例

1.保證上網(wǎng)平安

很多人問，閱讀毒網(wǎng)時，病毒會下載到什么位置執(zhí)行？

首先是，下載到網(wǎng)頁緩存中〔Content.IE5〕，這點很多人都留意到了。不過呢，病毒普通卻不會選

擇在緩存中執(zhí)行，而是經(jīng)過閱讀器復(fù)制病毒文件到其它目錄，例如Windows。system32、Temp，以后

用戶文件夾、桌面、系統(tǒng)盤根目錄、ProgramFiles根目錄及其私有子目錄、閱讀器所在目錄等

所以在這里再重復(fù)一次已說過N次的話，不要以為把緩存目錄設(shè)為不允許的就萬事大吉了。

至于防范，比擬好的方法就是制止閱讀器在敏感位置新建文件，這點運(yùn)用〝閱讀器基本用戶〞就可以

做到，規(guī)那么如下%ProgramFiles%\InternetExplorer\iexplore.exe

基本用戶

假設(shè)運(yùn)用的是其它閱讀器，也可以設(shè)成基本用戶

假定配合以下規(guī)那么，效果更佳：*\DocumentsandSettings

不允許的

順序普通不會從DocumentsandSettings中啟動

%ALLAPPDATA%\*\*

不受限的

允許順序從ApplicationData的子目錄啟動

%APPDATA%

不允許的

以后用戶的ApplicationData目錄限制

%APPDATA%\*\

不受限的

允許順序從ApplicationData的子目錄啟動

%SystemDrive%\*.*

不允許的

制止順序從系統(tǒng)盤根目錄啟動

%Temp%

不受限的

允許順序從Temp目錄啟動，裝置軟件必需

%TMP%

不受限的

同上

并設(shè)置用戶變量Temp的NTFS權(quán)限：

Temp的默許途徑為DocumentsandSettings\Administrator\LocalSettings\Temp

在系統(tǒng)盤格式為NTFS的狀況下，右擊Temp文件夾，選擇〝平安〞項，取消Users組的〝讀取與運(yùn)轉(zhuǎn)〞

權(quán)限即可?！餐瑫r要取消Everyone組的訪問權(quán)，且保證Administrators組具有完全訪問權(quán)限〕

如此設(shè)置的作用是：基本用戶下的順序?qū)o法從Temp文件夾運(yùn)轉(zhuǎn)順序

2.U盤規(guī)那么

比擬實踐的做法是U盤:\*

不允許的、不信任的、受限的，都可以

不允許的平安度更高一些，這樣也不會影響U盤的普通運(yùn)用〔正?？截悺h除等〕

假定你的U盤普通盤符是I，那么規(guī)那么可以寫成：I:\*

不允許的

3.雙后綴文件防范規(guī)那么

以下是微軟的協(xié)助：留意

某些病毒運(yùn)用的文件具有兩個擴(kuò)展名以使得風(fēng)險文件看起來像平安的文件。例如，Document.txt.exe

或Photos.jpg.exe。最前面的擴(kuò)展名是Windows將嘗試翻開的擴(kuò)展名。具有兩個擴(kuò)展名的合法文件

十分少，因此防止下載或翻開這種類型的文件。

有些文件下載起來比順序或宏文件更平安，例如文本(.txt)或圖像(.jpg,.gif,.png)文件。但

是，依然要警覺未知的來源，由于這些文件中的一些文件運(yùn)用了特意精心設(shè)計的格式，可以應(yīng)用

計算機(jī)系統(tǒng)的破綻。

雙后綴文件能夠的方式比擬多，這里僅放出諜照一張

4.全局規(guī)那么

就一條：*

基本用戶

假設(shè)設(shè)成受限的或許不信任/不允許的話，無疑會更平安，但也會帶來一些方便。綜合思索還是基本用戶比擬適宜

在全局規(guī)那么下，一定需求對合法的順序停止掃除的。在掃除的時分，你就會發(fā)現(xiàn)運(yùn)用*作為全局規(guī)

那么的優(yōu)越性了——任何一條規(guī)那么的優(yōu)先級都比它高，所以我們可以很方便地停止掃除。

為了增加掃除的任務(wù)量，這里建議大家把軟件集中裝置在少數(shù)的目錄，例如ProgramFiles目錄，那么

掃除時就可以對整個目錄停止，不用漸漸添加

例如掃除規(guī)那么：%ProgramFiles%

不受限的

〔軟件所在目錄〕

*\ApplicationSetups

不受限的

〔裝置軟件用的文件夾〕

還要掃除一些文件格式，以使其被正常翻開：*.lnk

不受限的

*.ade

不受限的

*.adp

不受限的

*.msi

不受限的

*.msp

不受限的

*.chm

不受限的

*.hlp

不受限的

*.pcd

不受限的

5.其它輔佐規(guī)那么

CMD限制戰(zhàn)略：%Comspec%

基本用戶

留意：在組戰(zhàn)略中，微軟把cmd.exe和批處置是分開處置的，即使把cmd設(shè)成〝不允許的〞，依然可以運(yùn)轉(zhuǎn).bat等批處置

