组策略软件限制策略

1、组策略软件限制策略组 策 略 一 一 软 件 限 制 策 略导读实际上，本教程主要为以下内容：理论部分：1 .软件限制策略的路径规则的优先级问题2 .在路径规则中如何使用通配符3 .规则的权限继承问题4 .软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限规则部分：5 .如何用软件限制策略防毒（也就是如何写规则）6 .规则的示例与下载理论部分软件限制策略包括证书规则、散列规则、Internet区域规则和路径规则。我们主要用 到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的 策略规则，若没有特别说明，则直接指

2、路径规则。一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE%?表示 C:Documents and Settings'当前用户名%HOMEPATH% 表示 C:Documents and Settings'当前用户名%ALLUSERSPROFILE%?表示 C:Documents and SettingsAll Users%ComSpec% 表示 C:WIND0WSSystem32%APPDATA%?表示 C:Documents and Settings'当前用户名'Application Data%ALLAPPDATA%?表

3、示 C:Documents and SettingsAll UsersApplication Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMR00T%?表示 C:WIND0WS%WINDIR% 表示 C:WIND0WS%TEMP% 和 %TMP%?表示 C:Documents and Settings'当前用户名LocalSettingsTemp%ProgramFiles% 表示 C: Program Files%CommonProgramFiles% 表示 C:Program FilesCommon Files关于通配符：Windows

4、里面默认* ：任意个字符（包括0个），但不包括斜杠：1个或0个字符几个例子*Windows匹配C:Windows、D:Windows、E:Windows以及每个目录下的所有子文件 夹。C:win*匹配C:winnt、C:windows、C:windir以及每个目录下的所有子文件夹。*. vbs匹配Windows XP Professional中具有此扩展名的任何应用程序。C:Application Files*. *匹配特定目录(Application Files)中的应用程序文件，但不包括Application Files的子目录关于优先级：1 .绝对路径 > 通配符相对路径如 C：W

5、indows > *Windows2 .文件型规则目录型规则如若在Windows目录中，那么 > C:Windows3 .环境变量二相应的实际路径二注册表键值路径如 %ProgramFiles% = C：Program Files二 %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFiles Dir%4 .散列规则比任何路径规则优先级都高总的来说，就是规则越匹配越优先注：1. 通配符*并不包括斜杠o例如*WINDOW'S匹配C:Windows,但不匹配C:SandboxWINDOWS2. *和*

6、是完全等效的，例如*abc = *abc3. C：abc* 可以直接写为C：abc或者C:abc,最后的*是可以省去的，因为 软件限制策略的规则可以直接匹配到目录。4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如*. txt不允许的，这 样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型，列表中。5. *和*.*是有区别的，后者要求文件名或路径必须含有而前者没有此限制，因 此，*.*的优先级比*的高6. ：*与：*.*是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹， 简单说，就是整个硬盘；而：'*.*仅包括所有分区下的带“.”的文件或目录，一般情况

7、下，指的就是各盘根目录下的文件。那非一般情况是什么呢请参考第7点7. ：*.*中的一可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定 是文件，可以是文件夹。例如F:, 一样符合：*.*,所以规则对F:下的所有文件及 子目录都生效。8. 这是很多人写规则时的误区。首先引用组策略软件限制策略规则包编写之菜鸟入门 （修正版）里的一段：引用：4、如何保护上网的安全在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运 行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵 %SYSTEMROOT%tasks*. *不允许的（这个是计划任务，病毒

8、藏身地之一） %SYSTEMROOT%Temp*. * 不允许的%USERPROFILE%Cookies*. * 不允许的%USERPROFILE%Local Settings'*'*.*不允许的 （这个是IE缓存、历史记录、临 时文件所在位置）说实话，上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全，实际上这几条规则在设置时就犯了一些错误例如：%USERPROFILE%Local Settings、*. * 不允许的可以看出，规则的原意是阻止程序从Local Settings （包括所有子目录）中启动现在大家不妨想想这规则的实际作用是什么？先参考注1和注2,

9、*和*是等同的，而且不包含字符所以，这里规则的实际效 果是“禁止程序从Local Settings文件夹的一级子目录中启动，不包括Local Settings根目录，也不包括二级和以下的子目录。现在我们再来看看Local Settings的一级子目录有哪些：Temp、Temporary Internet Files、 Application Data、 Historyo阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装那么，阻止程序从Temporary Internet Files根目录启动又如何呢？实际上，由于IE的缓存并不是存放Temporary Internet Files

