组策略软件限制策略规则包编写之菜鸟入门

《组策略软件限制策略规则包编写之菜鸟入门》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、组策略软件限制策略规则包编写之菜鸟入门组策略软件限制策略规则包编写之菜鸟入门昨天做了一个组策略软件限制策略规则编写教程，原帖见：http://bbs.ylmf.com/read.php?fid=10&tid=435857&u=379569考虑到可能有些初学者不太理解，今天花了一下午时间，重新精简编辑了我自己的规则，以适合普通用户直接套用，并附带了详细的编写原理、注意事项等，希望借此抛砖引玉，使各位潜水的高手也能将自己的规则分享出来讨论，也希望初学者可以DIY出适合自己的规则。非常欢迎大家将自己的规则拿出来讨论，

2、以使此规则不断进步和完善，成为传统安全软件有力的辅助和补充。好了，废话说了一大堆，下面进入正文：一、软件限制策略的作用首先说一下HIPS的3DAD——程序保护保护应用程序不被恶意修改、删除、注入FD——文件保护保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件RD——注册表保护保护注册表关键位置不被恶意修改、读取、删除XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。二、软件限制策略的优劣势1、优势优势是很明显的

3、，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是HIPS可以比拟的2、劣势劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行三、软件限制策略规则编写实例我直接以一些最常见的例子来说明1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级关于这一点，大家可以看原帖http://bbs.ylmf.com/read.php?fid=10&tid=435857&u=3795692

4、、如何阻止恶意程序运行首先要注意，恶意程序一般会藏身在什么地方？:分区根目录C:WINDOWS（后面讲解一律以系统在C盘为例）C:WINDOWSsystem32C:DocumentsandSettingsAdministratorC:DocumentsandSettingsAdministratorApplicationDataC:DocumentsandSettingsAllUsersC:DocumentsandSettingsAllUsersApplicationDataC:D

5、ocumentsandSettingsAdministrator「开始」菜单程序启动C:DocumentsandSettingsAllUsers「开始」菜单程序启动C:ProgramFilesC:ProgramFilesCommonFiles注意：C:DocumentsandSettingsAdministratorC:DocumentsandSettingsAdministratorApplicationDataC:DocumentsandSettingsAllUsers

6、C:DocumentsandSettingsAllUsersApplicationDataC:DocumentsandSettingsAdministrator「开始」菜单程序启动C:DocumentsandSettingsAllUsers「开始」菜单程序启动C:ProgramFilesC:ProgramFilesCommonFiles这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了%ALLAPPDATA%*.*不允许的

7、%ALLUSERSPROFILE%*.*不允许的%ALLUSERPROFILE%「开始」菜单程序启动*.*不允许的%APPDATA%*.*不允许的%USERSPROFILE%*.*%USERPROFILE%「开始」菜单程序启动*.*不允许的%ProgramFiles%*.*不允许的%CommonProgramFiles%*.*不允许的那么对于C:WINDOWSC:WINDOWSsystem32这两个路径的规则怎么写呢？C:WINDOWS下只有explorer.exe、notep

8、ad.exe、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行则其规则可以这样写：%SYSTEMROOT%*.*不允许的（首先禁止C:WINDOWS下运行可执行文件）C:WINDOWSexplorer.exe不受限的C:WINDOWSotepad.exe不受限的C:WINDOWSamcap.exe不受限的C:WINDOWSRTHDCPL.EXE不受限的C: