组策略之软件限制策略-完全教程与规则示例

1、Evaluation Warning: The document was created with Spire.Doc for .NET.组策略之软件限制策略完全教程与规则示例导读实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有

2、点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 HYPERLINK 一.环境变变量、通通配符和和优先级级关于环环境变量量（假定定系统盘盘为 CC盘） %USSERPPROFFILEE%表示 C:Doccumeentss annd SSetttinggs当当前用户户名 %HOMMEP

3、AATH% 表示示 C:Doocummentts aand Setttinngs当前用用户名%ALLLUSEERSPPROFFILEE%表示 C:Doccumeentss annd SSetttinggsAAll Useers%CommSpeec%表示示 C:WIINDOOWSSysstemm32cmdd.exxe %APPPDATTA%表示示 C:Doocummentts aand Setttinngs当前用用户名Apppliccatiion Datta %ALLLAPPPDATTA%表示示 C:Doocummentts aand SetttinngsAlll UsserssApppliic

4、attionn Daata %SYYSTEEMDRRIVEE% 表表示 CC:%HHOMEEDRIIVE% 表示 C:%SYSSTEMMROOOT%表示示 C:WIINDOOWS %WIINDIIR% 表表示 CC:WWINDDOWSS %TTEMPP% 和和 %TTMP%表表示 CC:DDocuumennts andd Seettiingss当前前用户名名Loocall SeettiingssTeemp %PrrogrramFFilees%表示示 C:Prrogrram Filles %CoommoonPrrogrramFFilees%表示示 C:Prrogrram FillesCommmo

5、nn Fiiless 关于于通配符符：Wiindoows里里面默认认* ：任意个个字符（包包括0个个），但但不包括括斜杠? ：11个或00个字符符几个例例子*Winndowws 匹匹配 CC:WWinddowss、D:Wiindoows、EE:WWinddowss 以及及每个目目录下的的所有子子文件夹夹。C:wiin* 匹配 C:winnnt、CC:wwinddowss、C:wiindiir 以以及每个个目录下下的所有有子文件件夹。*.vbbs 匹匹配 WWinddowss XPP Prrofeessiionaal 中中具有此此扩展名名的任何何应用程程序。CC:AAppllicaatioon

6、FFilees*.* 匹配特特定目录录（Apppliicattionn Fiiless）中的的应用程程序文件件，但不不包括AAppllicaatioon FFilees的子子目录关关于优先先级:11.绝对对路径 通通配符相相对路径径 如 C:Winndowwseexplloreer.eexe *Wiindoowsexpplorrer.exee22.文件件型规则则 目录型型规则 如若aa.exxe在WWinddowss目录中中，那么么 a.eexe CC:WWinddowss3.环环境变量量 = 相应的的实际路路径 = 注册册表键值值路径如如 %PProggrammFilles% = C:Pro

7、ograam FFilees = %HHKEYY_LOOCALL_MAACHIINESOFFTWAAREMiccrossofttWiindoowsCurrrenntVeersiionProograamFiilessDirr%4.散列规规则比任任何路径径规则优优先级都都高总的的来说，就就是规则则越匹配配越优先先注：1.通配符符 * 并不包包括斜杠杠 。例如*WINDOWS 匹配 C:Windows，但不匹配 C:SandboxWINDOWS2. * 和 * 是完全等效的，例如 *abc = *abc3. C:abc*可以直接写为 C:abc 或者 C:abc，最后的* 是可以省去的，因为软件限制

8、策略的规则可以直接匹配到目录。4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。 HYPERLINK 5. * 和 *.* 是有区区别的，后后者要求求文件名名或路径径必须含含有“.”，而而前者没没有此限限制，因因此，*.* 的优先先级比 * 的的高6. ?:* 与 ?:*.* 是截然然不同的的，前者者是指所所有分区区下的每每个目录录下的所所有子文文件夹，简简单说，就就是整个个硬盘；而 ?:*.* 仅包括括所有分分区下的的带“.”的文文件或目目录，一一般情况况下，指指的就是是各盘根根目录下