10、根目录中，而是存于 Temporary Internet Files的子目录的子目录里1 I）,所以这种写法根本不能阻 止程序从IE缓存中启动，是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动，正确的写法应该是：某目录*某目录* 某目录某目录9.引用:不允许的这是流传的所谓防U盘病毒规则，事实上这条规则是没有作用的，关于这点在 已经作了分析二.软件限制策略的3D的实现：“软件限制策略本身即实现AD,并通过NTFS权限实现FD,同时通过注册表权限实现RD,从而完成3D的部署”对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微 软内置的规则，即使我们修改“用户权

11、限指派'项的内容，也无法对软件限制策略中的安 全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预 而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部 分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表权 限来配置FD和RD,这就比AD部分要灵活得多。小结一下，就是AD用户权利指派FDXTFS权限RD注册表权限先说AD音R分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受 限的、基本用户、受限的、不信任的、不允许的。不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软件访问权由用户

12、的访问权来决定”，即继承父进程的权限。基本用户，基本用户仅享有“跳过遍历检查，的特权，并拒绝享有管理员的权限。受限的，比基本用户限制更多，也仅享有“跳过遍历检查”的特权。不信任的，不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。不允许的，无条件地阻止程序执行或文件被打开很容易看出，按权限大小排序为不受限的基本用户 受限的不信任的 > 不允许的其中，基本用户、受限的、不信任的这三个安全等级是要手动打开的具体做法：打开注册表编辑器，展开至HKEY_LOCALJIACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifier

13、s 新建一个DOWRD,命名为Levels,其值可以为0x10000不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限2.“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限字，该程序所获得的访问 令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。权限的分配与继承：这里的讲解默认了一个前提：假设你的用户类型是管理员。在没有软件限制策略的情况下，很简单，如果程序a启动程序b,那么a是b的父进程

14、，b继承a的权限现在把a设为基本用户，b不做限制（把b设为不受限或者不对b设置规则效果是一样的）然后由a启动b,那么b的权限继承于a,也是基本用户，即：a （基本用户）-> b （不受限的）二b （基本用户）若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即a （不受限的）-> b （基本用户）二b （基本用户）可以看到，一个程序所能获得的最终权限取决于：父进程权限和规则限定的权限的最低等级，也就是我们所说的最低权限原则举一个例：若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果一一即

15、使IE下载病毒并执行7,病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只 剩下尸体了。甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的 机会。FD ： NTFS 权限*要求磁盘分区为NTFS格式*其实Microsoft Windows的每个新版本都对NTFS文件系统进行了改进。NTFS的默认 权限对大多数组织而言都已够用。NTFS权限的分配1 .如果一个用户属于多个组，那么该用户所获得的权限是各个组的叠加2 . “拒绝”的优先级比“允许”要高例如：用户A同时属于Administrators和Everyone组，若Administrator

16、s组具有完 全访问权，但Everyone组拒绝对目录的写入，那么用户A的实际权限是：不能对目录 写入，但可以进行除此之外的任何操作高级权限名称描述（包括了完整的FD和部分AD）引用:遍历文件夹/运行文件（遍历文件夹可以不管，主要是“运行文件，若无此权限则不能 启动文件，相当于AD的运行应用程序）允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍 历文件夹的权限（仅适用于文件夹）。列出文件夹/读取数据允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内 容，而不影响您对其设置权限的文件夹是否会列出（仅适用于文件夹）。读取属性（FD的读取）允许或拒

17、绝查看文件中数据的能力（仅适用于文件）。读取扩展属性允许或拒绝用户查看文件或文件夹属性（例如只读和隐藏）的请求。属性由NTFS定义。创建文件/写入数据（FD的创建）“创建文件”允许或拒绝在文件夹中创建文件（仅适用于文件夹）。“写入数据”允许或拒 绝对文件进行修改并覆盖现有内容的能力（仅适用于文件）。创建文件夹/追加数据“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求（仅适用于文件夹）。“追加数据“允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力（仅 适用于文件）。写入属性（即改写操作了，FD的写）允许或拒绝用户对文件末尾进行更改，而不更改、删除或覆盖现有数据的请求（仅适

