组策略防病毒学习之软件限制策略——完全教程与规则示例

1、组策略之软件限制策略完全教程与规则示例导读注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防

2、护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大 防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了 一.环境变量、通配符

3、和优先级关于环境变量（假定系统盘为 C盘） %USERPROFILE%  表示 C:Documents and Settings当前用户名 %HOMEPATH%    表示 C:Documents and Settings当前用户名%ALLUSERSPROFILE%  表示 C:Documents and SettingsAll Users%ComSpec%  表示 C:WINDOWSSystem32cmd.exe %APPDATA%  表示 C:Documents

4、 and Settings当前用户名Application Data %ALLAPPDATA%  表示 C:Documents and SettingsAll UsersApplication Data %SYSTEMDRIVE% 表示 C:%HOMEDRIVE%   表示 C:%SYSTEMROOT%  表示 C:WINDOWS %WINDIR%      表示 C:WINDOWS %TEMP% 和 %TMP%  表示 C:Docum

5、ents and Settings当前用户名Local SettingsTemp %ProgramFiles%  表示 C:Program Files %CommonProgramFiles%  表示 C:Program FilesCommon Files 关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个或0个字符几个例子*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每个目录下的所有子文件夹。C:win* 匹配 C:winnt、C:windows

6、、C:windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。C:Application Files*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录关于优先级:总的原则是:规则越匹配越优先1.绝对路径 > 通配符全路径 如 C:Windowsexplorer.exe > *Windowsexplorer.exe  2.文件名规则 > 目录型规则     &#

7、160; 如若a.exe在Windows目录中，那么   a.exe > C:Windows3.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.对于同是目录规则，则能匹配的目录级数越多的规则越优先   对于同是文件名规则，优先级均相同5.散列规则比任何路径规则优先级都高6.若规则的优先级相同，按最受限制的规则为准举例说

8、明，例如cmd的全路径是 C:Windowssystem32cmd.exe那么，优先级顺序是：绝对路径(如C:Windowssystem32cmd.exe)  > 通配符全路径(如*Windows*cmd.exe) > 文件名规则(如cmd.exe) = 通配符文件名规则(如*.*) > 部分绝对路径(不包含文件名，如 C:Windowssystem32 )  =  部分通配符路径（不包含文件名，如C:*system32

9、0;）  > C:Windows  =  *注：1. 通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Windows，但不匹配 C:SandboxWINDOWS2. * 和 * 是完全等效的，例如 *abc = *abc3. C:abc*  可以直接写为 C:abc 或者 C:abc，最后的* 是可以省去的，因为软件限制策略的规则可以直接匹配到目录。4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的，这样的规则实际上无效，除非你把TXT格式也加

10、入“指派的文件类型”列表中。而且默认不对加载dll进行限制，除非在“强制”选项中指定：              5. * 和 *.* 是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.* 的优先级比 * 的高6. ?:* 与 ?:*.* 是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹，简单说，就是整个硬盘；而 ?:*.* 仅包括所有分区下的带“.”的文件或目录，一般情况下，指的就是各盘根目录下的文件。那非一般情况是什么呢？请参考第7点7. ?:*.* 中的

11、“.” 可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定是文件，可以是文件夹。例如 F:ab.c，一样符合 ?:*.*，所以规则对F:ab.c下的所有文件及子目录都生效。8.这是很多人写规则时的误区。首先引用组策略软件限制策略规则包编写之菜鸟入门（修正版）里的一段：4、如何保护上网的安全 在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵 %SYSTEMROOT%tasks*.*    不允许的    （这个是计划任务，

12、病毒藏身地之一） %SYSTEMROOT%Temp*.*    不允许的 %USERPROFILE%Cookies*.*    不允许的 %USERPROFILE%Local Settings*.*    不允许的  （这个是IE缓存、历史记录、临时文件所在位置）说实话，上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全，实际上这几条规则在设置时就犯了一些错误例如：%USERPROFILE%Local Settings*.*  不允许的可以看出，规则的

13、原意是阻止程序从Local Settings（包括所有子目录）中启动现在大家不妨想想这规则的实际作用是什么？先参考注1和注2，* 和* 是等同的，而且不包含字符“”。所以，这里规则的实际效果是 “禁止程序从Local Settings文件夹的一级子目录中启动”，不包括Local Settings根目录，也不包括二级和以下的子目录。现在我们再来看看Local Settings的一级子目录有哪些：Temp、Temporary Internet Files、Application Data、History。阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装那么，阻止程序从Tempora

