当前位置:文档之家› 组策略编写软件限制策略规则

组策略编写软件限制策略规则

软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。

如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。

下面我们就来全面的了解一下软件限制策略。

本系列文章将从以下几方面为重点来进行讲解:·概述·附加规则和安全级别·软件限制策略的优先权·规则的权限分配及继承·如何编写规则·示例规则今天我们介绍Windows的组策略中的如何编写规则。

关于规则编写,我们要遵循以下几个原则:要方便,不能对自己有过多的限制,这样,即使出现问题也好排队要安全,要考虑到你的系统中毒的来源有哪些,针对其做好防护。

基于文件名的病毒规则尽量少用,因为容易出现误阴,而且病毒的文件名随便可以改,我们做的又不是特征库。

下面介绍规则的具体编写方式开始-> 运行-> gpedit.msc在左边的窗口中依次展开计算机配置-> Windows设置-> 安全设置-> 软件限制策略。

如果你之前没有进行过设置,那么在软件限制策略上点右键,选择创建新的策略。

然后在其它规则上右键点击,选择新路径规则既可以进行规则的创建了。

规则的设置很简单,就五个安全级别,根据你自己的需要设置即可。

难点主要是规则的正确性和有效性,这个得靠多多实践来提升了。

另外提醒一下,大家在设置规则时,注意不要更改以下4条系统默认规则同时还要考虑它们的影响:·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ProgramFilesDir% 路径不受限的相当于规则:·%SystemRoot% 不受限的整个Windows目录不受限·%SystemRoot%\*.exe 不受限的Windows下的exe文件不受限·%SystemRoot%\System32\*.exe 不受限的System32下的exe文件不受限·%ProgramFiles% 不受限的整个ProgramFiles目录不受限这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器,会在一至两分钟内生效,不会立即生效,如果长时间不生效,我们可以通过注销,重新登陆来生效,也可以使用命令gpupdate /force 来强制刷新。

实例演示组策略软件限制编写根目录规则如果我们要限制某个目录下的程序运行,一般是创建诸如:C:\Program Files\*.* 不允许这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。

如果此目录下存在如 这样的目录(如C:\Program Files\\Site Map ),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的C:\Program Files\*\ 不受限的这样就排除了子目录,从而不会造成误伤。

上网安全的规则我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。

所以单纯的对浏览器缓存文件夹进行限制是不够的。

比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则:%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户%UserProfile%\Local Settings\Temporary Internet Files\** 不允许的%UserProfile%\Local Settings\Temporary Internet Files\* 不允许的%UserProfile%\Local Settings\Temporary Internet Files\ 不允许的%UserProfile%\Local Settings\Temporary Internet Files 不允许的如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。

U盘规则比较实际的作法:U盘符:\* 不允许的不信任的受限的都可以不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。

CMD限制策略%Comspec% 基本用户这里要注意的是系统对于CMD和批处理文件是分开处理的,即使对CMD设置了不允许,仍然可以运行批处理对于一些系统中平时我们极少用,但存在潜在威胁的程序我们也要进行限制。

比如ftp.exe、tftp.exe、telnet.exe、net.exe 、net1.exe 、debug.exe 、at.exe、arp.exe 、wscript.exe、cscript.exe等等,都可以将其设置为受限的或者直接设成不允许的。

禁止伪装的系统进程svchost.exe 不允许的C:\Windows\System32\Svchost.exe 不受限的如果你有兴趣,有精神,还可以为系统的所有进程做一个白名单,这样安全性可能会更高。

其它规则大家可以自由发挥。

策略的备份最后提一下策略的备份。

不能这么辛苦做完下次重做系统再来一次吧,呵呵,备份很简单,我们可以通过导出注册表来备份(不提倡,也就不介绍了)。

也可以通过直接备份文件来备份,打开C:\WINDOWS\system32\GroupPolicy\Machine ,在这个目录下有一个Registry.pol 文件,对,就是它了。

备份它,重做系统后直接COPY过来就可以了,当然你也可以将你的策略分享给更多人使用。

这里有一点要注意的,就是这个Machine文件夹如果没有,千万不能手动建立,否则无效,可以使用我们前面介绍过的创建策略的方法,创建以后就会生成这个文件夹,也可以你在备份的时候直接备份这个文件夹。

千万要记得不能手动建立。

如果你不想使用这些策略了,很简单,将Registry.pol 文件改名或者删除即可实战:U盘病毒解决方法我这里介绍的都是一些通过系统自身来实现的方法,不使用第三方软件。

喜欢用第三方软件的朋友们就不要讨论了。

前面已经介绍过第一种方法了:使用软件限制策略,创建一条规则“?\*.* 不允许的” ,这样即使你中了U盘病毒它也没办法运行。

第二种方法,其实也算是第一种方法的延伸吧。

前面我们分析过系统对autorun.inf 文件的处理流程,从中我们可以看出有一步,explorer.exe 读取autorun.inf 的内容后会将其写入注册表中,由此,我们可以通过对注册表相关键值的权限进行限制,从而使其无法修改注册表,进而达到防止U盘病毒运行的目的。

相关注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\MountPoints2\*\shell\openHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\MountPoints2\*\shell\autorunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\MountPoints2\*\shell\explorerHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\MountPoints2\*\shell\*\CommandHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\MountPoints2具体做法是将这些键降低权限,或者直接将所有用户对其的访问权限取消都可以。

第三种方法就是利用Windows的一个漏洞,建立Bug文件夹,来防止Autorun类病毒。

具体方法是:首先在U盘下建立一个名为Autorun.inf的文件夹,然后在这个文件夹下建立一个带“.”的BUG文件夹,这样的话autorun.inf 文件夹就无法删除了,比如我们在D盘下建立:首先在D盘下建立Autorun.inf 文件夹然后运行CMD,输入md d:\autorun.inf\test..\这样就可以在autorun.inf文件夹里建一个名为“test.”的文件夹,在资源管理器中无法访问,无法改名,无法删除。

这种方法比较消极,但适用于经常在别人机子上使用U盘的情况。

不过据说有些病毒已经可以对付这种方法了。

第四种方法,也是流传很广的一种做法,就是通过组策略或者注册表禁止自动播放功能。

这种方法以前我也是深信不疑的,但通过近来的几个小实验,发现这种方法也是有缺陷的,它只能防止一些做工粗糙的U盘病毒,对于很多病毒其实是防不了的。

这个我们可以做如下实验来验证。

我们自己建立一个autorun.inf 文件,放于U盘根目录下,再COPY 一个NOTEPAD到你的U盘根目录下,其内容如下:[autorun]OPEN=NOTEPAD.exeshell\open=打开(&O)shell\open\Command=NOTEPAD.exeshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=NOTEPAD.exe从组策略中关闭自动播放功能,在U盘点击右键,新菜单里没有多出来的选项,但你双击U盘试试,你会发现NOTEPAD运行了。

相关主题