18、用于文件）。即写操作写入扩展属性允许或拒绝用户更改文件或文件夹属性（例如只读和隐藏）的请求。属性由NTFS定义。删除子文件夹和文件（FD的删除）允许或拒绝删除子文件夹和文件的能力，即使子文件夹或文件上没有分配“删除”权限 （适用于文件夹）。删除（与上面的区别是，这里除了子目录及其文件，还包括了目录本身）允许或拒绝用户删除子文件夹和文件的请求，即使子文件夹或文件上没有分配“删除”权 限（适用于文件夹）。读取权限（XTFS权限的查看）允许或拒绝用户读取文件或文件夹权限（例如“完全控制”、“读取"和“写入”）的请求。更改权限（VTFS权限的修改）允许或拒绝用户更改文件或文件夹权限（例如“完

19、全控制'、“读取”和“写入”）的请求。取得所有权允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。以基本用户为例，基本用户能做什么？在系统默认的NTFS权限下，基本用户对系统变量和用户变量有完全访问权，对系统文件夹只读，对Program Files的公共文件夹只读，Document and Setting下，仅对当前 用户目录有完全访问权，其余不能访问如果觉得以上的限制严格了或者宽松了，可以自行调整各个目录和文件的NTFS权限。如果发现浏览器在基本用户下无法使用某些功能的，很多都是由于NTFS权限造成的，可以尝试调整

20、对应的NTFS权限基本用户、受限用户属于以下组UsersAuthenticated UsersEveryoneINTERACTIVE但受限用户权限更低，无论NTFS权限如何，受限用户始终受到限制。调整权限时，主要利用到的组为Users例：对用户变量Temp目录进行设置，禁止基本用户从该目录运行程序，可以这样做：首先进入“高级”选项，取消勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目（D”然后设置Users的权限如图这样基本用户下的程序就无法从Temp启动文件了注意：1 .不要使用“拒绝.，不然管理员权限下的程序也会受影响2 . everyone组的权限适用于任何人、

21、任何程序，故everyone组的权限不能太高，至少 要低于Users组其实利用NTFS权限还可以实现很多功能又例如，如果想保护某些文件不被修改或删除，可以取消Users的删除和写入权限，从 而限制基本用户，达到保护重要文件的效果当然，也可以防止基本用户运行指定的程序以下为微软建议进行限制的程序：RD吾R分：注册表权限。由于微软默认的注册表权限分配已经做得很好了，不 需要作什么改动，所以这里就直接略过了三.关于组策略规则的设置规则要顾及方便性，因此不能对自己有过多的限制，或者最低限度地，即使出现限制的 情况，也能方便地进行排除规则要顾及安全性，首先要考虑的对象就是浏览器等上网类软件和可移动设备所

22、带来的威胁。没有这种防外能力的规则都是不完整或者不合格的基于文件名防病毒、防流氓的规则不宜多设，甚至可以舍弃。一是容易误阻，二是病毒名字可以随便改，特征库式的黑名单只会跟杀软的病毒库一样 滞后。于是，我们有两种方案：如果想限制少一点的，可以只设防“入口”规则，主要面向U盘和浏览器如果想安全系数更高、全面一点的，可以考虑全局规则+白名单您要看的图片来自 http:/bbs. K卡阪论抵最后布置几道作业“帅才J， "、业川 ，看看大家对上面的内容您要看的图片来自liltp:/bbs. kafan. cn太卡海论坛消化得如何 无助分w人代训和1 .在规则“F:*. *不允许”下，下面那些文

23、件不能被打开？A:F: ： ：Folderl:Folderl2 .在以管理员身份登陆的情况下，建立规则如下：%Temp% 受限的%USERPROFILE%Loca1 SettingsTemporary InternetFiles不允许的%ProgramFiles%Internet Explorer 基本用户%HKEY_CURREXT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersDesktop% 不受限的在这四条规则下，假设这样的情况：下载一个到Temporary Internet Files目录，然后复制到Temp

24、目录，再从Temp目录 中运行，（复制和运行的操作都是IE在做），然后由释放到桌面，并运行。那么的访问令牌为：A.不受限的B.不允许的 C.基本用户 D.受限的3 .试说出F:win*和F:win*的区别4 .若想限制QQ的行为，例如右下方弹出的广告，并不允许QQ调用浏览器，可以怎么 做？您要看的图片来自http:/bbs. kafan. cn除卡阪也位答对两题即及格。不过貌似还是有些难度互助分享 人气建和规则部分基础部分，如何建立规则：首先，打开组策略开始-运行，输入（不包含引号）并回车。在弹出的对话框中，依次展开 计算机配置-Windows设置-安全设置-软件限制策略如果你之前没有配置过软

