组策略完全解析

组策略完全解析七寸〞其实就是所谓的〝打蛇打七寸〞 1[原创]

组战略之软件限制战略——完全教程与规那么例如 11七寸〞其实就是所谓的〝打蛇打七寸〞七寸〞其实就是所谓的〝打蛇打七寸〞，以击中关键为目的，而最大限制的不搅扰其他操作，所以，假设要完成〝七寸〞的效果，就不能用全局规那么的想法来思索，而只能以point-to-point的形式来停止控制。固然，组战略关于交互式的HIPS操作来说，可比性各有所长，HIPS的API函数挂钩是一个一个的完成，胜在细致、直观，但是总会有漏掉的；而组战略的一个平安等级相当于一个现成的HIPS规那么，这显然要比HIPS一个一个的HOOK高效得多，毕竟这是微软给我们提供好的，虽然也不能所每个平安等级都能面面俱到，但至少它胜在方便，上手复杂。

既然不能用全局规那么的思绪来编，那么就从系统目录一个一个来讲，至于其他盘符目录，可以在熟习的条件下自己添加，这里仅举出系统盘战略。

在XP系统，系统盘假定为C盘，那么其下无非就几个目录而已，DocumentsandSettings，ProgramFiles，WINDOWS，一些WindowsInstaller软件的装置还会创立一个Config.Msi目录。

关于通配符、优先级和环境变量，这里再赘述一遍，由于它很重要：

*：恣意个字符〔包括0个〕，但不包括斜杠。

?：1个或0个字符。

优先级总的原那么是：规那么越婚配越优先。

①.相对途径>通配符全途径

如C:\Windows\explorer.exe>*\Windows\explorer.exe

②.文件名规那么>目录型规那么

如假定a.exe在Windows目录中，那么a.exe>C:\Windows

③.环境变量=相应的实践途径=注册表键值途径

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

④.关于同是目录规那么，那么能婚配的目录级数越多的规那么越优先；关于同是文件名规那么，优先级均相反。

⑤.假定规那么的优先级相反，按最受限制的规那么为准。

举例：

相对途径(如C:\Windows\system32\cmd.exe)

>通配符全途径(如*\Windows\*\cmd.exe)>文件名规那么(如cmd.exe)=通配符文件名规那么(如*.*)>局部相对途径(不包括文件名，如C:\Windows\system32)

=

局部通配符途径〔不包括文件名，如C:\*\system32〕

>C:\Windows

=

*\*

常用的环境变量：

%SystemDrive%

表示C:\

%AllUsersProfile%

表示C:\DocumentsandSettings\AllUsers

%UserProfile%

表示C:\DocumentsandSettings\以后用户名

%AppData%

表示C:\DocumentsandSettings\以后用户名\ApplicationData

%Temp%和%Tmp%

表示C:\DocumentsandSettings\以后用户名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

%WinDir%

表示C:\WINDOWS

%ComSpec%

表示C:\WINDOWS\system32\cmd.exe

===========================================

一、DocumentsandSettings

于是我们来一步一步扫除，在一些缓存目录未修正的前提下，首先需求扫除的是三个用户顺序目录，一些软件在装置终了后会在这三个目录下创立相关文件：

%AppData%\*\不受限的

%AppData%\LocalSettings\ApplicationData\*\不受限的

%AllUsersProfile%\ApplicationData\*\不受限的

然后在扫除文档目录

%UserProfile%\MyDocuments基本用户

%AllUsersProfile%\Documents基本用户

接着扫除暂时文件目录

%Temp%不受限的

%Tmp%不受限的

最后在扫除桌面目录

%UserProfile%\桌面受限的

%AllUsersProfile%\桌面受限的

附加*.lnk不受限的

扫除终了后，就可以担忧的加上一条制止规那么%SystemDrive%\DocumentsandSettings，由于下面的这几个目录是我们常用到的，除了这几个目录，其他位置运转的文件基本都不是什么好东西。

二、ProgramFiles

第一个目录搞定，渐渐接着往上去。

ProgramFiles目录相对来讲也很复杂，受限制止ProgramFiles根目录运转顺序，然后扫除下一级目录：

%ProgramFiles%不允许的

%ProgramFiles%\*\不受限的

然后把系统顺序降权，限制其访问令牌，重点是联网的，尤其是阅读器：

%ProgramFiles%\InternetExplorer基本用户

%ProgramFiles%\NetMeeting基本用户

%ProgramFiles%\OutlookExpress基本用户

%ProgramFiles%\WindowsMediaPlayer基本用户

%ProgramFiles%\WindowsNT基本用户

关于一些其他顺序的降权，可以参考我之前发的一个帖子：

:///thread-720738-1-1.html

制止一些寄存软件用到的公用库目录，担忧大胆的禁：

%CommonProgramFiles%\*.*

%CommonProgramFiles%\DESIGNER

%CommonProgramFiles%\MicrosoftShared

%CommonProgramFiles%\MSSoap

%CommonProgramFiles%\ODBC

%CommonProgramFiles%\Services

%CommonProgramFiles%\SpeechEngines

%CommonProgramFiles%\System

最后添加%CommonProgramFiles%基本用户，作用于一些用户文件，比如Adobe，Tencent...

这样ProgramFiles目录就扫除终了，是不是很复杂？没错，追求基本平安的方法就是这样容易上手。

三、Windows

备受争议的Windows目录，但别看Windows目录下目录这么多，少数病毒的躲藏居所基本都是一些罕见的目录，渐渐来：

先扫除Windows目录下的一些常用顺序：

explorer.exe

NOTEPAD.exe

regedit.exe

TASKMAN.exe

soundman.exe

amcap.exe

RTHDCPL.exe

RTLCPL.exe

taskman.exe

需求降权为基本用户的一些顺序：

hh.exe防协助文件捆绑

winhelp.exe防chm格式文件捆绑

winhlp32.exe〔此文件在Windows目录和system32目录都有〕

至于一些用户顺序会在Windows下树立的一些顺序，不是很多的，自己手动扫除下就可以了。

然后制止一些高危目录：

%WinDir%\Debug调试目录

%WinDir%\DownloadedProgramFiles防IE插件

%WinDir%\Fonts字体目录，普通顺序不会在此目录启动

%WinDir%\inf用于寄存驱动信息目录

%WinDir%\OfflineWebPages脱机阅读文件目录

%WinDir%\system16位系统文件目录，普通顺序不会在此目录启动

%WinDir%\tasks制止方案义务目录启动可疑顺序

%WinDir%\Temp高危系统变量，制止

%WinDir%\WinSxS系统重要组件，普通顺序不会在此目录启动

最后加上两条：

%WinDir%不允许的

%WinDir%\*\不受限的

顺承接入下一目录，鱼龙混杂的system32，既然不思索全局，那么可以只制止一些高危目录:

%WinDir%\system32\Com除了系统自有的顺序，普通顺序不会在此目录启动

%WinDir%\system32\config系统配置目录，包括注册表

%WinDir%\system32\dllcache备份目录，普通顺序不会在此目录启动

%WinDir%\system32\drivers驱动目录，普通顺序不会在此目录启动

%WinDir%\system32\ShellExt风险目录，制止

%WinDir%\system32\spool打印机目录，不用打印机的话可以制止

%WinDir%\system32\wins风险目录，制止

然后再制止一些不用要的系统顺序：

%WinDir%\system32\at.exe方案义务，很少用到

%WinDir%\system32\autoconv.exe防止启动中转换系统

%WinDir%\system32\autofmt.exe防止启动中格式化

%WinDir%\system32\cacls.exe控制访问控制列表

%WinDir%\system32\format格式化命令，制止

%WinDir%\system32\Fsutil.exe用于执行多种系统相关的义务，初级用户才干运用

%WinDir%\system32\ntsd.exe风险调试顺序，制止

%WinDir%\system32\regini.exe修正注册表权限，制止

%WinDir%\system32\replace.exe交流维护文件和正在运转的文件，制止

%WinDir%\system32\sc.exe配置效劳用，防被恶意调用

%WinDir%\system32\subst.exe将途径与驱动器盘符关联，很少用到

%WinDir%\system32\taskkill.exe命令行完毕进程工具，制止

%WinDir%\system32\wscript.exe脚本宿主，防止恶意脚本

当然，这些往往要依据团体知识掌握度来添加。这样一来Windows和system32目录差不多也扫除终了，没有设置%WinDir%\*\基本用户是由于那样基本相当于系统目录全局规那么，而且还要做很多扫除任务。

四、其他相关目录

1.输入法目录的限制：

%WinDir%\ime受限的

%WinDir%\system32\IME受限的

2.制止可移动磁盘：

U盘盘符:\*不信任的或不允许的都可以

3.制止系统盘根目录：

%SystemDrive%\*.*不信任的或不允许的都可以

4.制止双后缀恶意顺序：

*.*.bat

*.*.chm

*.*d

*.*.pif

*.*.vbs

*.?peg.exe

*.rm??.exe

*.torrent.exe

*.???.exe〔其中???可以是mp3、avi、doc、rar等，觉得这个限制太严峻的话，就拆开写，一些罕见的都可以写出来。〕

5.制止一些特殊的后缀：

*d高危格式制止

?.exe高危格式制止

6.降权一些特殊的后缀：

*.scr基本用户〔防止恶意scr屏保〕

由于cmd和bat在组战略里是独自处置的，也就是说，制止cmd之后，bat也可以独立运转，所以：

%ComSpec%基本用户

*.bat基本用户〔bat等一些格式降权后双击会提示有关联操作，这个能够与open方式有关，此时可以经过调用的方式翻开，如Win+R，处置的进程依然是以基本用户权限运转的cmd，或许更复杂的方式——创立快捷方式。〕

7.特殊的系统目录：

?:\Recycle?\回收站目录不信任的或不允许的都可以

?:\SystemVolumeInformation系统恢复目录不信任的或不允许的都可以

8.至于伪装系统顺序名，还是写上一些吧：

alg.exe不允许的

%WinDir%\system32\alg.exe不受限的

csrss.exe不允许的

%WinDir%\system32\csrss.exe不受限的

explorer.exe不允许的

%WinDir%\explorer.exe不受限的

lsass.exe不允许的

%WinDir%\system32\lsass.exe不受限的

smss.exe不允许的

%WinDir%\system32\smss.exe不受限的

svchost.exe不允许的

%WinDir%\system32\svchost.exe不受限的

winlogon.exe不允许的

%WinDir%\system32\winlogon.exe不受限的

spoolsv.exe、userinit.exe等等以此类推...

9.扫除一些相关文件：

*.ade不受限的Access项目文件

*.adp不受限的Access项目文件

*.chm不受限的CHM格式文件

*.hlp不受限的协助文件

*.mdb不受限的数据库文件

*.mde不受限的数据库文件

*.msi不受限的微软WindowsInstaller装置包

*.msp不受限的微软WindowsInstaller修补包

*.pcd不受限的PCD格式文件

10.可以应用组战略制止一些插件〔可选〕，例如：

*bar*.*

*cnnic*.*

*coopen*.*

11.扫除system32下的14个MS-DOS文件，然后参与*不允许的〔可选〕。

这样一来，该制止的风险都制止掉了，平安的举措基本也都放行掉，〝七寸〞这个关键点可以说掌握的比拟到位了。AD的局部基本差不太多，但不要以为基本用户就足够平安了，基本用户虽然很弱小，无法控制System等级的进程，但基本用户下的进程可以经过注入或发送音讯的方法控制其他初等级的进程，如explorer，控制了explorer能做什么？不用我说想必也能知道了吧...

===========================================

五、注册表局部

微软默许的注册表权限限制得宽松有至，一些顺序降权后是无法对HKLM下的键值停止修正的，最多也就是只读，但基本用户的顺序是有以后操作用户的权限的，也就是通常运用的administrator权限〔但没有administrators组的权限〕，所以基本用户在操作HKCU键值的时分会以以后用户的权限来操作，也就是说，基本用户下的顺序是有权限来对HKCU下的键值停止修正和删除的，所以一些修正主页的流氓顺序就会钻这个空子，对付这一类的不再赘述了，平安软件，HIPS，选择平安的下载点都可以防范，这里说一些值得思索的中央：

映像劫持，话说在AV终结者迸发之前，有多少用户把IFEO设置只读了呢：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions

U盘自动运转：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

系统自启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

DLL加载自启动〔可选〕：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

有关IE的键值太多，Winlogon和Explorer的自启动也不少，不逐一罗列了，也不建议都设置只读属性，系统的权限设置最大的优点是底层，而最大的缺陷就是不够灵敏，这也是很多人不喜欢组战略+系统权限的缘由吧，假设要一项一项来设置，疯掉了

===========================================

六、NTFS权限局部

也是个费事事。。。异样，Microsoft默许的够用，可以思索用默许的：

重要资料〔文件夹〕只读，重要文件备份只读，这个不解释了。

允许启动顺序的中央不允许创立文件InternetExplorer目录，允许创立文件的中央不允许启动顺序IE暂时文件目录、下载目录，至于%Temp%可以思索为了软件的装置而允许运转顺序，假设有从阅读器下载上去的病毒运转，它的权限也是承袭了阅读器的权限，无法对关键目录停止破坏。