由于桌面普通只放快捷方式，所以%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop%

不允許的

同時要讓快捷方式可以正常任務(wù)：*.lnk

不受限的

方案義務(wù)功用很少會用到，所以%SystemRoot%\task

不允許的

協(xié)助文件閱讀器的控制戰(zhàn)略：%WinDir%\hh.exe

基本用戶

〔防范CHM捆毒〕

%WinDir%\winhelp.exe

基本用戶

%WinDir%\winhlp32.exe

基本用戶

腳本宿主控制%WinDir%\system32\?script.exe

受限的〔或許直接不允許〕

一些不會有順序啟動的位置、一些極少用到的系統(tǒng)順序，你不用但病毒會用，所以建議制止

規(guī)那么可以有很多，大可自己發(fā)揚(yáng)，放出圖一張：

制止偽裝系統(tǒng)順序

如：lsass.exe

不允許的

%WinDir%\system32\lsass.exe

不受限的

剩下的規(guī)那么就留給各位自在發(fā)揚(yáng)了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~華美麗的聯(lián)系線，怎樣?

不夠華美？~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

至此，教程終了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

組戰(zhàn)略規(guī)那么發(fā)布：

依據(jù)防入口和全局防護(hù)的思緒，做了兩套規(guī)那么——復(fù)雜規(guī)那么和全局規(guī)那么

假設(shè)你沒有看前面冗長的教程的話，那么至少請記住一點：

假設(shè)運(yùn)用這些規(guī)那么而出現(xiàn)〝某某文件夾無法訪問〞、〝磁盤空間不夠或磁盤不可寫〞、〝軟件運(yùn)轉(zhuǎn)錯誤〞之類的效果的話，請調(diào)整對應(yīng)文件夾或許文件的NTFS權(quán)限〔設(shè)置成允許Users訪問，也可以干脆設(shè)置成Users完全訪問〕

復(fù)雜規(guī)那么說明：

以基本用戶限制主流閱讀器

Avant.exeBrexpo.exefirefox.exeGE.exeGreenBrowser.exegsfbwsr.exeiexplore.exeMaxFox.exemaxthon.exe

miniie.exenetscape.exeopera.exeOrca.exerealplay.exeSafari.exeSeaMonkey.exeSleipnir.exetheworld.exe

TTraveler.exe

限制或禁用一些不常用的系統(tǒng)順序

制止順序從U盤啟動〔需求手動修正一下規(guī)那么〕

全局規(guī)那么說明：

采用全局基本用戶

并參與了數(shù)目可觀的系統(tǒng)順序白名單

默許掃除〔不受限的〕的目錄、順序有：

1.一切分區(qū)根目錄下的ProgramFiles文件夾

請把軟件裝置在此目錄中，或許另外停止目錄掃除

2.一切分區(qū)根目錄下的〝裝置順序〞文件夾

請從此目錄裝置順序，或許另外停止目錄掃除

3.一切分區(qū)根目錄下的〝信任目錄〞文件夾

4.System32下的系統(tǒng)運(yùn)轉(zhuǎn)必需的順序

以基本用戶限制的主流閱讀器

Avant.exeBrexpo.exefirefox.exeGE.exeGreenBrowser.exegsfbwsr.exeiexplore.exeMaxFox.exemaxthon.exe

miniie.exenetscape.exeopera.exeOrca.exerealplay.exeSafari.exeSeaMonkey.exeSleipnir.exetheworld.exe

TTraveler.exe

另外提示一下，大家在設(shè)置規(guī)那么時，留意要思索以下4條系統(tǒng)默許規(guī)那么的影響：

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRoot%途徑不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRoot%*.exe途徑不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRoot%System32\*.exe途徑不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%途徑不受限的

相當(dāng)于規(guī)那么：

%SystemRoot%不受限的

整個Windows目錄不受限

%SystemRoot%\*.exe不受限的

Windows下的exe文件不受限

%SystemRoot%\System32\*.exe不受限的

System32下的exe文件不受限

%ProgramFiles%

不受限的

整個ProgramFiles目錄不受限

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

規(guī)那么已做成裝置包，順序會提示輸入可移動設(shè)備盤符，普通直接按〝確定〞即可

復(fù)雜規(guī)那么和全局規(guī)那么之間可以方便地停止轉(zhuǎn)換^_^

假定需求取消一切規(guī)那么，執(zhí)行〝恢復(fù)軟件限制戰(zhàn)略〞附件中的批處置即可

規(guī)那么能夠還不是很完善，歡迎測試和反應(yīng)意見

[

本帖最后由深紅的雪于2020-11-1419:40編輯

]復(fù)雜規(guī)那么.rar19.35KB,下載次數(shù):3551全局規(guī)那么.rar33.08KB,下載次數(shù):3573恢復(fù)軟件限制戰(zhàn)略.rar181Bytes,下載次數(shù):2971引言