25、件限制策略,那么可以在菜单栏上选择操作-创建新的策略如图然后转到“其它规则。项，在菜单栏选择“操作”，在下拉菜单选择“新路径规则”在弹出的对话框中，就可以编辑规则了华卵丽的分割线软件限制策略的其实并不复杂，在规则设置上是十分简单的，只有五个安全级别，不像HIPS那样，光AD部分就细分成'项。但软件限制策略的难点在于：如何确保你的规则真正有效并按你的意愿去工作，即如何 保证规则的正 确性和有效性。附上题目的参考答案考点：注2、注4、注7这题的C选项是陷阱，因为TXT文件不在规则的阻挡范围之内。D项参考注7, F:FolderlW （注意正好能匹配F: *. *,因此下面的EXE文 件不能

26、被打开说明：此题的考点为“AD权限的分配/最低权限原则"我们先整理一下父子进程的关系：-> ->（基本用户）（受限的）（受限的）其中，从Temp目录启动，受规则fbTemp%受限的”的限制，其权限降为“受限的，从桌面启动，虽然桌面的程序是不受限的，但由于其父进程为，故继承的权限，故的 最终获得访问令牌还是“受限的,另外要注意的是，复制、创建文件等操作都不会构成权限的继承3 .考点：注1、注3、综合分析说明：F:win*和F：win*仅相差一个字符由注1可知，*并不包括斜杠。那 么斜杠T在这里的作用是什么？实际上，这个斜杠在规则中的作用相当于声明斜杠前的路径指的是目录，而不

27、是文件， 注意到这点后，就可以看出区别了 ：F:win*既可以匹配到F:windows、F:windir、F： winrar等目录，也可以匹配到 F:、F:等文件而F：win*仅能匹配到目录4 .考点:NTFS权限此题答案不唯一，只要是合理可行的方案即可下面答案仅供参考：限制QQ的行为，可以把QQ设为基本用户。防止QQ广告，可以对Tencent下的AD目录调整NTFS权限一一取消Users组的创建、写入权限不允许QQ调用浏览器，可以对IE调整NTFS权限一一取消Users组的”读取和运行的权限下面将详细讨论规则部分一、再次强调一下通配符的使用Windows里面默认* ：任意个字符（包括0个），

28、但不包括斜杠：1个或0个字符在组策略中*不包括斜杠，这和HIPS是不同的，一定要注意例如：C： Windowssystem32 可以表示为 *system32而以下的表达式都是无效的：*system32 、 system32*s system32二、根目录规则软件限制策略对初学者来说有一定的难度，因为它没有HIPS那么丰富的功能选项，故利用规则实现某一功能需要一定的技巧。根目录规则就是一例(禁止在某个目录的根目录下的程序行为)若在EQ中，设置规则时取消“包含该目录下面的所有文件”选项就可以保证规则仅对根目4-1 4二录起效而组策略却不是那么简单就可以做到。看看下面的规则：引用：C：Progra

29、m Files、*.* 不允许的前面已经提过，*不包含斜杠，因此这个规则可视为Program Files的根目录规则。在 此规则下，形如C：Program Files等程序将不能启动。但这规则可能导致一些问题，因为通配符即可以匹配到文件，也可以匹配到文件夹。如果Program Files存在带有的目录(形如C:Program Files'),一样可以和规则 C:Program Files*. *匹配，这将导致该文件夹下的程序无法运行，造成误伤。改进一下的话，可以用两条规则来实现根目录限制如引用:C:Program Files不允许的C: Program Files*不受限的这样就保证了

30、子目录的程序不受规则影响三、一些规则的模板根目录规 则：某目录* +某目录*目录规则（包含目录中所有文件）：某目录*或某目录或某目某目含“k的目录规则： 录*、（注意要加上斜杠“V）文件型规 则：绝对路径规 则：如 C:Windows全局型规 则：*这里需要说明的是，为什么全局型规则要使用“X ?因为*属于仅有通配符的规则，其覆盖范围是最大的，而优先级是最低的，不会遗漏，便于排除，最适合作为全局规则。对比一个字符一的存在使规则的优先级提高了，这将会给排除工作带来不便四、规则实例1.保证上网安全很多人问，浏览毒网时，病毒会下载到什么位置执行？首先是，下载到网页缓存中0 ,这点很多人都注意到了。不