任务量大点的，可以参考：

ProgramFiles和其它顺序目录允许Users读取和运转不允许写，或许坚持已存在文件的只读只允许创立和写新文件，再或许系统关键目录的白名单。

最后说一说everyone这个组别，望文生义，这个组别顺应于一切的用户，所以这个组别的权限必需是最低的，而且一定不要高于只读权限的users组。有鉴于此，在一个用户属于多个组的时分，该用户所取得的权限是各个组的叠加，由于〝拒绝〞要比〝允许〞的优先级要高，所以不需求相关的权限取消打勾即可，故尽量不要运用〝拒绝〞，不然Adm权限下的顺序也会受影响，例如用户kafan同时属于Administrators和Everyone组，假定Administrators组具有完全访问权，但Everyone组拒绝写目录，那么该用户的实践权限那么不能对目录停止写如操作，但除此之外其他恣意的操作都可以停止。

为了满足一些人降权后的特殊需求，提供制止基本用户顺序在磁盘根目录创立文件的方法，很复杂：

翻开一切隐藏属性，确保各盘符下的文件夹和文件复制承袭了各盘符的NTFS权限后，删除Users组的其他权限，只保管读取和运转。

===========================================

码字好累

说了这么多，就是提供一些有平安软件防护组合的条件下对一些风险操作的制止，老帖中有很多躲藏的精品回复，而置顶教程和规那么贴也不少，复杂些的防入口，片面些的控全局，希望以上内容能起到给一些喜欢自己定制规那么的人自我揣摩的思绪，这也是我发这个帖子的初衷。关于一些喜欢不直接套用规那么的人，我觉得这个想法还算不错，婚配自己运用环境的战略才是好战略，拿来主义好，惋惜的是，不加修正直接援用就会招致好的不清楚

那么，感谢下看到这里的人吧，你们辛劳了〔其实我也很辛劳〕

上图一张

附规那么例如文件，内有说明，仅供交流学习运用。

运用前留意备份原文件〔GroupPolicy目录不可手工树立，新建默许战略后运转，熟练运用eventvwr.msc检查日志为上〕

Registry.7z

(46.55KB,下载次数:683)

备份下载地址点击进入

===========================================

就说这么多吧，写来写去怎样觉得越来越浅薄...一些不成熟的团体建议，欢迎批判指正，感谢涕零。

以上[原创]

组战略之软件限制战略——完全教程与规那么例如

。留意：假设你没有耐烦或兴味看完一切内容而想直接运用规那么的话，请至少仔细看一次规那么的说明，谢谢

实践上，本教程主要为以下内容：

实际局部：

1.软件限制战略的途径规那么的优先级效果

2.在途径规那么中如何运用通配符

3.规那么的权限承袭效果

4.软件限制战略如何完成3D部署〔配合访问控制，如NTFS权限〕，软件限制战略的精髓在于权限，部署战略同时，往往也需求学会设置权限

规那么局部：

5.如何用软件限制战略防毒〔也就是如何写规那么〕

6.规那么的例如与下载

其中，1、2、3点是基础，很多人写出有效或许错误的规那么出来都是由于对这些内容没有搞清楚；第4点能够有

点难，但假设想让战略有更好的防护效果并且不影响往常正常运用的话，这点很重要。

假设运用规那么后发现有的软件任务不正常，请参考这局部外容，留意调整NTFS权限

实际局部

软件限制战略包括证书规那么、散列规那么、Internet区域规那么和途径规那么。我们主要用到的是散列规那么和途径规那么，其中灵敏性最好的就是途径规那么了，所以普通我们谈到的战略规那么，假定没有特别说明，那么直接指途径规那么。

或许有人问：为什么不用散列规那么？散列规那么可以防病毒交流白名单中的顺序，平安性不是更好么？

一是由于散列规那么不能通用，二是即使用了也意义不大——防交流应该要应用好NTFS权限，而不是散列规那么，要是真让病毒交流了系统顺序，那么再谈规那么曾经晚了

一.环境变量、通配符和优先级

关于环境变量〔假定系统盘为C盘〕

%USERPROFILE%

表示C:\DocumentsandSettings\以后用户名

%HOMEPATH%

表示C:\DocumentsandSettings\以后用户名

%ALLUSERSPROFILE%

表示C:\DocumentsandSettings\AllUsers

%ComSpec%

表示C:\WINDOWS\System32\cmd.exe

%APPDATA%

表示C:\DocumentsandSettings\以后用户名\ApplicationData

%ALLAPPDATA%

表示C:\DocumentsandSettings\AllUsers\ApplicationData

%SYSTEMDRIVE%表示C:

%HOMEDRIVE%

表示C:

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP%和%TMP%

表示C:\DocumentsandSettings\以后用户名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

关于通配符：

Windows外面默许

*：恣意个字符〔包括0个〕，但不包括斜杠

?：1个或0个字符

几个例子

*\Windows婚配C:\Windows、D:\Windows、E:\Windows以及每个目录下的一切子文件夹。

C:\win*婚配C:\winnt、C:\windows、C:\windir以及每个目录下的一切子文件夹。

*.vbs婚配WindowsXPProfessional中具有此扩展名的任何运用顺序。

C:\ApplicationFiles\*.*婚配特定目录〔ApplicationFiles〕中的运用顺序文件，但不包括ApplicationFiles的子目录

关于优先级:

总的原那么是:规那么越婚配越优先

1.相对途径>通配符全途径

如C:\Windows\explorer.exe>*\Windows\explorer.exe

2.文件名规那么>目录型规那么

如假定a.exe在Windows目录中，那么

a.exe>C:\Windows

3.环境变量=相应的实践途径=注册表键值途径

如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.关于同是目录规那么，那么能婚配的目录级数越多的规那么越优先

关于同是文件名规那么，优先级均相反

5.散列规那么比任何途径规那么优先级都高

6.假定规那么的优先级相反，按最受限制的规那么为准

举例说明，例如cmd的全途径是C:\Windows\system32\cmd.exe

那么，优先级顺序是：

相对途径(如C:\Windows\system32\cmd.exe)

>

通配符全途径(如*\Windows\*\cmd.exe)

>

文件名规那么(如cmd.exe)

=

通配符文件名规那么(如*.*)

>

局部相对途径(不包括文件名，如

C:\Windows\system32

)

=

局部通配符途径〔不包括文件名，如C:\*\system32

〕

>

C:\Windows

=

*\*

注：

1.

