组策略之软件限制策略教程

《组策略之软件限制策略教程》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、组策略之软件限制策略——完全教程与规则示例（规则已发布）翻了一下HIPS区之前已有的组策略教程，发现存在几个问题：1.对于路径规则的优先级、通配符问题没有说清，甚至存在误区2.规则的权限设置只有“不允许的”和“不受限的”两个级别，不够灵活3.没有涉及权限和继承的问题4.规则的保护范围有限，甚至不能防网马所以，就有了此文在总结前人经验的基础上，重新解释组策略的软件限制策略第一课，理论部分软件限制策略包括证书规则、散列规则、Internet区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若

2、没有特别说明，则直接指路径规则。组策略之软件限制策略——完全教程与规则示例（规则已发布）翻了一下HIPS区之前已有的组策略教程，发现存在几个问题：1.对于路径规则的优先级、通配符问题没有说清，甚至存在误区2.规则的权限设置只有“不允许的”和“不受限的”两个级别，不够灵活3.没有涉及权限和继承的问题4.规则的保护范围有限，甚至不能防网马所以，就有了此文在总结前人经验的基础上，重新解释组策略的软件限制策略第一课，理论部分软件限制策略包括证书规则、散列规则、Internet区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了

3、，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。组策略.jpg(32.37KB)2008-3-203:53一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE% 表示C:DocumentsandSettings当前用户名%HOMEPATH%  表示C:DocumentsandSettings当前用户名%ALLUSERSPROFILE% 表示C:DocumentsandSettingsAllUsers%ComSpec% 表示C:WINDOWSSystem32cmd.exe%APPDATA%

4、 表示C:DocumentsandSettings当前用户名ApplicationData%ALLAPPDATA% 表示C:DocumentsandSettingsAllUsersApplicationData%SYSTEMDRIVE%表示C:%HOMEDRIVE% 表示C:%SYSTEMROOT% 表示C:WINDOWS%WINDIR%   表示C:WINDOWS%TEMP%和%TMP% 表示C:DocumentsandSettings当前用户名LocalSettingsTemp%ProgramFiles% 表示C:Prog

5、ramFiles%CommonProgramFiles% 表示C:ProgramFilesCommonFiles关于通配符：Windows里面默认*：任意个字符（包括0个），但不包括斜杠?：1个字符几个例子*Windows匹配C:Windows、D:Windows、E:Windows以及每个目录下的所有子文件夹。C:win*匹配C:winnt、C:windows、C:windir以及每个目录下的所有子文件夹。*.vbs匹配WindowsXPProfessional中具有此扩展名的任何应用程序。C:ApplicationFiles

6、*.*匹配特定目录（ApplicationFiles）中的应用程序文件，但不包括ApplicationFiles的子目录关于优先级:1.绝对路径>通配符相对路径如C:Windowsexplorer.exe>*Windowsexplorer.exe 2.文件型规则>目录型规则   如若a.exe在Windows目录中，那么 a.exe>C:Windows注：如何区分文件规则和目录规则？不严格地说，其区分标志为字符“.”。例如,*.*就比C:WINDOWS的优先级要高，如果我们要排除WINDOWS根目录下的程序，就需要这样做C:WINDOWS

7、*.*而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。可见，文件型、目录型都是相对而言的3.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:ProgramFiles=%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.若两条规则路径等效，那么两条规则合成的结果是：从严处理，以最低的权限为准。如“C:Windowsexplorer.exe不受限的”+“C:Wind

8、owsexplorer.exe基本用户”=“C:Windowsexplorer.exe基