9、下的文件件。那非非一般情情况是什什么呢？请参考考第7点点7. ?:*.* 中的的“.” 可能使使规则范范围不限限于根目目录。这这里需要要注意的的是：有有“.”的的不一定定是文件件，可以以是文件件夹。例例如 FF:aab.cc，一样样符合 ?:*.*，所以以规则对对F:ab.c下的的所有文文件及子子目录都都生效。8.这是很多人写规则时的误区。首先引用组策略软件限制策略规则包编写之菜鸟入门（修正版）里的一段： 引用:4、如何保保护上网网的安全全 在浏浏览不安安全的网网页时，病病毒会首首先下载载到IEE缓存以以及系统统临时文文件夹中中，并自自动运行行，造成成系统染染毒，在在了解了了这个感感染途径径之

10、后，我我们可以以利用软软件限制制策略进进行封堵堵 %SSYSTTEMRROOTT%ttaskks*.* 不允许许的 （这这个是计计划任务务，病毒毒藏身地地之一） %SYYSTEEMROOOT%Teemp*.* 不允允许的 %USSERPPROFFILEE%CCookkiess*.* 不不允许的的 %UUSERRPROOFILLE%Loccal Setttinngs*.* 不允允许的（这这个是IIE缓存存、历史史记录、临临时文件件所在位位置）说实话，上上面引用用的部分分不少地地方都是是错误的的先不谈谈这样的的规则能能否保护护上网安安全，实实际上这这几条规规则在设设置时就就犯了一一些错误误例如：%

11、USSERPPROFFILEE%LLocaal SSetttinggs*.*不允允许的可可以看出出，规则则的原意意是阻止止程序从从Loccal Setttinngs（包包括所有有子目录录）中启启动现在在大家不不妨想想想这规则则的实际际作用是是什么？先参考考注1和和注2，* 和和* 是是等同的的，而且且不包含含字符“”。所所以，这这里规则则的实际际效果是是 “禁禁止程序序从Loocall Seettiingss文件夹夹的一级级子目录录中启动动”，不不包括LLocaal SSetttinggs根目目录，也也不包括括二级和和以下的的子目录录。现在在我们再再来看看看Loccal Setttinngs的

12、的一级子子目录有有哪些：Temmp、TTempporaary Intternnet Filles、AAppllicaatioon DDataa、Hiistoory。阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装那么，阻止程序从Temporary Internet Files根目录启动又如何呢？实际上，由于IE的缓存并不是存放Temporary Internet Files根目录中，而是存于Temporary Internet Files的子目录Content.IE5的子目录里（-_-|），所以这种写法根本不能阻止程序从IE缓存中启动，是没有意义的规则若要阻止程序从某个文件夹及

13、所有子目录中启动，正确的写法应该是：某目录* 某目录* 某目录 某目录9. 引用:?:auutorrun.inff 不允允许的这是流传的的所谓防防U盘病病毒规则则，事实实上这条条规则是是没有作作用的，关关于这点点在 HYPERLINK /viewthread.php?tid=206247 关关于各种种策略防防范U盘盘病毒的的讨论 已经作作了分析析二.软软件限制制策略的的3D的的实现：“软件件限制策策略本身身即实现现AD，并并通过NNTFSS权限实实现FDD，同时时通过注注册表权权限实现现RD，从从而完成成3D的的部署”对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微

14、软内置的规则，即使我们修改“用户权限指派”项的内容，也无法对软件限制策略中的安全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表权限来配置FD和RD，这就比AD部分要灵活得多。小结一下，就是AD用户权利指派FDNTFS权限RD注册表权限先说AD部分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软

15、件访问权由用户的访问权来决定”，即继承父进程的权限。基本用户，基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。受限的，比基本用户限制更多，也仅享有“跳过遍历检查”的特权。不信任的，不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。不允许的，无条件地阻止程序执行或文件被打开很容易看出，按权限大小排序为 不受限的 基本用户 受限的 不信任的 不允许的其中，基本用户 、受限的、不信任的 这三个安全等级是要手动打开的具体做法：打开注册表编辑器，展开至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIde

16、ntifiers新建一个DOWRD，命名为Levels，其值可以为0 x10000 /增加受限的0 x20000 /增加基本用户0 x30000 /增加受限的，基本用户0 x31000 /增加受限的，基本用户，不信任的设成0 x31000（即4131000）即可如图： HYPERLINK 或者将下面面附件中中的reeg双击击导入注注册表即即可 HYPERLINK file:/E:文档电脑教程组策略safer.rar saaferr.raar (2799 Byytess) HYPERLINK 再强调两点点：1.“不允允许的”级级别不包包含任何何FD操操作。你你可以对对一个设设定成“不不允许的的”

17、文件件进行读读取、复复制、粘粘贴、修修改、删删除等操操作，组组策略不不会阻止止，前提提当然是是你的用用户级别别拥有修修改该文文件的权权限2.“不受受限的”级级别不等等于完全全不受限限制，只只是不受受软件限限制策略略的附加加限制。事事实上，“不不受限的的”程序序在启动动时，系系统将赋赋予该程程序的父父进程的的权限字字，该程程序所获获得的访访问令牌牌决定于于其父进进程，所所以任何何程序的的权限将将不会超超过它的的父进程程。权限限的分配配与继承承:这里里的讲解解默认了了一个前前提：假假设你的的用户类类型是管管理员。在没有软件限制策略的情况下，很简单，如果程序a启动程序b，那么a是b的父进程，b继承a

18、的权限现在把a设为基本用户，b不做限制（把b设为不受限或者不对b设置规则效果是一样的）然后由a启动b，那么b的权限继承于a，也是基本用户，即:a（基本用户）- b（不受限的） = b（基本用户）若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即a（不受限的）- b（基本用户） = b（基本用户）可以看到，一个程序所能获得的最终权限取决于：父进程权限 和 规则限定的权限 的最低等级，也就是我们所说的最低权限原则举一个例：若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果即使IE下载病毒并执行了，病毒

19、由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只剩下尸体了。甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的机会。FD：NTFS权限* 要求磁盘分区为NTFS格式 *其实Microsoft Windows 的每个新版本都对 NTFS 文件系统进行了改进。NTFS 的默认权限对大多数组织而言都已够用。NTFS权限的分配1.如果一个用户属于多个组，那么该用户所获得的权限是各个组的叠加2.“拒绝”的优先级比“允许”要高例如：用户A 同时属于Administrators和Everyone组，若Administrators组具有完全访问权，但Every

20、one组拒绝对目录的写入，那么用户A的实际权限是：不能对目录写入，但可以进行除此之外的任何操作高级权限名称 描述 （包括了完整的FD和部分AD） 引用:遍历文件夹夹/运行行文件（遍遍历文件件夹可以以不管，主主要是“运运行文件件”，若若无此权权限则不不能启动动文件，相相当于AAD的运运行应用用程序）允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍历文件夹的权限（仅适用于文件夹）。列出文件夹/读取数据允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容，而不影响您对其设置权限的文件夹是否会列出（仅适用于文件夹）。读取属性 （FD的读取）允许或拒

21、绝查看文件中数据的能力（仅适用于文件）。读取扩展属性允许或拒绝用户查看文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。创建文件/写入数据 （FD的创建）“创建文件”允许或拒绝在文件夹中创建文件（仅适用于文件夹）。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力（仅适用于文件）。创建文件夹/追加数据“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求（仅适用于文件夹）。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力（仅适用于文件）。写入属性 （即改写操作了，FD的写）允许或拒绝用户对文件末尾进行更改，而不更改、删除或覆盖现有数据的请求（

22、仅适用于文件）。即写操作写入扩展属性允许或拒绝用户更改文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。删除子文件夹和文件 （FD的删除）允许或拒绝删除子文件夹和文件的能力，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。删除 （与上面的区别是，这里除了子目录及其文件，还包括了目录本身）允许或拒绝用户删除子文件夹和文件的请求，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。读取权限 （NTFS权限的查看）允许或拒绝用户读取文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。更改权限 （NTFS权限的修改）允许或拒绝用户更改文件或文件夹权限（例如“

23、完全控制”、“读取”和“写入”）的请求。取得所有权 允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。以基本用户户为例，基基本用户户能做什什么？在在系统默默认的NNTFSS权限下下，基本本用户对对系统变变量和用用户变量量有完全全访问权权，对系系统文件件夹只读读，对PProggramm Fiiless的公共共文件夹夹只读，DDocuumennt aand Setttinng下，仅仅对当前前用户目目录有完完全访问问权，其其余不能能访问如如果觉得得以上的的限制严严格了或或者宽松松了，可可以自行行调整各各个目录录和文件件的NTTFS