通配符*并不包括斜杠\。例如*\WINDOWS婚配C:\Windows，但不婚配C:\Sandbox\WINDOWS

2.*和**是完全等效的，例如**\**\abc=*\*\abc

3.C:\abc\*

可以直接写为C:\abc\或许C:\abc，最后的*是可以省去的，由于软件限制战略的规那么可以直接婚配到目录。

4.软件限制战略只对〝指派的文件类型〞列表中的格式起效。例如*.txt不允许的，这样的规那么实践上有效，除非你把TXT格式也参与〝指派的文件类型〞列表中。而且默许不对加载dll停止限制，除非在〝强迫〞选项中指定：

5.*和*.*是有区别的，后者要求文件名或途径必需含有〝.〞，而前者没有此限制，因此，*.*的优先级比*的高

6.?:\*与?:\*.*是一模一样的，前者是指一切分区下的每个目录下的一切子文件夹，复杂说，就是整个硬盘；而?:\*.*仅包括一切分区下的带〝.〞的文件或目录，普通状况

下，指的就是各盘根目录下的文件。那非普通状况是什么呢？请参考第7点

7.?:\*.*中的〝.〞能够使规那么范围不限于根目录。这里需求留意的是：有〝.〞的不一定是文件，可以是文件夹。例如F:\ab.c，一样契合?:\*.*，所以规那么对F:\ab.c下的一切文件及子目录都失效。

8.这是很多人写规那么时的误区。首先援用«组战略软件限制战略规那么包编写之菜鸟入门〔修正版〕»里的一段：4、如何维护上网的平安

在阅读不平安的网页时，病毒会首先下载到IE缓存以及系统暂时文件夹中，并自动运转，形成系统染毒，在了解了这个感染途径之后，我们可以应用软件限制战略停止封堵

%SYSTEMROOT%\tasks\**\*.*

不允许的

〔这个是方案义务，病毒藏身地之一〕

%SYSTEMROOT%\Temp\**\*.*

不允许的

%USERPROFILE%\Cookies\*.*

不允许的

%USERPROFILE%\LocalSettings\**\*.*

不允许的

〔这个是IE缓存、历史记载、暂时文件所在位置〕

说假话，下面援用的局部不少中央都是错误的

先不谈这样的规那么能否维护上网平安，实践上这几条规那么在设置时就犯了一些错误

例如：%USERPROFILE%\LocalSettings\**\*.*

不允许的

可以看出，规那么的原意是阻止顺序从LocalSettings〔包括一切子目录〕中启动

如今大家无妨想想这规那么的实践作用是什么？

先参考注1和注2，**和*是同等的，而且不包括字符〝\〞。所以，这里规那么的实践效果是〝制止顺序从LocalSettings文件夹的一级子目录中启动〞，不包括LocalSettings根目录，也不包括二级和以下的子目录。

如今我们再来看看LocalSettings的一级子目录有哪些：Temp、TemporaryInternetFiles、ApplicationData、History。

阻止顺序从Temp根目录启动，直接的结果就是很多软件不能成功装置

那么，阻止顺序从TemporaryInternetFiles根目录启动又如何呢？

实践上，由于IE的缓存并不是寄存TemporaryInternetFiles根目录中，而是存于TemporaryInternetFiles的子目录Content.IE5的子目录里〔-_-||〕，所以这种写法基本不能阻止顺序从IE缓存中启动，是没有意义的规那么

假定要阻止顺序从某个文件夹及一切子目录中启动，正确的写法应该是：

某目录\**

某目录\*

某目录\

某目录

9.?:\autorun.inf

不允许的

这是传达的所谓防U盘病毒规那么，理想上这条规那么是没有作用的，关于这点在

关于各种战略防范U盘病毒的讨论

曾经作了剖析

二.软件限制战略的3D的完成：

〝软件限制战略经过降权完成AD，并经过NTFS权限完成FD，同时经过注册表权限完成RD，从而完成3D的部署〞

关于软件限制战略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微软内置的规那么，即使我们修正〝用户权限指派〞项的内容〔这个是对登陆用户的权限而言〕，也无法对软件限制战略中的平安等级停止提权。所以，只需选择好平安等级，AD局部就曾经部署好了，不能再作干预

而软件件限制战略的FD和RD限制，区分由NTFS权限、注册表权限来完成。而与AD局部不同的是，这样限制是可以干预的，也就是说，我们可以经过调整NTFS和注册表权限来配置FD和RD，这就比AD局部要灵敏得多。

小结一下，就是

AD——用户权益指派〔内置的平安等级〕

FD——NTFS权限

RD——注册表权限

先说AD局部，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。

不受限的，最高的权限等级，但其意义并不是完全的不受限，而是〝软件访问权由用户的访问权来决议〞，即承袭父进程的权限。

基本用户，基本用户仅享有〝跳过遍历反省〞的特权，并拒绝享有管理员的权限。

受限的，比基本用户限制更多，也仅享有〝跳过遍历反省〞的特权。

不信任的，不允许对系统资源、用户资源停止访问，直接的结果就是顺序将无法运转。

不允许的，无条件地阻止顺序执行或文件被翻开

很容易看出，按权限大小排序为不受限的>基本用户>受限的>不信任的>不允许的

其中，基本用户、受限的、不信任的这三个平安等级是要手动翻开的

详细做法：

翻开注册表编辑器，展开至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一个DWORD值，命名为Levels，其值可以为

0x10000

//添加受限的

0x20000

//添加基本用户

0x30000

//添加受限的，基本用户

0x31000

//添加受限的，基本用户，不信任的

设成0x31000〔即4131000〕即可

如图：

或许将下面附件中的reg双击导入注册表即可

safer.rar

(279Bytes,下载次数:2135)

再强调两点：

1.〝不允许的〞级别不包括任何FD操作。你可以对一个设定成〝不允许的〞文件停止读取、复制、粘贴、修正、删除等操作，组战略不会阻止，前提当然是你的用户级别拥有修正该文件的权限

2.〝不受限的〞级别不等于完全不受限制，只是不受软件限制战略的附加限制。理想上，〝不受限的〞顺序在启动时，系统将赋予该顺序的父进程的权限字，该顺序所取得的访问令牌决议于其父进程，所以任何顺序的权限将不会超越它的父进程。

权限的分配与承袭:

这里的解说默许了一个前提：假定你的用户类型是管理员。

在没有软件限制战略的状况下，

很复杂，假设顺序a启动顺序b，那么a是b的父进程，b承袭a的权限

如今把a设为基本用户，b不做限制〔把b设为不受限或许不对b设置规那么效果是一样的〕

然后由a启动b，那么b的权限承袭于a，也是基本用户，即:

a〔基本用户〕->b〔不受限的〕=b〔基本用户〕

假定把b设为基本用户，a不做限制，那么a启动b后，b依然为基本用户权限，即

a〔不受限的〕->b〔基本用户〕=b〔基本用户〕

可以看到，一个顺序所能取得的最终权限取决于：父进程权限和规那么限定的权限的最高等级，也就是我们所说的最低权限原那么

举一个例：

假定我们把IE设成基本用户等级启动，那么由IE执行的任何顺序的权限都将不高于基本用户级别，只能更低。所以就可以到达防范网马的效果——即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统停止有害的更改，假设重启一下，那么病毒就只剩下尸体了。

甚至，我们还可以经过NTFS权限的设置，让IE无法下载和运转病毒，不给病毒任何的时机。

FD：NTFS权限

*要求磁盘分区为NTFS格式*

其实MicrosoftWindows的每个新版本都对NTFS文件系统停止了改良。NTFS的默许权限对大少数组织而言都已够用。

注：设置前请先在〝文件夹选项〞中取消选中〝运用复杂文件共享〔引荐〕〞

NTFS权限的分配

1.假设一个用户属于多个组，那么该用户所取得的权限是各个组的叠加

2.〝拒绝〞的优先级比〝允许〞要高

例如：用户A同时属于Administrators和Everyone组，假定Administrators组具有完全访问权，但Everyone组拒相对目录的写入，那么用户A的实践权限是：不能对目录写入，但可以停止除此之外的任何操作

初级权限称号描画

〔包括了完整的FD和局部AD〕遍历文件夹/运转文件

〔遍历文件夹可以不论，主要是〝运转文件〞，假定无此权限那么不能启动文件，相当于AD的运转运用顺序〕

允许或拒绝用户在整个文件夹中移动以抵达其他文件或文件夹的央求，即使用户没有遍历文件夹的权限〔仅适用于文件夹〕。

列出文件夹/读取数据

允许或拒绝用户检查指定文件夹内文件名和子文件夹名的央求。它仅影响该文件夹的内容，而不影响您对其设置权限的文件夹能否会列出〔仅适用于文件夹〕。

读取属性〔FD的读取〕

允许或拒绝检查文件中数据的才干〔仅适用于文件〕。

读取扩展属性

允许或拒绝用户检查文件或文件夹属性〔例如只读和隐藏〕的央求。属性由NTFS定义。

创立文件/写入数据〔FD的创立〕

〝创立文件〞允许或拒绝在文件夹中创立文件〔仅适用于文件夹〕。〝写入数据〞允许或拒相对文件停止修正并掩盖现有内容的才干〔仅适用于文件〕。

创立文件夹/追加数据

〝创立文件夹〞允许或拒绝用户在指定文件夹中创立文件夹的央求〔仅适用于文件夹〕。〝追加数据〞允许或拒相对文件末尾停止更改而不更改、删除或掩盖现有数据的才干〔仅适用于文件〕。

写入属性〔即改写操作了，FD的写〕

允许或拒绝用户对文件末尾停止更改，而不更改、删除或掩盖现有数据的央求〔仅适用于文件〕。

即写操作

写入扩展属性

允许或拒绝用户更改文件或文件夹属性〔例如只读和隐藏〕的央求。属性由NTFS定义。

删除子文件夹和文件〔FD的删除〕

允许或拒绝删除子文件夹和文件的才干，即使子文件夹或文件上没有分配〝删除〞权限〔适用于文件夹〕。

删除〔与下面的区别是，这里除了子目录及其文件，还包括了目录自身〕

允许或拒绝用户删除子文件夹和文件的央求，即使子文件夹或文件上没有分配〝删除〞权限〔适用于文件夹〕。

读取权限〔NTFS权限的检查〕

允许或拒绝用户读取文件或文件夹权限〔例如〝完全控制〞、〝读取〞和〝写入〞〕的央求。

更改权限〔NTFS权限的修正〕

允许或拒绝用户更改文件或文件夹权限〔例如〝完全控制〞、〝读取〞和〝写入〞〕的央求。

取得一切权

允许或拒绝取得文件或文件夹的一切权。文件或文件夹的一切者一直可以更改其权限，而不论用于维护该文件或文件夹的现有权限如何。

以基本用户为例，基本用户能做什么？

在系统默许的NTFS权限下，基本用户对系统变量和用户变量有完全访问权，对系统文件夹只读，对ProgramFiles的公共文件夹只读，DocumentandSetting下，仅对以后用户目录有完全访问权，其他不能访问

