資源描述:
《windows組策略中軟件限制策略規(guī)則編寫示例》由會(huì)員上傳分享�,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1�、Windows組策略中軟件限制策略規(guī)則編寫示例Windows組策略中軟件限制策略規(guī)則編寫示例2008年10月30日星期四20:10 對(duì)于Windows的組策略,也許大家使用的更多的只是“管理模板”里的各項(xiàng)功能�����。對(duì)于“軟件限制策略”相信用過的朋友們不是很多�。 軟件限制策略如果用的好的話���,相信可以和某些HIPS類軟件相類比了�。如果再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限��,完全可以實(shí)現(xiàn)系統(tǒng)的全方位的安全配置��,同時(shí)由于這是系統(tǒng)內(nèi)置的功能,與系統(tǒng)無(wú)縫結(jié)合�����,不會(huì)占用額外的CPU及內(nèi)存資源����,更不會(huì)有不兼容的現(xiàn)象,由于其位于系統(tǒng)的最底層��,其攔截能力也是其它軟件所無(wú)法比擬的��,不足之處則是
2�����、其設(shè)置不夠靈活和智能��,不會(huì)詢問用戶��。下面我們就來(lái)全面的了解一下軟件限制策略�。 本系列文章將從以下幾方面為重點(diǎn)來(lái)進(jìn)行講解: ·概述 ·附加規(guī)則和安全級(jí)別 ·軟件限制策略的優(yōu)先權(quán) ·規(guī)則的權(quán)限分配及繼承 ·如何編寫規(guī)則 ·示例規(guī)則 今天我們介紹Windows的組策略中軟件限制策略規(guī)則編寫示例����?���! 「夸浺?guī)則 如果我們要限制某個(gè)目錄下的程序運(yùn)行�����,一般是創(chuàng)建諸如: C:ProgramFiles*.*不允許 這樣的規(guī)則�����,看起來(lái)是沒有問題的���,但在特殊情況下則可能引起誤傷,因?yàn)橥ㄅ浞纯梢云ヅ涞轿募?�,也可以匹配到文件夾��。如果此目錄下存在如SiteMap
3���、Builder.NET這樣的目錄(如C:ProgramFilesSiteMapBuilder.NETSiteMapBuilder.NET)�����,同樣可以和規(guī)則匹配����,從而造成誤傷,解決方法是對(duì)規(guī)則進(jìn)行修改: C:ProgramFiles不允許的 C:ProgramFiles*不受限的 這樣就排除了子目錄���,從而不會(huì)造成誤傷��?��! ∩暇W(wǎng)安全的規(guī)則 我們很多時(shí)候中毒,都是在瀏覽網(wǎng)頁(yè)時(shí)中的毒�����,在我們?yōu)g覽網(wǎng)頁(yè)時(shí)����,病毒會(huì)通過瀏覽器漏洞自動(dòng)下載到網(wǎng)頁(yè)緩存文件夾中,然后再將自身復(fù)制到系統(tǒng)敏感位置��,比如windowssystem32programfiles等等目錄下�,
4、然后運(yùn)行�。所以單純的對(duì)瀏覽器緩存文件夾進(jìn)行限制是不夠的。比較實(shí)用的防范方法就是禁止IE瀏覽器在系統(tǒng)敏感位置創(chuàng)建文件���,基于此�,我們可以創(chuàng)建如下規(guī)則: %ProgramFiles%InternetExploreriexplore.exe基本用戶 %UserProfile%LocalSettingsTemporaryInternetFiles**不允許的 %UserProfile%LocalSettingsTemporaryInternetFiles*不允許的 %UserProfile%LocalSettingsTemporaryIntern
5、etFiles不允許的 %UserProfile%LocalSettingsTemporaryInternetFiles不允許的 如果你使用的是其它瀏覽器����,同樣將其設(shè)置為“基本用戶”即可?��! 盤規(guī)則 比較實(shí)際的作法: U盤符:*不允許的不信任的受限的都可以 不過設(shè)為不允許的安全度更高����,也不會(huì)對(duì)U盤的正常操作有什么限制���。 CMD限制策略 %Comspec%基本用戶 這里要注意的是系統(tǒng)對(duì)于CMD和批處理文件是分開處理的�,即使對(duì)CMD設(shè)置了不允許,仍然可以運(yùn)行批處理 對(duì)于一些系統(tǒng)中平時(shí)我們極少用��,但存在潛在威脅的程序我們也要進(jìn)行限制�����。比如ft
6�、p.exe����、tftp.exe��、telnet.exe�、net.exe、net1.exe���、debug.exe���、at.exe、arp.exe�����、wscript.exe���、cscript.exe等等����,都可以將其設(shè)置為受限的或者直接設(shè)成不允許的����?��! 〗箓窝b的系統(tǒng)進(jìn)程 svchost.exe不允許的 C:WindowsSystem32Svchost.exe不受限的 如果你有興趣,有精神�,還可以為系統(tǒng)的所有進(jìn)程做一個(gè)白名單,這樣安全性可能會(huì)更高����。 其它規(guī)則大家可以自由發(fā)揮�。 策略的備份 最后提一下策略的備份��。不能這么辛苦做完下次重做系統(tǒng)再來(lái)一次吧�,呵呵,備份很簡(jiǎn)
7��、單�����,我們可以通過導(dǎo)出注冊(cè)表來(lái)備份(不提倡�����,也就不介紹了)��?! ∫部梢酝ㄟ^直接備份文件來(lái)備份,打開C:WINDOWSsystem32GroupPolicyMachine���,在這個(gè)目錄下有一個(gè)Registry.pol文件����,對(duì)��,就是它了��。備份它��,重做系統(tǒng)后直接COPY過來(lái)就可以了����,當(dāng)然你也可以將你的策略分享給更多人使用。這里有一點(diǎn)要注意的�����,就是這個(gè)Machine文件夾如果沒有����,千萬(wàn)不能手動(dòng)建立��,否則無(wú)效�,可以使用我們前面介紹過的創(chuàng)建策略的方法�,創(chuàng)建以后就會(huì)生成這個(gè)文件夾,也可以你在備份的時(shí)候直接備份這個(gè)文件夾�����。千萬(wàn)要記得不能手動(dòng)建立����。如果你不想使用這些策略了,很簡(jiǎn)
8�、單,將Re
