資源描述:
《軟件限制策略完全教程與規(guī)則示例》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1���、組策略之軟件限制策略--完全教程與規(guī)則示例導(dǎo)讀注意:如果你沒(méi)有耐心或興趣看完所有內(nèi)容而想直接使用規(guī)則的話��,請(qǐng)至少認(rèn)真看一次規(guī)則的說(shuō)明��,謝謝實(shí)際上�����,本教程主要為以下內(nèi)容:理論部分:1.軟件限制策略的路徑規(guī)則的優(yōu)先級(jí)問(wèn)題2.在路徑規(guī)則屮如何使用通配符3.規(guī)則的權(quán)限繼承問(wèn)題4.軟件限制策略如何實(shí)現(xiàn)3D部署(配合訪問(wèn)控制���,如NTFS權(quán)限),軟件限制策略的精髓在于權(quán)限�����,部署策略同時(shí),往往也需要學(xué)會(huì)設(shè)置權(quán)限規(guī)則部分:5.如何用軟件限制策略防毒(也就是如何寫(xiě)規(guī)則)6.規(guī)則的示例與下載其中�,1、2����、3點(diǎn)是基礎(chǔ),很多人寫(xiě)出無(wú)效或者錯(cuò)誤的規(guī)則出
2�、來(lái)都是因?yàn)閷?duì)這些內(nèi)容沒(méi)有搞清楚;第4點(diǎn)可能有點(diǎn)難�����,但如果想讓策略有更好的防護(hù)效杲并口不影響平時(shí)正常使用的話�,這點(diǎn)很重要。如果使用規(guī)則后發(fā)現(xiàn)有的軟件丁作不止簾��,請(qǐng)參考這部分內(nèi)容�,注意調(diào)整NTFS權(quán)限理論部分軟件限制策略包括證卩規(guī)則、散列規(guī)則�、Internet區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則�,其中靈活性最好的就是路徑規(guī)則了,所以一般我們談到的策略規(guī)則�����,若沒(méi)有特別說(shuō)明,則直接指路徑規(guī)則����。或者冇人問(wèn):為什么不用散列規(guī)則�����?散列規(guī)則可以防病毒替換白名單中的程序�,安全性不是更好么����?一是因?yàn)樯⒘幸?guī)則不能通用,二是即使用
3����、了也意義不人——防替換應(yīng)該要利用好NTFS權(quán)限,而不是散列規(guī)則�����,要是真讓病毒替換了系統(tǒng)程序�����,那么再談規(guī)則已經(jīng)晩了「?環(huán)境變量、通配符和優(yōu)先級(jí)關(guān)于環(huán)境變量(假定系統(tǒng)盤(pán)為C盤(pán))%USERPROFILE%表示C:DocumentsandSettings當(dāng)前用戶名%HOMEPATH%表示C:DocumentsandSettings當(dāng)前用戶名%ALLUSERSPROFILE%表示C:DocumentsandSettingsAllUsers%ComSpec%表示C:WlND0WSSystem32cmd.exe%APPD
4���、ATA%表示C:DocumentsandScttings當(dāng)前用戶名ApplicationData%ALLAPPDATA%表示C:DocumentsandSettingsAllUsersApplicationData%SYSTEMDRIVE%表示C:%110MEDRIVE%表示C:%SYSTEMROOT%表示C:W1NDOWS%WTNDTR%表示C:WTNDOWS%TEMP%和%TMP%表示C:DocumentsandSettings當(dāng)前用戶名LocalSettingsTemp%ProgramFiles
5���、%表示C:ProgramFiles%CommonPrograml?iles%表示C:ProgramFilesCommonFiles關(guān)于通配符:Windows里面默認(rèn)*:任意個(gè)字符(包括0個(gè)),但不包括斜杠?:I個(gè)或0個(gè)字符幾個(gè)例子*Windows匹配C:Windows�����、D:Windows����、E:Windows以及每個(gè)目錄下的所有子文件夾。C:win*匹配C:wirmt����、C:windows、C:windir以及每個(gè)目錄下的所有子文件夾��。*.vbs匹配WindowsXPProfessional中具有此擴(kuò)展名的
6�����、任何應(yīng)用程序���。C:ApplicationF訂es*.*匹配特定目錄(ApplicationFiles)中的應(yīng)用程序文件����,但不包括ApplicationF訂es的子目錄關(guān)于優(yōu)先級(jí):總的原則是:規(guī)則越匹配越優(yōu)先1.絕對(duì)路徑>通配符全路徑女nC:Windowsexplorer.exe>*Windowsexplorer.exe2.文件名規(guī)則>目錄型規(guī)則如若a.exe在Windows冃錄屮,那么a.exe>C:Windows3.壞境變量二相應(yīng)的實(shí)際路徑二注冊(cè)表鍵值路徑如%ProgramFiles%=C:ProgramF
7�、iles=%HKEY_LOCAL_MACHTNESOFTWAREMicrosoftWindowsCurrcntVcrsionProgramFilesDir%4.對(duì)于同是口錄規(guī)則,則能匹配的口錄級(jí)數(shù)越多的規(guī)則越優(yōu)先對(duì)于同是文件名規(guī)則����,優(yōu)先級(jí)均相同1.散列規(guī)則比任何路徑規(guī)則優(yōu)先級(jí)都高2.若規(guī)則的優(yōu)先級(jí)相同,按最受限制的規(guī)則為準(zhǔn)舉例說(shuō)明,例如cmd的全路徑是C:Windowssystem32cmd.exe那么�����,優(yōu)先級(jí)順序是:絕對(duì)路徑(如C:Windowssystem32cmd.exe)>通配符全路徑(如*W
8���、indows*cmd.exe)>文件名規(guī)貝!](如cmd.exe)=通配符文件名規(guī)貝U(如*.*)〉部分絕對(duì)路徑(不包含文件名,如C:Windowssystem32)=部分通配符路徑(不包含文件名��,如C:*system32)>C:Windows二注:1.通配符*并不包括斜杠