关于基本用户的相关详细引见，请看这里：

:///viewthread.php?tid=282171&highlight=

假设觉得以上的限制严厉了或许宽松了，可以自行调整各个目录和文件的NTFS权限。

假设发现阅读器在基本用户下无法运用某些功用的，很多都是由NTFS权限形成的，可以尝试调整对应文件或文件夹的NTFS权限

NTFS权限的调整

基本用户、受限用户属于以下组

Users

AuthenticatedUsers

Everyone

INTERACTIVE

调整权限时，主要应用到的组为Users

为什么是Users组？由于调整Users的权限可以限制基本用户、受限用户，但却不会影响到管理员，这样就既保证了运用基本用户的平安性和管理员帐户下的操作的方便性

例：对用户变量Temp目录停止设置，制止基本用户从该目录运转顺序，可以这样做：

首先进入〝初级〞选项，取消勾选〝从父项承袭那些可以运用到子对象的权限项目，包括那些在此明白定义的项目(I)〞

然后设置Users的权限如图

然后把除Administrators、Users、SYSTEM之外的一切组都删除之

这样基本用户下的顺序就无法从Temp启动文件了

留意：

1.不要运用〝拒绝〞，不然管理员权限下的顺序也会受影响

2.everyone组的权限适用于任何人、任何顺序，故everyone组的权限不能太高，至少要低于Users组

其实应用NTFS权限还可以完成很多功用

又例如，假设想维护某些文件不被修正或删除，可以取消Users的删除和写入权限，从而限制基本用户，到达维护重要文件的效果

当然，也可以防止基本用户运转指定的顺序

以下为微软建议停止限制的顺序：

regedit.exe

arp.exe

at.exe

attrib.exe

cacls.exe

debug.exe

edlin.exe

eventcreate.exe

eventtriggers.exe

ftp.exe

nbtstat.exe

net.exe

net1.exe

netsh.exe

netstat.exe

nslookup.exe

ntbackup.exe

rcp.exe

reg.exe

regedt32.exe

regini.exe

regsvr32.exe

rexec.exe

route.exe

rsh.exe

sc.exe

secedit.exe

subst.exe

systeminfo.exe

telnet.exe

tftp.exe

tlntsvr.exe

RD局部：注册表权限。由于微软默许的注册表权限分配曾经做得很好了，不需求作什么改动，所以这里就直接略过了

三.关于组战略规那么的设置：

规那么要顾及方便性，因此不能对自己有过多的限制，或许最低限制地，即使出现限制的状况，也能方便地停止扫除

规那么要顾及平安性，首先要思索的对象就是阅读器等上网类软件和可移动设备所带来的要挟。没有这种防外才干的规那么都是不完整或许不合格的

基于文件名防病毒、防流氓的规那么不宜多设，甚至可以舍弃。

一是容易误阻，二是病毒名字可以随意改，特征库式的黑名单只会跟杀软的病毒库一样滞后。

于是，我们有两种方案：

假设想限制少一点的，可以只设防〝入口〞规那么，主要面向U盘和阅读器

假设想平安系数更高、片面一点的，可以思索全局规那么+白名单

详细内容见二楼

待续

最后布置几道作业

，看看大家对下面的内容消化得如何

1.

在规那么〝F:\**\*\*.*

不允许〞下，下面那些文件不能被翻开？

A:F:\a.exe

B.F:\Folder.1\b.exe

C.F:\Folder1\Folder.2\C.txt

D.F:\Folder1\Folder.2\Folder.3\d.exe

2.

在以管理员身份登陆的状况下，树立规那么如下：

%Temp%

受限的

%USERPROFILE%\LocalSettings\TemporaryInternetFiles

不允许的

%ProgramFiles%\InternetExplorer\iexplore.exe

基本用户

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop%

不受限的

在这四条规那么下，假定这样的状况：

iexplore.exe下载一个test.exe到TemporaryInternetFiles目录，然后复制到Temp目录，再从Temp目录中运转test.exe，〔复制和运转的操作都是IE在做〕，然后由text.exe释放test2.exe到桌面，并运转test2.exe。

那么test2.exe的访问令牌为：

A.不受限的

B.不允许的

C.基本用户

D.受限的

3.

试说出F:\win*和F:\win*\的区别

4.

假想象限制QQ的行为，例如右下方弹出的广告，并不允许QQ调用阅读器，可以怎样做？

答对两题即及格。不过貌似还是有些难度规那么局部

基础局部，如何树立规那么：

首先，翻开组战略

末尾-运转，输入〝gpedit.msc〞〔不包括引号〕并回车。

在弹出的对话框中，依次展开计算机配置-Windows设置-平安设置-软件限制战略

假设你之前没有配置过软件限制战略，那么可以在菜单栏上选择操作-创立新的战略

如图

然后转到〝其它规那么〞项，在菜单栏选择〝操作〞，在下拉菜单项选择择〝新途径规那么〞

在弹出的对话框中，就可以编辑规那么了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~华美丽的联系线~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

软件限制战略的其实并不复杂，在规那么设置上是十分复杂的，只要五个平安级别，你要做的就只是写一条途径，然后选择一个平安等级，这样就完成了一条规那么的设置了，不像HIPS那样，光AD局部就细分红N项。

但软件限制战略的难点在于：如何确保你的规那么真正有效并按你的志愿去任务，即如何保证规那么的正

确性和有效性。

从四道标题的答对率来看，发现效果还是不少的

附上标题的参考答案

1.D

考点：注2、注4、注7

这题的C选项是圈套，由于TXT文件不在规那么的阻挠范围之内。

D项参考注7，F:\Folder1\Folder.2\Folder.3〔留意〝.〞〕正好能婚配F:\**\*\*.*，因此Folder.3下面的EXE文件不能被翻开

2.D

说明：此题的考点为〝AD权限的分配/最低权限原那么〞

我们先整理一下父子进程的关系：

iexplore.exe->test.exe->test2.exe

〔基本用户〕

〔受限的〕

〔受限的〕

其中，test.exe从Temp目录启动，受规那么〝%Temp%

受限的〞的限制，其权限降为〝受限的〞。test2.exe从桌面启动，虽然桌面的顺序是不受限的，但由于其父进程为test.exe，故承袭test.exe的权限，故test2.exe的最终取得访问令牌还是〝受限的〞

另外要留意的是，复制、创立文件等操作都不会构成权限的承袭

3.考点：注1、注3、综合剖析

说明：F:\win*和F:\win*\仅相差一个字符〝\〞，由注1可知，*并不包括斜杠。那么斜杠〝\〞在这里的作用是什么？

实践上，这个斜杠在规那么中的作用相当于声明斜杠前的途径指的是目录，而不是文件，留意到这点后，就可以看出区别了：

F:\win*既可以婚配到F:\windows、F:\windir、F:\winrar等目录，也可以婚配到F:\winrar.exe、F:\winNT.bat等文件

而F:\win*\仅能婚配到目录

4.考点：NTFS权限

此题答案不独一，只需是合理可行的方案即可

下面答案仅供参考：

限制QQ的行为，可以把QQ设为基本用户。

防止QQ广告，可以对Tencent下的AD目录调整NTFS权限——取消Users组的创立、写入权限

不允许QQ调用阅读器，可以对IE调整NTFS权限——取消Users组的〝读取和运转〞的权限

参考答案.rar

(1019Bytes,下载次数:561)