31、过呢，病毒一般却不会选择在缓存中执行，而是通过浏览器复制病毒文件到其它目录，例如Windows。system32s Temp, 当前用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其公有子目录、浏览器所在 目录等所以在这里再重复一次已说过N次的话，不要以为把缓存目录设为不允许的就万事大吉您要看的图片来自http:/bbs. kafan. cn长卡阪也位7互叨分学 人气谨和至于防范，比较好的方法就是禁止浏览器在敏感位置新建文件，这点使用“浏览器基本用户”就可以做到，规则如下引用:%ProgramFiles%Internet Explorer基本用户如果使用的是其它浏览器，也可以设

32、成基本用户若配合以下规则，效果更佳:程序一般不会从Documents and*Documents and Settings不允许的Settings中启动%ALLAPPDATA%*不受限的允许程序从Application Data的子目录%APPDATA%不允许的当前用户的ApplicationData目录限制%APPDATA%*不受限的允许程序从ApplicationData的子目录启动%SystemDrive%*. *不允许的禁止程序从系统盘根目录启动%Temp%不受限的允许程序从Temp目录启动，安装软件必须不受限的并设置用户变量Temp的NTFS权限：Temp 的默认路径为 Docume

33、nts and SettingsAdministratorLocal SettingsTemp在系统盘格式为NTFS的情况下，右击Temp文件夹，选择“安全”项，取消Users组的“读 取与运行”权限即可。（同时要取消Everyone组的访问权，且保证Administrators组具有完全访 问权限）如此设置的作用是：基本用户下的程序将无法从Temp文件夹运行程序盘规则比较实际的做法是引用：U盘:*不允许的、不信任的、受限的，都可以不允许的安全度更高一些，这样也不会影响U盘的一般使用（正常拷贝、删除等）假设你的U盘一般盘符是I,那么规则可以写成：引用：I：*不允许的3 .双后缀文件防范规则以下

34、是微软的帮助：引用：注意某些病毒使用的文件具有两个扩展名以使得危险文件看起来像安全的文件。例如，或。最后面的扩展名是Windows将尝试打开的扩展名。具有两个扩展名的合法文件非常少，因此避免下载或打开这种类型的文件。有些文件下载起来比程序或宏文件更安全，例如文本(.txt)或图像(.jpg, . gif, . png)文件。但是，仍然要警惕未知的来源，因为已知这些文件中的一些文件使用了特意精心设计的格式，可以利用计算机系统的漏洞。双后缀文件可能的形式比较多，这里仅放出谍照一张4 .全局规则就一条：引用：*基本用户如果设成受限的或者不信任/不允许的话，无疑会更安全，但也会带来一些不便。综合考虑还

35、是基本用户比较适合在全局规则下，肯定需要对合法的程序进行排除的。在排除的时候,你就会发现使用水作为全局规则的优越性了一一任何一条规则的优先级都比它高，所以我们可以很方便地进行排除。为了减少排除的工作量，这里建议大家把软件集中安装在少数的目录，例如ProgramFiles 目录，那么排除时就可以对整个目录进行，不必慢慢添加示例排除规则：引用：%ProgramFiles%不受限的（软件所在目录）*ApplicationSetups不受限的（安装软件用的文件夹）还要排除一些文件格式，以使其被正常打开：引用:*. Ink不受限的*. ade不受限的*. adp不受限的*. msi不受限的*. msp不

36、受限的*. chm不受限的*. hip不受限的*. ped不受限的5 .其它辅助规则CMD限制策略：引用：%Comspec%基本用户注意：在组策略中，微软把和批处理是分开处理的，即使把cmd设成“不允许的”，仍然 可以运行.bat等批处理由于桌面一般只放快捷方式，所以 引用:%HKEY_CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersDesktop%不允许的同时要让快捷方式能够正常工作： 引用:*. Ink不受限的计划任务功能很少会用到，所以引用：%SystemRoot%task 不允许的帮助文件阅读器的管制策略： 引用:%WinDir%基本用户（防范CHM捆毒）%WinDir