关于软件限制策略以及权限的研究
说是研究，其实也就是对相关方面内容的一个汇总，并加入细节方面的实践性分析。

首先，我们打开组策略中一个隐藏开关，开启“基本用户”和“受限的”权限类型。

具体做法：打开注册表编辑器，展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD，命名为Levels，其值可以为
0x10000 //增加受限的
0x20000 //增加基本用户
0x30000 //增加受限的，基本用户
0x31000 //增加受限的，基本用户，不信任的（不信任和不允许差不了多少）
建议设成0x30000或0x31000。

或者有人抱怨软件限制策略不够灵活，其实打开受限的、基本用户之后，情况就会大大的不同。

在建立策略之前，我们先要了解一下软件限制策略的权限类型和规则的优先级。

1.权限类型：不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的（以权限的高低排序，与优先级无关）
2.绝对路径 > 通配符相对路径（以优先级高低排序，下同）
如 C:\Windows\explorer.exe > *\Windows\explorer.exe
3.文件规则 > 目录规则
如若a.exe在Windows目录中，那么 a.exe > C:\Windows
4.环境变量 = 相应的实际路径 = 注册表键值路径
如%ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir %
5.若两条规则路径等效，那么两条规则合成的结果是：从严处理，以最低的权限为准。

如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 基本用户”=“C:\Windows\explorer.exe 基本用户”
6.权限的继承。

这个正是本文的重点。

当运行一个程序时，权限分配流程是这样的：
首先继承父进程的权限，然后搜索软件限制策略，检查是否有匹配的规则，若有，则按优先级最
高的规则的内容与父进程的权限内容进行对比，以最低权限的原则匹配。

若无，则仍然继承父进
程的权限。

若父进程无指定权限，则以当前用户的类型的权限运行。

以上内容应该很容易理解吧。

举个例：
假设你的用户帐户类型是管理员，并建立了这样的两条软件限制策略：
1.c:\program files\internet explorer\iexplore.exe “基本用户”
2.C:\Windows\cmd.exe “不受限的”
那么，我们以explorer.exe运行iexplore.exe，则实际分配给iexplore.exe的权限类型为“基本
用户”。

如果再以iexplore.exe启动cmd.exe的话，那么根据最低权限原则（“基本用户”低于“不受限的”），cmd.exe的实际权限仍然是“
基本用户”
再如我们以explorer.exe运行cmd.exe，由cmd执行命令 runas.exe /trustlevel:不受限的
“c:\program files\internet explorer\iexplore.exe” 来启动浏览器，那么其权限继承情况
为：不受限的 -> 不受限的 -> 不受限的，也就是说这时IE也具有不受限的权限。

实际上runas命令在这里起到临时规则的作用
了解好以上内容后，我们就可以开始设置软件限制策略了。

规则当然是由自己定制的最好，我在
这里仅给出一个参考的方案。

推荐的设置：
1.首先，浏览器是一定要加入限制的，假设你使用浏览器是IE，那么建立路径规则
%Programfiles%\internet explorer\iexplore.exe “基本用户”
这样足以防绝大部分的网马了。

如果使用的是其它的浏览器，也为其设置相应的规则
2.加入U盘规则，例如 ?:\*.* 、?:\* “不允许的”
采取哪种形式可以自行决定，也可以把第一个 ? 改成你的U盘的实际盘符
3.防范危险的双后缀格式的程序启动，建立如下规则
*.jpg.exe、*.bmp.exe、*.xls*.exe、*.ppt*.exe、*.rar.exe、*.doc*.exe、*.mdb.exe、*.txt.exe、*.gif.exe、*.htm.exe、*.rm*.exe、*.wm?.exe、*.mp3.exe等等，全部设为“不允
许的”
其实还可以有很多，这里就不一一列出了。

如果想更全面一点的，可以合成一条：*.???.exe 然后再加几条，*.???.vbs、*.???.com、*.???.bat、*.???.cmd、*.???.scr、*.???.msi、*.???.chm、*.???.pif。

如果再想严格一点的考虑写成：*.???.??? ,再疯狂一点的，写成
*.???.* ，不过出了什么问题就不要来找偶了
4.这条规则较严厉，可以先衡量利弊再考虑是否加入。

设立规则：
%Windir%\explorer.exe “基本用户”
这条规则其实是很强大的，由于用户的大部分操作都是通过explorer.exe来完成的，因此限制了
explorer.exe也就相当于限制了很多由用户运行的程序，例如QQ，甚至你不小心运行了一个病毒
，那么这个病毒也是受限的。

或者你会问，安装软件或者要运行一些需要高权限的软件（如杀软）时怎么办？
有一个YD的方法，那就是通过ATL+CTRL+DEL呼出任务管理器，然后选择“文件”—“新建任务”
来执行程序，即可解决问题。

或者你又会问了，为什么任务管理器就能正常安装或运行软件呢，它不是继承explorer.exe 的权限吗？
其实，通过ATL+CTRL+DEL呼出任务管理器，其执行关系为：Winlogon.exe -> taskmgr.exe 也就是说，taskmgr.exe继承的是Winlogon.exe的“不受限的”权限，因此不受规则限制
事实上，在把explorer.exe加入“基本用户”类型后，你会发现用一般方法关不了机
其实解决方法也是同上，呼出任务管理器，选择关机即可。

组策略其实是一个很强大的工具，虽然灵活性和可定制性还比不上HIPS，但对于大部分的用户来
说，是绝对够用了。

除了上面提到的规则，大家也可以增加适合自己规则，这个就要看个人的使
用环境而定了
~~~~~~~~~~~~~~~~~~~~~~~~~~
另外，附上软件限制策略的自解压安装包的制作演示
详见视频：
E:\文档\电脑教程\组策略\软件限制策略的自解压安装包制作.exe。