下面将详细讨论规那么局部

一、再次强调一下通配符的运用

Windows外面默许

*：恣意个字符〔包括0个〕，但不包括斜杠

?：1个或0个字符

在组战略中*不包括斜杠，这和HIPS是不同的，一定要留意

例如：

C:\Windows\system32可以表示为*\*\system32

而以下的表达式都是有效的：

*\system32、system32\*、system32

二、根目录规那么

软件限制战略对初学者来说有一定的难度，由于它没有HIPS那么丰厚的功用选项，故应用规那么完成某一功用需求一定的

技巧。

根目录规那么就是一例〔制止在某个目录的根目录下的顺序行为〕

假定在EQ中，设置规那么时取消〝包括该目录下面的一切文件〞选项就可以保证规那么仅对根目录起效

而组战略却不是那么复杂就可以做到。

看看下面的规那么：C:\ProgramFiles\*.*不允许的

前面曾经提过，*不包括斜杠，因此这个规那么可视为ProgramFiles的根目录规那么。在此规那么下，形

如C:\ProgramFiles\a.exe等顺序将不能启动。

但这规那么能够招致一些效果，由于通配符即可以婚配到文件，也可以婚配到文件夹。

假设ProgramFiles存在带有〝.〞的目录〔形如C:\ProgramFiles\TTplayer5.2〕，一样可以和规那么

C:\ProgramFiles\*.*婚配，这将招致该文件夹下的顺序无法运转，形成误伤。

by:://ceelnet/常州网站树立

改良一下的话，可以用两条规那么来完成根目录限制

如C:\ProgramFiles

不允许的

C:\ProgramFiles\*\

不受限的

这样就保证了子目录的顺序不受规那么影响

三、一些规那么的模板

根目录规那么：

某目录\*+某目录\*\*

目录规那么〔包括目录中一切文件〕：

某目录\*或某目录\或某目录

含〝*〞的目录规那么：

某目录*\

〔留意要加上斜杠〝\〞〕

文件型规那么：

a.exe、*等

相对途径规那么：

如C:\Windows\explorer.exe

全局型规那么：

*

这里需求说明的是，为什么全局型规那么要运用〝*〞？

由于*属于仅有通配符的规那么，其掩盖范围是最大的，而优先级是最低的，不会遗漏，便于扫除，

最适宜作为全局规那么。

对比〝*.*〞，一个字符〝.〞的存在使规那么的优先级提高了，这将会给扫除任务带来方便

四、规那么实例

1.保证上网平安

很多人问，阅读毒网时，病毒会下载到什么位置执行？

首先是，下载到网页缓存中〔Content.IE5〕，这点很多人都留意到了。不过呢，病毒普通却不会选

择在缓存中执行，而是经过阅读器复制病毒文件到其它目录，例如Windows。system32、Temp，以后

用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其私有子目录、阅读器所在目录等

所以在这里再重复一次已说过N次的话，不要以为把缓存目录设为不允许的就万事大吉了。

至于防范，比拟好的方法就是制止阅读器在敏感位置新建文件，这点运用〝阅读器基本用户〞就可以

做到，规那么如下%ProgramFiles%\InternetExplorer\iexplore.exe

基本用户

假设运用的是其它阅读器，也可以设成基本用户

假定配合以下规那么，效果更佳：*\DocumentsandSettings

不允许的

顺序普通不会从DocumentsandSettings中启动

%ALLAPPDATA%\*\*

不受限的

允许顺序从ApplicationData的子目录启动

%APPDATA%

不允许的

以后用户的ApplicationData目录限制

%APPDATA%\*\

不受限的

允许顺序从ApplicationData的子目录启动

%SystemDrive%\*.*

不允许的

制止顺序从系统盘根目录启动

%Temp%

不受限的

允许顺序从Temp目录启动，装置软件必需

%TMP%

不受限的

同上

并设置用户变量Temp的NTFS权限：

Temp的默许途径为DocumentsandSettings\Administrator\LocalSettings\Temp

在系统盘格式为NTFS的状况下，右击Temp文件夹，选择〝平安〞项，取消Users组的〝读取与运转〞

权限即可。〔同时要取消Everyone组的访问权，且保证Administrators组具有完全访问权限〕

如此设置的作用是：基本用户下的顺序将无法从Temp文件夹运转顺序

2.U盘规那么

比拟实践的做法是U盘:\*

不允许的、不信任的、受限的，都可以

不允许的平安度更高一些，这样也不会影响U盘的普通运用〔正常拷贝、删除等〕

假定你的U盘普通盘符是I，那么规那么可以写成：I:\*

不允许的

3.双后缀文件防范规那么

以下是微软的协助：留意

某些病毒运用的文件具有两个扩展名以使得风险文件看起来像平安的文件。例如，Document.txt.exe

或Photos.jpg.exe。最前面的扩展名是Windows将尝试翻开的扩展名。具有两个扩展名的合法文件

十分少，因此防止下载或翻开这种类型的文件。

有些文件下载起来比顺序或宏文件更平安，例如文本(.txt)或图像(.jpg,.gif,.png)文件。但

是，依然要警觉未知的来源，由于这些文件中的一些文件运用了特意精心设计的格式，可以应用

计算机系统的破绽。

双后缀文件能够的方式比拟多，这里仅放出谍照一张

4.全局规那么

就一条：*

基本用户

假设设成受限的或许不信任/不允许的话，无疑会更平安，但也会带来一些方便。综合思索还是基本用户比拟适宜

在全局规那么下，一定需求对合法的顺序停止扫除的。在扫除的时分，你就会发现运用*作为全局规

那么的优越性了——任何一条规那么的优先级都比它高，所以我们可以很方便地停止扫除。

为了增加扫除的任务量，这里建议大家把软件集中装置在少数的目录，例如ProgramFiles目录，那么

扫除时就可以对整个目录停止，不用渐渐添加

例如扫除规那么：%ProgramFiles%

不受限的

〔软件所在目录〕

*\ApplicationSetups

不受限的

〔装置软件用的文件夹〕

还要扫除一些文件格式，以使其被正常翻开：*.lnk

不受限的

*.ade

不受限的

*.adp

不受限的

*.msi

不受限的

*.msp

不受限的

*.chm

不受限的

*.hlp

不受限的

*.pcd

不受限的

5.其它辅佐规那么

CMD限制战略：%Comspec%

基本用户

留意：在组战略中，微软把cmd.exe和批处置是分开处置的，即使把cmd设成〝不允许的〞，依然可以运转.bat等批处置

由于桌面普通只放快捷方式，所以%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop%

不允许的

同时要让快捷方式可以正常任务：*.lnk

不受限的

方案义务功用很少会用到，所以%SystemRoot%\task

不允许的

协助文件阅读器的控制战略：%WinDir%\hh.exe

基本用户

〔防范CHM捆毒〕

%WinDir%\winhelp.exe

基本用户

%WinDir%\winhlp32.exe

基本用户

脚本宿主控制%WinDir%\system32\?script.exe

受限的〔或许直接不允许〕

一些不会有顺序启动的位置、一些极少用到的系统顺序，你不用但病毒会用，所以建议制止

规那么可以有很多，大可自己发扬，放出图一张：

制止伪装系统顺序

如：lsass.exe

不允许的

%WinDir%\system32\lsass.exe

不受限的

剩下的规那么就留给各位自在发扬了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~华美丽的联系线，怎样?