14、ry Internet Files根目录启动又如何呢？实际上，由于IE的缓存并不是存放Temporary Internet Files根目录中，而是存于Temporary Internet Files的子目录Content.IE5的子目录里（-_-|），所以这种写法根本不能阻止程序从IE缓存中启动，是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动，正确的写法应该是：某目录* 某目录* 某目录 某目录9.?:autorun.inf    不允许的这是流传的所谓防U盘病毒规则，事实上这条规则是没有作用的，关于这点在 关于各种策略

15、防范U盘病毒的讨论 已经作了分析二.软件限制策略的3D的实现：“软件限制策略通过降权实现AD，并通过NTFS权限实现FD，同时通过注册表权限实现RD，从而完成3D的部署”对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微软内置的规则，即使我们修改“用户权限指派”项的内容（这个是对登陆用户的权限而言），也无法对软件限制策略中的安全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表

16、权限来配置FD和RD，这就比AD部分要灵活得多。小结一下，就是AD用户权利指派（内置的安全等级）FDNTFS权限RD注册表权限先说AD部分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。基本用户，基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。受限的，比基本用户限制更多，也仅享有“跳过遍历检查”的特权。不信任的，不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。不允许的，无条件地阻止程序执行或文件

17、被打开很容易看出，按权限大小排序为 不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的其中，基本用户 、受限的、不信任的 这三个安全等级是要手动打开的具体做法：打开注册表编辑器，展开至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一个DWORD值，命名为Levels，其值可以为0x10000                  /增加受限的0x2

18、0000                  /增加基本用户0x30000                  /增加受限的，基本用户0x31000                  /增加受限的，基本用户，不信任的设成0x31000（即413

19、1000）即可如图： 或者将下面附件中的reg双击导入注册表即可 safer.rar (279 Bytes, 下载次数: 1948) 再强调两点：1.“不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限2.“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限字，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。权限的分配与继承:这里的

20、讲解默认了一个前提：假设你的用户类型是管理员。在没有软件限制策略的情况下，很简单，如果程序a启动程序b，那么a是b的父进程，b继承a的权限现在把a设为基本用户，b不做限制（把b设为不受限或者不对b设置规则效果是一样的）然后由a启动b，那么b的权限继承于a，也是基本用户，即:a（基本用户）-> b（不受限的） = b（基本用户）若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即a（不受限的）-> b（基本用户） = b（基本用户）可以看到，一个程序所能获得的最终权限取决于：父进程权限 和 规则限定的权限 的最低等级，也就是我们所说的最低权限原则举一个例：若我们把

21、IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只剩下尸体了。甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的机会。FD：NTFS权限* 要求磁盘分区为NTFS格式 *其实Microsoft Windows 的每个新版本都对 NTFS 文件系统进行了改进。NTFS 的默认权限对大多数组织而言都已够用。注：设置前请先在“文件夹选项”中取消选中“使用简单文件共享（推荐）”NTFS权限的分配1.如果一个用

22、户属于多个组，那么该用户所获得的权限是各个组的叠加2.“拒绝”的优先级比“允许”要高例如：用户A 同时属于Administrators和Everyone组，若Administrators组具有完全访问权，但Everyone组拒绝对目录的写入，那么用户A的实际权限是：不能对目录写入，但可以进行除此之外的任何操作高级权限名称 描述 （包括了完整的FD和部分AD）遍历文件夹/运行文件  （遍历文件夹可以不管，主要是“运行文件”，若无此权限则不能启动文件，相当于AD的运行应用程序）允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍历文件夹的权限（

23、仅适用于文件夹）。列出文件夹/读取数据允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容，而不影响您对其设置权限的文件夹是否会列出（仅适用于文件夹）。读取属性 （FD的读取）允许或拒绝查看文件中数据的能力（仅适用于文件）。读取扩展属性允许或拒绝用户查看文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。创建文件/写入数据 （FD的创建）“创建文件”允许或拒绝在文件夹中创建文件（仅适用于文件夹）。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力（仅适用于文件）。创建文件夹/追加数据“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求（仅适用

24、于文件夹）。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力（仅适用于文件）。写入属性 （即改写操作了，FD的写）允许或拒绝用户对文件末尾进行更改，而不更改、删除或覆盖现有数据的请求（仅适用于文件）。  即写操作写入扩展属性允许或拒绝用户更改文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。删除子文件夹和文件 （FD的删除）允许或拒绝删除子文件夹和文件的能力，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。删除 （与上面的区别是，这里除了子目录及其文件，还包括了目录本身）允许或拒绝用户删除子文件夹和文件的请求，即使子文件夹

