windows软件限制策略哈希规则

《windows软件限制策略哈希规则》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、Windows软件限制策略哈希规则Windows软件限制策略哈希规则你们是如何禁止指定的程序运行的？是不是以下这两种方法呀？方法A：组策略（可指定运行或指定禁止运行）组策略中的禁用程序功能运行“gpedit.msc”命令打开组策略控制台，在里面展开“用户配置-管理模板-系统”，右侧“只运行许可的Windows应用程序”以及“不要运行指定的windows程序”策略可以帮你很多。用户试图运行未被允许的程序，一律弹出“……限制被取消。请与系统管理员联系。”的对话框。方法B：镜像劫持例如运行QQ，实际上启动ctfmon，系统将没有任何提示。你也可以考虑启动一个VBS或

2、者BAT进行运行指定程序前的密码验证。regadd"HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionsqq.exe"/vdebugger/treg_sz/d"C:WINDOWSsystem32ctfmon.exe"/f呵呵，如果你的答案是“Yes”，那么恭喜你，你在WIIN战队是高手！不过今天发现一个更好的方法。非原创的哟。就是使用散列规则。A、开始--运行--spcpol.msc打开“本地安全设置”，选择“软件限制策略”--“创建新的策略”，创建之后单击

3、“其他规则”，右侧区域将显示规则内容（绝对不要更改其中原有规则，不信你自己收拾崩溃的系统）B、在右侧区域右击选择“新路径规则”，打开“新路径规则”对话框。在“新路径规则”对话框的路径文本框中输入“?：*.*”，安全级别设置为“不允许”，确定既可。然后依次将下列目录的安全级别设置为“不允许”1）?:SystemVolumeInformation2）C:DocumenrsandSettings*LocalSettingSTemporaryInternetFiles3）?:Recycled4）?:RECYCLER5）C:WindowsDownlo

4、adedProgramFiles6）C:Windowssystem7）C:WindowsTsaks8）C:WindowsTemp9）C:Windowssystme32Com10）C:Windowssystme32drivers11）C:DocumenrsandSettings*LocalSettingSTemp12）C:ProgramFilesCommonFilesC、在右侧区域右击，选择“新散列规则”，单击“浏览”按钮，定位到“C:Windowssystme32et.exe”文件，选择打开，将安全级别设置为“不允许

5、的”，并填入描述“net.exe”以便归类区分。D、如不对系统进行设置和安全软件的绝对系统，可加上“C:Windowssystme32rundll32.exe”的散列规则，同样设置为“不允许的”。E、如果真的要彻底全自动，考虑这样的思路进行：1、用VBS或BAT，读取“禁止列表”，并写入变量，主要是程序全路径。2、用VBS的sendkeys，模拟键盘操作GPEDIT.MSC添加这些变量。3、vbs或bat复制本机的Registry.pol，并远程登陆覆盖目标机器的文件。F、先在自己机器上手动配置好要限制的程序和路径（不允许的），或者指定路径下的程序运行（

6、不受限的）。然后选择“显示系统文件，显示所有文件”。按目录复制出C:WINDOWSsystem32GroupPolicygpt.iniC:WINDOWSsystem32GroupPolicyMachineRegistry.pol最后复制出Registry.pol文件。这样做比较适合批量Copy。如果其他机器上要配置，就将Registry.pol文件复制过去。如果要解除所有设置，将Registry.pol文件删除即可。在服务器上配置好策略后，把Registry.pol和gpt.ini文件同步到客户机的相同目录里，再运行gpupdate/forc

7、e刷新一下组策略就可以了。老规矩，解释一下。组策略中的路径规则很多人都有所了解，下面说说散列规则：所谓的散列规则，简单的说就是提取一个文件的特征信息，如版本、Hash等，然后根据这些信息判断是否是同一个文件。由于识别原理的关系，文件散列识别的优点是不论文件名改为什么，只要是同一个文件都能正确识别。但他的优点也是他的缺点，如果用散列规则来实现以上的功能，比如当WindowsUpdate更新了被保护的系统文件，文件版本发生了变更，安全策略就会阻止他的运行，造成系统出错。简而言之就是容易带来兼容性问题。所以一般不使用“新散列规则”。散列规则的制作：在“本地计算机配置

8、”——“windows设置”——“安全