不够华美？~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

至此，教程终了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

组战略规那么发布：

依据防入口和全局防护的思绪，做了两套规那么——复杂规那么和全局规那么

假设你没有看前面冗长的教程的话，那么至少请记住一点：

假设运用这些规那么而出现〝某某文件夹无法访问〞、〝磁盘空间不够或磁盘不可写〞、〝软件运转错误〞之类的效果的话，请调整对应文件夹或许文件的NTFS权限〔设置成允许Users访问，也可以干脆设置成Users完全访问〕

复杂规那么说明：

以基本用户限制主流阅读器

Avant.exeBrexpo.exefirefox.exeGE.exeGreenBrowser.exegsfbwsr.exeiexplore.exeMaxFox.exemaxthon.exe

miniie.exenetscape.exeopera.exeOrca.exerealplay.exeSafari.exeSeaMonkey.exeSleipnir.exetheworld.exe

TTraveler.exe

限制或禁用一些不常用的系统顺序

制止顺序从U盘启动〔需求手动修正一下规那么〕

全局规那么说明：

采用全局基本用户

并参与了数目可观的系统顺序白名单

默许扫除〔不受限的〕的目录、顺序有：

1.一切分区根目录下的ProgramFiles文件夹

请把软件装置在此目录中，或许另外停止目录扫除

2.一切分区根目录下的〝装置顺序〞文件夹

请从此目录装置顺序，或许另外停止目录扫除

3.一切分区根目录下的〝信任目录〞文件夹

4.System32下的系统运转必需的顺序

以基本用户限制的主流阅读器

Avant.exeBrexpo.exefirefox.exeGE.exeGreenBrowser.exegsfbwsr.exeiexplore.exeMaxFox.exemaxthon.exe

miniie.exenetscape.exeopera.exeOrca.exerealplay.exeSafari.exeSeaMonkey.exeSleipnir.exetheworld.exe

TTraveler.exe

另外提示一下，大家在设置规那么时，留意要思索以下4条系统默许规那么的影响：

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRoot%途径不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRoot%*.exe途径不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRoot%System32\*.exe途径不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%途径不受限的

相当于规那么：

%SystemRoot%不受限的

整个Windows目录不受限

%SystemRoot%\*.exe不受限的

Windows下的exe文件不受限

%SystemRoot%\System32\*.exe不受限的

System32下的exe文件不受限

%ProgramFiles%

不受限的

整个ProgramFiles目录不受限

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

规那么已做成装置包，顺序会提示输入可移动设备盘符，普通直接按〝确定〞即可

复杂规那么和全局规那么之间可以方便地停止转换^_^

假定需求取消一切规那么，执行〝恢复软件限制战略〞附件中的批处置即可

规那么能够还不是很完善，欢迎测试和反应意见

[

本帖最后由深红的雪于2020-11-1419:40编辑

]复杂规那么.rar19.35KB,下载次数:3551全局规那么.rar33.08KB,下载次数:3573恢复软件限制战略.rar181Bytes,下载次数:2971引言

说原创稍有担当不起...而且这标题起的太玩世不恭了，各位情愿揍就揍吧==、其实自己觉得这个比喻还是比拟恰当的，上网好比走路，需求有个平安快捷的方式，方可淋漓尽致；走路需求一双好鞋，配双好鞋垫才干步步为营乐不思蜀，当然了，也有裸奔的，也就是穿拖鞋或许光脚的，正是所谓的让脚趾自在伸展同时随同着肉体上的有限自在...

其实开这个帖子我犹疑了很长很长的时间，一来如今HIPS的讨论都和最新的安防软件有关，新兴的HIPS软件如雨后春笋般雀跃不已，不幸的是，组战略的帖子寥寥无几，发这个帖子有点炒冷饭的嫌疑；二来坛子里高手众多，自己水平也处于才疏学浅，说的不好难免贻笑小气误人子弟，但算来算去最近倒是有些新人也常问一些相关效果，无法迟迟找不到答案，翻置顶的帖子还束手无措，所以作为禁运党，本着BT的人人为我我为人人的肉体，在觉得这个规那么日渐成熟的状况下，就有义务把它开掘整理出来，方便运用。

先啰嗦下，假设各位上网时所做的只要单纯的听歌看电影，玩单机游戏，泡论坛，下资料等一些无需美化的复杂操作，那么这个规那么还比拟适用，而且防护效果算是理想，不过往下看一定要细心，每局部都有需求留意的中央，我没有把这些都融合到一同去写，那样反而觉得乱，找不到源头；假设喜欢折腾软件或停止一些复杂操作，那么还请细心琢磨或到此戛但是止干脆不看，还是那句话，平安性越高，可操作性越低，反之亦然。

=========================你看到一条联系线=========================

注释

本途径规那么适用WindowsXP，系统盘默许C盘，老鸟远观。

欲片面了解软件限制战略作用流程请看此帖==>传送门

拜读了置顶组战略相关帖子可以说阅读下面引荐的这一般的软件限制教程大可以粗略阅读即可，所要做的就是学习下他人规那么的巧妙性来到达举一反三举一反三，适当多搜索一些关键字、多翻翻老帖，温故而知新〔这十分重要〕。本战略是在群众化的规那么里新加了一些更为严峻的战略，力图做到日常运用不耽误，恶意顺序无法执行的特点，所谓终极禁运。不过作为软件限制战略的科普文，气流的帖子曾经集大成之所在，让我好生觊觎，在此也就不再赘述，独一需求特殊强调几点的就是原文里需求重点看的，精简并无耻的援用下：

首先需求做的：

翻开注册表编辑器，展开至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一个DWORD值，命名为Levels，设成0x31000〔即4131000〕即可。

或许直接导入附件里的注册表文件

safer.rar

(279Bytes,下载次数:627)

1.环境变量

%SystemDrive%

表示C:\

%AllUsersProfile%

表示C:\DocumentsandSettings\AllUsers

%UserProfile%

表示C:\DocumentsandSettings\以后用户名

%AppData%

表示C:\DocumentsandSettings\以后用户名\ApplicationData

%Temp%和%Tmp%

表示C:\DocumentsandSettings\以后用户名\LocalSettings\Temp

%ProgramFiles%

表示C:\ProgramFiles

%CommonProgramFiles%

表示C:\ProgramFiles\CommonFiles

%WinDir%

表示C:\WINDOWS

%ComSpec%

表示C:\WINDOWS\system32\cmd.exe

2.通配符

*：恣意个字符〔包括0个〕，但不包括斜杠。

?：1个或0个字符。

3.优先级

总的原那么是：规那么越婚配越优先。

①.相对途径>通配符全途径

如C:\Windows\explorer.exe>*\Windows\explorer.exe

②.文件名规那么>目录型规那么

如假定a.exe在Windows目录中，那么a.exe>C:\Windows

③.环境变量=相应的实践途径=注册表键值途径

如%ProgramF