24、权权限。如如果发现现浏览器器在基本本用户下下无法使使用某些些功能的的，很多多都是由由于NTTFS权权限造成成的，可可以尝试试调整对对应的NNTFSS权限基基本用户户、受限限用户属属于以下下组UsserssAutthennticcateed UUserrsEvveryyoneeINTTERAACTIIVE但但受限用用户权限限更低，无无论NTTFS权权限如何何，受限限用户始始终受到到限制。调整权限时，主要利用到的组为 Users例：对用户变量Temp目录进行设置，禁止基本用户从该目录运行程序，可以这样做：首先进入“高级”选项，取消勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义

25、的项目(I)” HYPERLINK 然后设置UUserrs的权权限如图图 HYPERLINK 这样基本用用户下的的程序就就无法从从Temmp启动动文件了了注意：1. 不要使使用“拒拒绝”，不不然管理理员权限限下的程程序也会会受影响响2. eveeryoone组组的权限限适用于于任何人人、任何何程序，故故eveeryoone组组的权限限不能太太高，至至少要低低于Usserss组其实实利用NNTFSS权限还还可以实实现很多多功能又又例如，如如果想保保护某些些文件不不被修改改或删除除，可以以取消UUserrs的删删除和写写入权限限，从而而限制基基本用户户，达到到保护重重要文件件的效果果当然，也也可以

26、防防止基本本用户运运行指定定的程序序以下为为微软建建议进行行限制的的程序：reggediit.eexeaarp.exeeat.exeeatttribb.exxecaaclss.exxedeebugg.exxeeddlinn.exxeevventtcreeatee.exxeevventttriiggeers.exeeftpp.exxenbbtsttat.exeenett.exxeneet1.exeenettsh.exeenettstaat.eexennsloookuup.eexenntbaackuup.eexerrcp.exeeregg.exxereegeddt322.exxereeginni.

27、eexerregssvr332.eexerrexeec.eexerroutte.eexerrsh.exeesc.exeeseccediit.eexessubsst.eexessysttemiinfoo.exxeteelneet.eexettftpp.exxetllntssvr.exeeRD部部分：注册表表权限。由由于微软软默认的的注册表表权限分分配已经经做得很很好了，不不需要作作什么改改动，所所以这里里就直接接略过了了三.关关于组策策略规则则的设置置：规则则要顾及及方便性性，因此此不能对对自己有有过多的的限制，或或者最低低限度地地，即使使出现限限制的情情况，也也能方便便地进行行排除规规则要顾顾

28、及安全全性，首首先要考考虑的对对象就是是浏览器器等上网网类软件件和可移移动设备备所带来来的威胁胁。没有有这种防防外能力力的规则则都是不不完整或或者不合合格的基基于文件件名防病病毒、防防流氓的的规则不不宜多设设，甚至至可以舍舍弃。一一是容易易误阻，二二是病毒毒名字可可以随便便改，特特征库式式的黑名名单只会会跟杀软软的病毒毒库一样样滞后。于是，我们有两种方案：如果想限制少一点的，可以只设防“入口”规则，主要面向U盘和浏览器如果想安全系数更高、全面一点的，可以考虑全局规则+白名单具体内容见二楼待续.最后布置几道作业 ，看看大家对上面的内容消化得如何1. 在规则“F:*.*不允许”下，下面那些文件不能

29、被打开？A:F:a.exeB.F:Folder.1b.exeC.F:Folder1Folder.2C.txtD.F:Folder1Folder.2Folder.3d.exe2. 在以管理员身份登陆的情况下，建立规则如下：%Temp% 受限的%USERPROFILE%Local SettingsTemporary Internet Files 不允许的%ProgramFiles%Internet Exploreriexplore.exe 基本用户%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folder

30、sDesktop%不受限的在这四条规则下，假设这样的情况：iexplore.exe 下载一个test.exe到Temporary Internet Files目录，然后复制到Temp目录，再从Temp目录中运行test.exe，（复制和运行的操作都是IE在做），然后由text.exe释放test2.exe到桌面，并运行test2.exe。那么test2.exe的访问令牌为：A.不受限的 B.不允许的 C.基本用户 D.受限的3. 试说出 F:win* 和 F:win* 的区别4. 若想限制QQ的行为，例如右下方弹出的广告，并不允许QQ调用浏览器，可以怎么做？答对两题即及格。不过貌似还是有些难度