說原創(chuàng)稍有擔(dān)當(dāng)不起...而且這標(biāo)題起的太玩世不恭了，各位情愿揍就揍吧==、其實自己覺得這個比喻還是比擬恰當(dāng)?shù)模暇W(wǎng)好比走路，需求有個平安快捷的方式，方可淋漓盡致；走路需求一雙好鞋，配雙好鞋墊才干步步為營樂不思蜀，當(dāng)然了，也有裸奔的，也就是穿拖鞋或許光腳的，正是所謂的讓腳趾自在伸展同時隨同著肉體上的有限自在...

其實開這個帖子我猶疑了很長很長的時間，一來如今HIPS的討論都和最新的安防軟件有關(guān)，新興的HIPS軟件如雨后春筍般雀躍不已，不幸的是，組戰(zhàn)略的帖子寥寥無幾，發(fā)這個帖子有點炒冷飯的嫌疑；二來壇子里高手眾多，自己水平也處于才疏學(xué)淺，說的不好難免貽笑小氣誤人子弟，但算來算去最近倒是有些新人也常問一些相關(guān)效果，無法遲遲找不到答案，翻置頂?shù)奶舆€束手無措，所以作為禁運(yùn)黨，本著BT的人人為我我為人人的肉體，在覺得這個規(guī)那么日漸成熟的狀況下，就有義務(wù)把它開掘整理出來，方便運(yùn)用。

先啰嗦下，假設(shè)各位上網(wǎng)時所做的只要單純的聽歌看電影，玩單機(jī)游戲，泡論壇，下資料等一些無需美化的復(fù)雜操作，那么這個規(guī)那么還比擬適用，而且防護(hù)效果算是理想，不過往下看一定要細(xì)心，每局部都有需求留意的中央，我沒有把這些都融合到一同去寫，那樣反而覺得亂，找不到源頭；假設(shè)喜歡折騰軟件或停止一些復(fù)雜操作，那么還請細(xì)心琢磨或到此戛但是止干脆不看，還是那句話，平安性越高，可操作性越低，反之亦然。

=========================你看到一條聯(lián)系線=========================

注釋

本途徑規(guī)那么適用WindowsXP，系統(tǒng)盤默許C盤，老鳥遠(yuǎn)觀。

欲片面了解軟件限制戰(zhàn)略作用流程請看此帖==>傳送門

拜讀了置頂組戰(zhàn)略相關(guān)帖子可以說閱讀下面引薦的這一般的軟件限制教程大可以粗略閱讀即可，所要做的就是學(xué)習(xí)下他人規(guī)那么的巧妙性來到達(dá)舉一反三舉一反三，適當(dāng)多搜索一些關(guān)鍵字、多翻翻老帖，溫故而知新〔這十分重要〕。本戰(zhàn)略是在群眾化的規(guī)那么里新加了一些更為嚴(yán)峻的戰(zhàn)略，力圖做到日常運(yùn)用不耽誤，惡意順序無法執(zhí)行的特點，所謂終極禁運(yùn)。不過作為軟件限制戰(zhàn)略的科普文，氣流的帖子曾經(jīng)集大成之所在，讓我好生覬覦，在此也就不再贅述，獨一需求特殊強(qiáng)調(diào)幾點的就是原文里需求重點看的，精簡并無恥的援用下：

首先需求做的：

翻開注冊表編輯器，展開至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一個DWORD值，命名為Levels，設(shè)成0x31000〔即4131000〕即可。

或許直接導(dǎo)入附件里的注冊表文件

safer.rar

(279Bytes,下載次數(shù):627)

1.環(huán)境變量

%SystemDrive%

表示C:\

%AllUsersProfile%

表示C:\DocumentsandSettings\AllUsers

%UserProfile%

表示C:\DocumentsandSettings\以后用戶名

%AppData%

表示C:\DocumentsandSettings\以后用戶名\ApplicationData

%Temp%和%Tmp%

表示C:\DocumentsandSettings\以后用戶名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

%WinDir%

表示C:\WINDOWS

%ComSpec%

表示C:\WINDOWS\system32\cmd.exe

2.通配符

*：恣意個字符〔包括0個〕，但不包括斜杠。

?：1個或0個字符。

3.優(yōu)先級

總的原那么是：規(guī)那么越婚配越優(yōu)先。

①.相對途徑>通配符全途徑

如C:\Windows\explorer.exe>*\Windows\explorer.exe

②.文件名規(guī)那么>目錄型規(guī)那么

如假定a.exe在Windows目錄中，那么a.exe>C:\Windows

③.環(huán)境變量=相應(yīng)的實踐途徑=注冊表鍵值途徑

如%ProgramF