25、或文件上没有分配“删除”权限（适用于文件夹）。读取权限 （NTFS权限的查看）允许或拒绝用户读取文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。更改权限 （NTFS权限的修改）允许或拒绝用户更改文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。取得所有权 允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。以基本用户为例，基本用户能做什么？在系统默认的NTFS权限下，基本用户对系统变量和用户变量有完全访问权，对系统文件夹只读，对Program Files的公共文件夹只读，Document

26、 and Setting下，仅对当前用户目录有完全访问权，其余不能访问关于基本用户的相关详细介绍，请看这里：=如果觉得以上的限制严格了或者宽松了，可以自行调整各个目录和文件的NTFS权限。如果发现浏览器在基本用户下无法使用某些功能的，很多都是由NTFS权限造成的，可以尝试调整对应文件或文件夹的NTFS权限NTFS权限的调整基本用户、受限用户属于以下组UsersAuthenticated UsersEveryoneINTERACTIVE调整权限时，主要利用到的组为 Users为什么是Users组？因为调整Users的权限可以限制基本用户、受限用户，但却不会影响到管理员，这样就既保证了使用基本用户

27、的安全性和管理员帐户下的操作的方便性例：对用户变量Temp目录进行设置，禁止基本用户从该目录运行程序，可以这样做：首先进入“高级”选项，取消勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目(I)” 然后设置Users的权限如图 然后把除Administrators、Users、SYSTEM之外的所有组都删除之这样基本用户下的程序就无法从Temp启动文件了注意：1. 不要使用“拒绝”，不然管理员权限下的程序也会受影响2. everyone组的权限适用于任何人、任何程序，故everyone组的权限不能太高，至少要低于Users组其实利用NTFS权限还可

28、以实现很多功能又例如，如果想保护某些文件不被修改或删除，可以取消Users的删除和写入权限，从而限制基本用户，达到保护重要文件的效果当然，也可以防止基本用户运行指定的程序以下为微软建议进行限制的程序：regedit.exearp.exeat.exeattrib.execacls.exedebug.exeedlin.exeeventcreate.exeeventtriggers.exeftp.exenbtstat.exenet.exenet1.exenetsh.exenetstat.exenslookup.exentbackup.exercp.exereg.exeregedt32.exeregi

29、ni.exeregsvr32.exerexec.exeroute.exersh.exesc.exesecedit.exesubst.exesysteminfo.exetelnet.exetftp.exetlntsvr.exeRD部分：注册表权限。由于微软默认的注册表权限分配已经做得很好了，不需要作什么改动，所以这里就直接略过了三.关于组策略规则的设置：规则要顾及方便性，因此不能对自己有过多的限制，或者最低限度地，即使出现限制的情况，也能方便地进行排除规则要顾及安全性，首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的威胁。没有这种防外能力的规则都是不完整或者不合格的基于文件名防病毒、防

30、流氓的规则不宜多设，甚至可以舍弃。一是容易误阻，二是病毒名字可以随便改，特征库式的黑名单只会跟杀软的病毒库一样滞后。于是，我们有两种方案：如果想限制少一点的，可以只设防“入口”规则，主要面向U盘和浏览器如果想安全系数更高、全面一点的，可以考虑全局规则+白名单具体内容见二楼待续.最后布置几道作业 ，看看大家对上面的内容消化得如何 1. 在规则“F:*.*  不允许”下，下面那些文件不能被打开？A:F:a.exeB.F:Folder.1b.exeC.F:Folder1Folder.2C.txtD.F:Folder1Folder.2Folder.3d

31、.exe2. 在以管理员身份登陆的情况下，建立规则如下：%Temp%                                                            &

32、#160;                           受限的%USERPROFILE%Local SettingsTemporary Internet Files                         不允许的%ProgramFiles%Intern

33、et Exploreriexplore.exe                                                 基本用户%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

34、Shell FoldersDesktop%  不受限的在这四条规则下，假设这样的情况：那么test2.exe的访问令牌为：A.不受限的        B.不允许的      C.基本用户       D.受限的3. 试说出 F:win* 和 F:win* 的区别4. 若想限制QQ的行为，例如右下方弹出的广告，并不允许QQ调用浏览器，可以怎么做？答对两题即及格。不过貌似还是有些难度 本帖最后由 深红的雪 于