31、规则部分基基础部分分，如何何建立规规则：首首先，打打开组策策略开始始-运行行，输入入 “ggpeddit.mscc”（不不包含引引号）并并回车。在弹出的对话框中，依次展开 计算机配置-Windows设置-安全设置-软件限制策略如果你之前没有配置过软件限制策略，那么可以在菜单栏上选择 操作-创建新的策略如图 HYPERLINK 然后转到“其其它规则则”项，在在菜单栏栏选择“操操作”，在在下拉菜菜单选择择“新路路径规则则”在弹弹出的对对话框中中，就可可以编辑辑规则了了 HYPERLINK 华丽丽丽的分分割线软件限限制策略略的其实实并不复复杂，在在规则设设置上是是十分简简单的，只只有五个个安全级级别

32、，不不像HIIPS那那样，光光AD部部分就细细分成NN项。但但软件限限制策略略的难点点在于：如何确确保你的的规则真真正有效效并按你你的意愿愿去工作作，即如如何保证证规则的的正确性性和有效效性。从从四道题题目的答答对率来来看，发发现问题题还是不不少的附附上题目目的参考考答案引用:1.D考点点：注22、注44、注77这题的的C选项项是陷阱阱，因为为TXTT文件不不在规则则的阻挡挡范围之之内。DD项参考考注7，FF:FFoldder11Fooldeer.22Fooldeer.33 （注注意“.”）正正好能匹匹配 FF:*.*，因因此Fooldeer.33下面的的EXEE文件不不能被打打开2.D说明明

33、：此题题的考点点为“AAD权限限的分配配/最低低权限原原则”我我们先整整理一下下父子进进程的关关系：iiexpplorre.eexe - tesst.eexe - tesst2.exee（基本本用户） （受限限的）（受受限的）其中，test.exe从Temp目录启动，受规则“%Temp%受限的”的限制，其权限降为“受限的”。test2.exe从桌面启动，虽然桌面的程序是不受限的，但由于其父进程为test.exe，故继承test.exe的权限，故test2.exe的最终获得访问令牌还是“受限的”另外要注意的是，复制、创建文件等操作都不会构成权限的继承3.考点：注1、注3、综合分析说明：F:win

34、* 和 F:win* 仅相差一个字符 “”，由注1可知，* 并不包括斜杠。那么斜杠“”在这里的作用是什么？实际上，这个斜杠在规则中的作用相当于声明斜杠前的路径指的是目录，而不是文件，注意到这点后，就可以看出区别了：F:win* 既可以匹配到 F:windows、F:windir、F:winrar等目录，也可以匹配到F:winrar.exe、F:winNT.bat等文件而F:win* 仅能匹配到目录4.考点：NTFS权限此题答案不唯一，只要是合理可行的方案即可下面答案仅供参考：限制QQ的行为，可以把QQ设为基本用户。防止QQ广告，可以对Tencent下的AD目录调整NTFS权限取消Users组的

35、创建、写入权限不允许QQ调用浏览器，可以对IE调整NTFS权限取消Users组的“读取和运行”的权限 HYPERLINK 参考答案案.raar t _bblannk 参参考答案案.raar (10119 BBytees) HYPERLINK 下面将详细细讨论规规则部分分一、再再次强调调一下通通配符的的使用WWinddowss里面默默认* ：任意意个字符符（包括括0个），但但不包括括斜杠? ：11个或00个字符符在组策策略中*不包括括斜杠，这这和HIIPS是是不同的的，一定定要注意意例如：C:Winndowwsssysttem332 可可以表示示为 *sysstemm32而而以下的的表达式式都是

36、无无效的：*ssysttem332 、ssysttem332*、syysteem322二、根根目录规规则软件件限制策策略对初初学者来来说有一一定的难难度，因因为它没没有HIIPS那那么丰富富的功能能选项，故故利用规规则实现现某一功功能需要要一定的的技巧。根根目录规规则就是是一例（禁禁止在某某个目录录的根目目录下的的程序行行为）若若在EQQ中，设设置规则则时取消消“包含含该目录录下面的的所有文文件”选选项就可可以保证证规则仅仅对根目目录起效效而组策策略却不不是那么么简单就就可以做做到。看看看下面面的规则则： 引用:C:Prrogrram Filles*.* 不允允许的前面已经提提过，* 不包包含

