要设置组策略

1、.：.；要设置组战略，先了解下系统环境变量和通配符，以及优先级环境变量在C盘为系统盘的情况下： %USERPROFILE%表示 C:Documents and Settings当前用户名 这个文件夹%ALLUSERSPROFILE%表示 C:Documents and SettingsAll Users%APPDATA%表示 C:Documents and Settings当前用户名Application Data%ALLAPPDATA%表示 C:Documents and SettingsAll UsersApplication Data%SYSTEMDRIVE% 表示 C:%HOMEDRI

2、VE%表示C:%SYSTEMROOT%表示 C:WINDOWS%WINDIR%表示 C:WINDOWS%TEMP% 和 %TMP%表示 C:Documents and Settings当前用户名Local SettingsTemp%ProgramFiles%表示 C:Program Files%CommonProgramFiles%表示 C:Program FilesCommon Files通配符 ?-表示恣意单个字符 *-恣意个字符包括0个，但不包括斜杠*或*?- 表示零个或多个含有反斜杠的字符,即包含子文件夹 这里是网上的例子：*Windows 匹配 C:Windows、D:Windows

3、、E:Windows 以及每个目录下的一切子文件夹。C:win* 匹配 C:winnt、C:windows、C:windir 以及每个目录下的一切子文件夹。*.vbs 匹配 具有此扩展名的任何运用程序。C:Application Files*.* 匹配特定目录Application Files中的运用程序文件，但不包括Application Files的子目录途径规那么优先级:1.绝对途径 通配符相对途径 如 C:Windowsexplorer.exe *Windowsexplorer.exe 2.文件型规那么 目录型规那么 如假设a.exe在Windows目录中，那么 a.exe C:Win

4、dows注：如何区分文件规那么和目录规那么？不严厉地说，其区分标志为字符“.。例如, *.* 就比 C:WINDOWS 的优先级要高，假设要排除WINDOWS根目录下的程序，就需求这样做 C:WINDOWS*.*而严厉的说法是，只需规那么中的字符可以匹配到文件名中，那么该规那么就是文件型规那么，否那么为目录型规那么。3.环境变量 = 相应的实践途径 = 注册表键值途径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.假设两

5、条规那么途径等效，那么合成的结果是：从严处置，以最低的权限为准。如“C:Windowsexplorer.exe 不受限的 + “C:Windowsexplorer.exe 不允许的 结果为“C:Windowsexplorer.exe 不允许的总的来说，就是途径越明显详细，该规那么就越优先上面这些了解了以后，我们翻开组战略编辑器 HYPERLINK 0.JPG (51.19 K)2021-7-27 12:22:44 HYPERLINK 1.JPG (238.13 K)2021-7-27 12:22:444条默许规那么阐明整个Windows目录不受限Windows下的exe文件不受限System3

6、2下的exe文件不受限整个ProgramFiles目录不受限我们右键新建图中运用系统变量，而且是绝对途径，这样的规那么优先于下面的这种基于文件名的规那么这里举个例子阐明绝对途径的优先性假设我们只想运转系统盘SYSTEM32下的SVCHOST.exe(防止病毒从其它位置启动一个名为SVCHOST.exe的文件)就需求添加下面的两个途径规那么规那么1：%SYSTEMROOT%system32svchost.exe 或者C:WINDOWS system32svchost.exe不受限的 绝对途径,优先于下面的规那么 规那么2：Svchost.exe不允许的 基于文件名简单了解，规那么1是规那么2的例

7、外，对于Explorer.exe, lsass.exe 也需求这样对应设置，主要是途径，千万不要没有例外哦这样，我们可以利用基于文件名的规那么，限制一些仿冒的东西，如以下图留意不要限制*.*.exe这样的由于有些软件带有版本号，比如srengLDR2.0.exe这样就会导致正常软件不能运转限制双后缀的程序，要更加明确才行，最好是 *.jpg.exe这样添加或者 *.?.exe当然这样碰见这样的ice2.014.exe的正常程序也会限制小的我图省事，就把正常程序版本号的点去了。我用的就是*.*.exe途径规那么模板：假设要阻止程序从某个文件夹及一切子目录中启动，需求添加的规那么应为：某目录* 不

8、允许的某目录* 不允许的某目录 不允许的某目录 不允许的只限制某文件夹，不限制子目录，规那么为： HYPERLINK 2lujing.jpg (43.43 K)2021-7-27 12:22:44 HYPERLINK 3.JPG (154.78 K)2021-7-27 12:22:44 HYPERLINK 4.JPG (58.61 K)2021-7-27 12:22:44 HYPERLINK 5仿冒.JPG (94.40 K)2021-7-27 12:22:44某目录 不允许的某目录* 不受限的适用规那么方案义务制止：%SystemRoot%task 不允许的防止CHM协助 文档捆毒：%Win

9、Dir%hh.exe 受限的 %WinDir%winhelp.exe 受限的%WinDir%winhlp32.exe 受限的U盘规那么:U盘盘符:* 不允许的或不信任的或受限的证书规那么 没用过不说了散列规那么(校验和规那么) 通常用来阻止特定文件，主要原理是文件有一个散列值，经过这个，来限制病毒和木马运转我们可以去下载样本可别运转啊，在其它规那么中，新建散列规那么点击阅读，找到病毒执行文件，设置限制即可PS：猫叔的解释校验和规那么根据文件MD5值识别文件的规那么。一条校验和规那么对N个具有一样MD5值的文件均有效。途径规那么根据途径及文件名识别文件的规那么。普通一条明确指出详细途径及文件名的

10、途径规那么只对一个特定的文件有效。留意：1.“不允许的级别，他可以对一个设定成“不允许的文件进展读取、复制、粘贴、修正、删除等操作，组战略不会阻止，前提当然是他的用户级别拥有修正该文件的权限2.“不受限的级别，不等于完全不受限制，只是不受软件限制战略的附加限制受父进程权限的限制3.C:Windowssystem32GroupPolicyMachineRegistry.pol是我们的组战略配置文件，可以备份和共享给他人4.磁碟时机删除C:Windowssystem32GroupPolicy目录5.对于用户本人安装的软件的规那么，按情况添加看了很多地方的文章，虽然这些真的有点儿复杂，但是这些领会希望大家能明白组战略没有防备ARP等的措施，它只是辅助Windows本身既然有这些功能，为什么假设好好利用配合一下杀软？那么即可以加强平安防备，又处理了易用性，毕竟瑞星自动防御界面要友好简单得多在运用瑞星时，置信不是一切的人，对于这些“规那么是什么东西都非常清楚，学习组战