35、2008-12-20 18:48 编辑 规则部分基础部分，如何建立规则：首先，打开组策略开始-运行，输入 “gpedit.msc”（不包含引号）并回车。在弹出的对话框中，依次展开 计算机配置-Windows设置-安全设置-软件限制策略如果你之前没有配置过软件限制策略，那么可以在菜单栏上选择 操作-创建新的策略如图 然后转到“其它规则”项，在菜单栏选择“操作”，在下拉菜单选择“新路径规则”在弹出的对话框中，就可以编辑规则了 华丽丽的分割线软件限制策略的其实并不复杂，在规则设置上是十分简单的，只有五个安全级别，你要做的就只是写一条路径，然后选择一个安全等级，这样就完成

36、了一条规则的设置了，不像HIPS那样，光AD部分就细分成N项。但软件限制策略的难点在于：如何确保你的规则真正有效并按你的意愿去工作，即如何保证规则的正确性和有效性。从四道题目的答对率来看，发现问题还是不少的 附上题目的参考答案1.D考点：注2、注4、注7这题的C选项是陷阱，因为TXT文件不在规则的阻挡范围之内。D项参考注7，F:Folder1Folder.2Folder.3 （注意“.”）正好能匹配 F:*.*，因此Folder.3下面的EXE文件不能被打开2.D说明：此题的考点为“AD权限的分配/最低权限原则”我们先整理一下父子进程的关系：iexplore.exe -> te

37、st.exe -> test2.exe（基本用户）    （受限的）  （受限的）其中，test.exe从Temp目录启动，受规则“%Temp%  受限的”的限制，其权限降为“受限的”。test2.exe从桌面启动，虽然桌面的程序是不受限的，但由于其父进程为test.exe，故继承test.exe的权限，故test2.exe的最终获得访问令牌还是“受限的”另外要注意的是，复制、创建文件等操作都不会构成权限的继承3.考点：注1、注3、综合分析说明：F:win* 和 F:win* 仅相差一个字符 “”，由注1可知，* 并不包括斜杠。

38、那么斜杠“”在这里的作用是什么？实际上，这个斜杠在规则中的作用相当于声明斜杠前的路径指的是目录，而不是文件，注意到这点后，就可以看出区别了：F:win* 既可以匹配到 F:windows、F:windir、F:winrar等目录，也可以匹配到F:winrar.exe、F:winNT.bat等文件而F:win* 仅能匹配到目录4.考点：NTFS权限此题答案不唯一，只要是合理可行的方案即可下面答案仅供参考：限制QQ的行为，可以把QQ设为基本用户。防止QQ广告，可以对Tencent下的AD目录调整NTFS权限取消Users组的创建、写入权限不允许QQ调用浏览器，可以对IE调整NTFS权限取消User

39、s组的“读取和运行”的权限 参考答案.rar (1019 Bytes, 下载次数: 511) 下面将详细讨论规则部分一、再次强调一下通配符的使用Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个或0个字符在组策略中*不包括斜杠，这和HIPS是不同的，一定要注意例如：C:Windowssystem32 可以表示为 *system32而以下的表达式都是无效的：*system32 、system32*、system32二、根目录规则软件限制策略对初学者来说有一定的难度，因为它没有HIPS那么丰富的功能选项，故利用规则实现某一功能需要一定的技巧。根

40、目录规则就是一例（禁止在某个目录的根目录下的程序行为）若在EQ中，设置规则时取消“包含该目录下面的所有文件”选项就可以保证规则仅对根目录起效而组策略却不是那么简单就可以做到。看看下面的规则：C:Program Files*.* 不允许的前面已经提过，* 不包含斜杠，因此这个规则可视为Program Files的根目录规则。在此规则下，形如 C:Program Filesa.exe 等程序将不能启动。但这规则可能导致一些问题，因为通配符即可以匹配到文件，也可以匹配到文件夹。如果Program Files存在带有“.”的目录（形如C:Program FilesTTplayer5.2），一样可以和规

41、则 C:Program Files*.* 匹配，这将导致该文件夹下的程序无法运行，造成误伤。改进一下的话，可以用两条规则来实现根目录限制如C:Program Files     不允许的C:Program Files*  不受限的这样就保证了子目录的程序不受规则影响三、一些规则的模板根目录规则：                           

42、                     某目录* + 某目录*目录规则（包含目录中所有文件）：             某目录* 或 某目录 或 某目录含“*”的目录规则：                        

43、;            某目录*   （注意要加上斜杠“”）文件型规则：                                                a.exe

44、 、*.com 等绝对路径规则：                                            如 C:Windowsexplorer.exe全局型规则：              &#