37、斜杠杠，因此此这个规规则可视视为Prrogrram Filles的的根目录录规则。在在此规则则下，形形如 CC:PProggramm Fiilessa.exee 等程程序将不不能启动动。但这这规则可可能导致致一些问问题，因因为通配配符即可可以匹配配到文件件，也可可以匹配配到文件件夹。如如果Prrogrram Filles存存在带有有“.”的的目录（形形如C:Prrogrram FillesTTpplayyer55.2），一一样可以以和规则则 C:Prrogrram Filles*.* 匹配配，这将将导致该该文件夹夹下的程程序无法法运行，造造成误伤伤。改进进一下的的话，可可以用两两条规则则来实现

38、现根目录录限制如如 引用:C:Prrogrram Filles 不允允许的CC:PProggramm Fiiless*不不受限的的这样就保证证了子目目录的程程序不受受规则影影响三、一一些规则则的模板板根目录录规则： 某目录录* + 某某目录*目录规规则（包包含目录录中所有有文件）： 某目目录* 或 某目录录 或或 某目目录含“*”的目目录规则则： 某目目录* （注意意要加上上斜杠“”）文文件型规规则： aa.exxe 、*.coom 等等绝对路路径规则则： 如 CC:WWinddowssexxploorerr.exxe全局局型规则则： *这里里需要说说明的是是，为什什么全局局型规则则要使用用“

39、*”？因为 * 属属于仅有有通配符符的规则则，其覆覆盖范围围是最大大的，而而优先级级是最低低的，不不会遗漏漏，便于于排除，最适合作为全局规则。对比“*.*”，一个字符“.”的存在使规则的优先级提高了，这将会给排除工作带来不便四、规则实例1. 保证上网安全很多人问，浏览毒网时，病毒会下载到什么位置执行？首先是，下载到网页缓存中（Content.IE5），这点很多人都注意到了。不过呢，病毒一般却不会选择在缓存中执行，而是通过浏览器复制病毒文件到其它目录，例如Windows。system32、Temp，当前用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其公有子目录、浏览器所在目录等

40、所以在这里再重复一次已说过N次的话，不要以为把缓存目录设为不允许的就万事大吉了。 至于防范，比较好的方法就是禁止浏览器在敏感位置新建文件，这点使用“浏览器基本用户”就可以做到，规则如下 引用:%ProggrammFilles%Innterrnett Exxploorerrieexplloree.exxe基本用用户如果使用的的是其它它浏览器器，也可可以设成成 基本本用户若若配合以以下规则则，效果果更佳： 引用:*Doccumeentss annd SSetttinggs不允许许的 程程序一般般不会从从Doccumeentss annd SSetttinggs中启启动%AALLAAPPDDATAA

41、%* 不受限限的 允允许程序序从Apppliicattionn Daata的的子目录录启动%APPPDATTA% 不不允许的的 当前前用户的的Apppliccatiion Datta目录录限制%APPPDATTA%* 不不受限的的 允许许程序从从Apppliccatiion Datta的子子目录启启动%SSysttemDDrivve%*.* 不允允许的 禁止程程序从系系统盘根根目录启启动%TTempp% 不不受限的的 允许许程序从从Temmp目录录启动，安安装软件件必须%TMPP% 不受受限的 同上并设置用户户变量TTempp的NTTFS权权限：TTempp的默认认路径为为 Doocummen

42、tts aand SetttinngsAdmminiistrratoorLLocaal SSetttinggsTTempp在系统统盘格式式为NTTFS的的情况下下，右击击Temmp文件件夹，选选择“安安全”项项，取消消Useers组组的“读读取与运运行”权限即即可。（同同时要取取消Evveryyonee组的访访问权，且且保证AAdmiinisstraatorrs组具具有完全全访问权权限）如如此设置置的作用用是：基基本用户户下的程程序将无无法从TTempp文件夹夹运行程程序2.U盘规规则比较较实际的的做法是是 引用:U盘:* 不不允许的的、不信信任的、受受限的，都都可以不允许的安安全度更更高一些