45、160;                                *这里需要说明的是，为什么全局型规则要使用“*”？因为 * 属于仅有通配符的规则，其覆盖范围是最大的，而优先级是最低的，不会遗漏，便于排除，最适合作为全局规则。对比“*.*”，一个字符“.”的存在使规则的优先级提高了，这将会给排除工作带来不便四、规则实例1. 保证上网安全很多人问，浏览毒网时，病毒会下载到什

46、么位置执行？首先是，下载到网页缓存中（Content.IE5），这点很多人都注意到了。不过呢，病毒一般却不会选择在缓存中执行，而是通过浏览器复制病毒文件到其它目录，例如Windows。system32、Temp，当前用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其公有子目录、浏览器所在目录等所以在这里再重复一次已说过N次的话，不要以为把缓存目录设为不允许的就万事大吉了。 至于防范，比较好的方法就是禁止浏览器在敏感位置新建文件，这点使用“浏览器基本用户”就可以做到，规则如下%ProgramFiles%Internet Exploreriexplore.exe 

47、; 基本用户如果使用的是其它浏览器，也可以设成 基本用户若配合以下规则，效果更佳：*Documents and Settings  不允许的       程序一般不会从Documents and Settings中启动%ALLAPPDATA%*          不受限的       允许程序从Application Data的子目录启动%APPDATA%       

48、60;            不允许的       当前用户的Application Data目录限制%APPDATA%*                  不受限的       允许程序从Application Data的子目录启动%SystemDrive%*.*      &

49、#160;      不允许的       禁止程序从系统盘根目录启动%Temp%                            不受限的       允许程序从Temp目录启动，安装软件必须%TMP%           

50、0;                  不受限的       同上并设置用户变量Temp的NTFS权限：Temp的默认路径为 Documents and SettingsAdministratorLocal SettingsTemp在系统盘格式为NTFS的情况下，右击Temp文件夹，选择“安全”项，取消Users组的“读取与运行”权限即可。（同时要取消Everyone组的访问权，且保证Administrators组具有完全访问权限）如此

51、设置的作用是：基本用户下的程序将无法从Temp文件夹运行程序2.U盘规则比较实际的做法是U盘:*        不允许的、不信任的、受限的，都可以不允许的安全度更高一些，这样也不会影响U盘的一般使用（正常拷贝、删除等）假设你的U盘一般盘符是I，那么规则可以写成：I:*  不允许的3.双后缀文件防范规则以下是微软的帮助：  有些文件下载起来比程序或宏文件更安全，例如文本 (.txt) 或图像 (.jpg, .gif, .png) 文件。但是，仍然要警惕未知的来源，因为已知这些文件中的一些文件使用了

52、特意精心设计的格式，可以利用计算机系统的漏洞。双后缀文件可能的形式比较多，这里仅放出谍照一张 4.全局规则就一条：*    基本用户如果设成受限的或者不信任/不允许的话，无疑会更安全，但也会带来一些不便。综合考虑还是基本用户比较适合在全局规则下，肯定需要对合法的程序进行排除的。在排除的时候，你就会发现使用 * 作为全局规则的优越性了任何一条规则的优先级都比它高，所以我们可以很方便地进行排除。为了减少排除的工作量，这里建议大家把软件集中安装在少数的目录，例如ProgramFiles目录，那么排除时就可以对整个目录进行，不必慢慢添加示例排除规则：%ProgramFil

53、es%  不受限的         （软件所在目录）*ApplicationSetups   不受限的  （安装软件用的文件夹）还要排除一些文件格式，以使其被正常打开：*.lnk            不受限的*.ade           不受限的*.adp      

54、0;    不受限的*.msi           不受限的*.msp           不受限的*.chm           不受限的*.hlp           不受限的*.pcd      

55、0;    不受限的5. 其它辅助规则CMD限制策略：%Comspec%   基本用户注意：在组策略中，微软把cmd.exe和批处理是分开处理的，即使把cmd设成“不允许的”，仍然可以运行.bat等批处理由于桌面一般只放快捷方式，所以%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersDesktop%  不允许的同时要让快捷方式能够正常工作：*.lnk     不受限的计划任务功能很少

56、会用到，所以%SystemRoot%task    不允许的帮助文件阅读器的管制策略：%WinDir%hh.exe    基本用户  （防范CHM捆毒）%WinDir%winhelp.exe    基本用户%WinDir%winhlp32.exe    基本用户脚本宿主管制%WinDir%system32?script.exe  受限的（或者直接不允许）一些不会有程序启动的位置、一些极少用到的系统程序，你不用但病毒会用，所以建议禁止.规则可以有很多，大可自己发挥，放出图一张：