43、些，这样样也不会会影响UU盘的一一般使用用（正常常拷贝、删删除等）假设你的U盘一般盘符是I，那么规则可以写成： 引用:I:*不允允许的3.双后缀缀文件防防范规则则以下是是微软的的帮助： 引用:注意某些病病毒使用用的文件件具有两两个扩展展名以使使得危险险文件看看起来像像安全的的文件。例例如，DDocuumennt.ttxt.exee 或 Phootoss.jppg.eexe。最最后面的的扩展名名是 WWinddowss 将尝尝试打开开的扩展展名。具具有两个个扩展名名的合法法文件非非常少，因因此避免免下载或或打开这这种类型型的文件件。 有有些文件件下载起起来比程程序或宏宏文件更更安全，例例如文本本

44、 (.txtt) 或或图像 (.jjpg, .ggif, .ppng) 文件件。但是是，仍然然要警惕惕未知的的来源，因因为已知知这些文文件中的的一些文文件使用用了特意意精心设设计的格格式，可可以利用用计算机机系统的的漏洞。双后缀文件件可能的的形式比比较多，这这里仅放放出谍照照一张 HYPERLINK 4.全局规规则就一一条： 引用:* 基本用用户如果设成受受限的或或者不信信任/不不允许的的话，无无疑会更更安全，但但也会带带来一些些不便。综综合考虑虑还是基基本用户户比较适适合在全全局规则则下，肯肯定需要要对合法法的程序序进行排排除的。在排除的时候，你就会发现使用 * 作为全局规则的优越性了任何一

45、条规则的优先级都比它高，所以我们可以很方便地进行排除。为了减少排除的工作量，这里建议大家把软件集中安装在少数的目录，例如ProgramFiles目录，那么排除时就可以对整个目录进行，不必慢慢添加示例排除规则： 引用:%ProggrammFilles%不不受限的的 （软件件所在目目录）*ApppliicattionnSettupss 不受限限的（安装装软件用用的文件件夹）还要排除一一些文件件格式，以以使其被被正常打打开： 引用:*.lnkk 不受限限的*.adee 不不受限的的*.aadp 不受受限的*.mssi 不受限限的*.mspp 不不受限的的*.cchm 不受受限的*.hllp 不受限限

46、的*.pcdd 不不受限的的5. 其它它辅助规规则CMMD限制制策略： 引用:%Comsspecc% 基本本用户注意：在组组策略中中，微软软把cmmd.eexe和和批处理理是分开开处理的的，即使使把cmmd设成成“不允允许的”，仍仍然可以以运行.batt等批处处理由于于桌面一一般只放放快捷方方式，所所以 引用:%HKEYY_CUURREENT_USEERSSofttwarreMMicrrosooftWinndowwsCCurrrenttVerrsioonEExplloreerSShelll FFoldderssDeeskttop%不不允许的的同时要让快快捷方式式能够正正常工作作： 引用:*.l

47、nkk 不不受限的的计划任务功功能很少少会用到到，所以以 引用:%SysttemRRoott%ttaskk 不允允许的帮助文件阅阅读器的的管制策策略： 引用:%WinDDir%hhh.exxe 基基本用户户（防防范CHHM捆毒毒）%WWinDDir%wiinheelp.exee 基本本用户%WinnDirr%wwinhhlp332.eexe 基本用用户脚本宿主管管制 引用:%WinDDir%syysteem322?sscriipt.exee受受限的（或或者直接接不允许许）一些不会有有程序启启动的位位置、一一些极少少用到的的系统程程序，你你不用但但病毒会会用，所所以建议议禁止.规则则可以有有很多

48、，大大可自己己发挥，放放出图一一张： HYPERLINK 禁止伪装系系统程序序如： 引用:lsasss.exxe 不允允许的%WinnDirr%ssysttem332llsasss.eexe 不不受限的的剩下的规则则就留给给各位自自由发挥挥了 华丽丽丽的分分割线，怎怎么? 不够华华丽？至此此，教程程完毕 组策略略规则发发布：根根据防入入口和全全局防护护的思路路，做了了两套规规则简单规规则和全全局规则则简单规规则说明明：以基基本用户户限制主主流浏览览器Avvantt.exxe BBrexxpo.exee fiireffox.exee GEE.exxe GGreeenBrrowsser.exee gssfbwwsr.exee ieexplloree.exxe MMaxFFox.exee maaxthhon.exee miiniiie.eexe nettscaape.exee opperaa.exxe OOrcaa.exxe rreallplaay.ee