57、 禁止伪装系统程序如：lsass.exe                  不允许的%WinDir%system32lsass.exe   不受限的剩下的规则就留给各位自由发挥了 华丽丽的分割线，怎么? 不够华丽？至此，教程完毕 组策略规则发布：根据防入口和全局防护的思路，做了两套规则简单规则和全局规则 如果你没有看前面冗长的教程的话，那么至少请记住一点：如果使用这些规则而出现“某某文件夹无法访问”、“磁盘

58、空间不够或磁盘不可写”、“软件运行错误”之类的问题的话，请调整对应文件夹或者文件的NTFS权限（设置成允许Users访问，也可以干脆设置成Users完全访问）简单规则说明：以基本用户限制主流浏览器Avant.exe Brexpo.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe miniie.exe netscape.exe opera.exe Orca.exe realplay.exe Safari.exe SeaMonkey.exe Sleipnir.ex

59、e theworld.exe TTraveler.exe限制或禁用一些不常用的系统程序禁止程序从U盘启动（需要手动修改一下规则）全局规则说明：采用全局基本用户并加入了数目可观的系统程序白名单默认排除（不受限的）的目录、程序有：1.所有分区根目录下的Program Files文件夹  请把软件安装在此目录中，或者另外进行目录排除2.所有分区根目录下的“安装程序”文件夹   请从此目录安装程序，或者另外进行目录排除3.所有分区根目录下的“信任目录”文件夹4.System32下的系统运行必须的程序以基本用户限制的主流浏览器Avant.exe Brex

60、po.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe miniie.exe netscape.exe opera.exe Orca.exe realplay.exe Safari.exe SeaMonkey.exe Sleipnir.exe theworld.exe TTraveler.exe另外提醒一下，大家在设置规则时，注意要考虑以下4条系统默认规则的影响：%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

61、NTCurrentVersionSystemRoot% 路径 不受限的  %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%*.exe 路径 不受限的  %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32*.exe 路径 不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramF

62、ilesDir% 路径 不受限的相当于规则：%SystemRoot% 不受限的                   整个Windows目录不受限%SystemRoot%*.exe 不受限的             Windows下的exe文件不受限%SystemRoot%System32*.exe 不受限的   System32下的exe文件不受限%ProgramFiles%&

63、#160;   不受限的             整个ProgramFiles目录不受限规则已做成安装包，程序会提示输入可移动设备盘符，一般直接按“确定”即可简单规则和全局规则之间可以方便地进行转换_若需要取消所有规则，执行“还原软件限制策略”附件中的批处理即可规则可能还不是很完善，欢迎测试和反馈意见 本帖最后由 深红的雪 于 2008-11-14 19:40 编辑 简单规则.rar19.35 KB, 下载次数: 3356全局规则.rar33.08 KB, 下载次数: 3397还原软件

64、限制策略.rar181 Bytes, 下载次数: 2793本文来自：一些值得参考的回帖4#板凳坐着慢慢看。教程有了。 规则呢简单规则：名称 类型 安全级别 描述 上一次修改日期%APPDATA% 路径 不允许的 禁止从当前用户下的Application Data根目录启动文件 2008-3-4  0:34:14%APPDATA%* 路径 不受限的 允许从Application Data的子目录中启动文件 2008-3-4  0:33:21%CommonProgramFiles%*.* 路径 不允许的 CommonProgramFiles根目录文

65、件管制 2008-2-14  18:33:21%CommonProgramFiles%DESIGNER 路径 不允许的  2000-2-25  21:27:54%CommonProgramFiles%Microsoft Shared*.* 路径 不允许的  2000-2-25  21:28:05%CommonProgramFiles%Microsoft SharedMSInfo 路径 不允许的  2000-2-25  21:28:09%CommonProg

66、ramFiles%MSSoap 路径 不允许的  2000-2-25  21:28:14%CommonProgramFiles%ODBC 路径 不允许的  2000-2-25  21:28:25%CommonProgramFiles%Services 路径 不允许的  2000-2-25  21:28:30%CommonProgramFiles%SpeechEngines 路径 不允许的  2000-2-25  21:28:35%CommonProgramFiles%System 路径 不允许的  2000-2-25  21:28:39%ComSpec% 路径 基本用户 Cmd.exe基本用户限制 2000-3-2  20:44:49%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplo