组策略软件限制策略----以阻止病毒入侵

《组策略软件限制策略----以阻止病毒入侵》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、一、软件限制策略的作用首先说一下HIPS的3DAD——程序保护保护应用程序不被恶意修改、删除、注入FD——文件保护保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件RD——注册表保护保护注册表关键位置不被恶意修改、读取、删除XP系统软件限制策略可以做到上面的AD与FD,至J-RD,nJ以通过注册表权限设置来实现因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。二、软件限制策略的优劣势1、优势优势是很明显的，它是系统的一•部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力

2、远不是HIPS可以比拟的2、劣势劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行三、软件限制策略规则编写实例我直接以一些最常见的例子來说明1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级关于这一点，大家可以看“2楼”2、如何阻止恶意程序运行旨先要注意，恶意程序一般会藏身在什么地方?:分区根目录C:WINDOWS（后而讲解一律以系统在C盘为例）C:WINDOWSsystem32C:

3、DocumentsandSettingsAdministratorC:DocumentsandSettingsAdministratorApplicationDataC:DocumentsandSettingsVAllUsersC:DocumentsandSettingsAllUsersApplicationDataC:DocumentsandSettingsAdministrator「开始」菜单程序启动C:DocumentsandSettingsAllUsers「

4、开始」菜单程序丿［动C:ProgramFilesC:ProgramFilesCommonFiles注意：C:DocumentsandSettingsAdministratorC:DocumentsandSettingsAdministratorApplicationDataC:DocumenlsandSettingsAllUsersC:DocumentsandSettingsVAllUsersApplicationDataC:DocumentsandSettingsA

5、dministrator「开始」菜单程序启动C:DocumentsandSettingsAllUsers「开始」菜单程序启动C:ProgramFilesC:ProgramFilesCommonFiles这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了%ALLAPPDATA%*.*不允许的%ALLUSERSPROFILE%*.*不允许的%ALLUSERPROFILE%「刃:始」菜单程序启动*.*不允许的%APP

6、DATA%*.*不允许的%USERSPROFILE%*.*%USERPROFILE%「开始」菜单程序启动*.*不允许的%ProgramFiles%*.*不允许的%CommonProgramFiles%*.*不允许的那么対于C:WINDOWSC:WINDOWSsystem32这两个路径的规则怎么写呢？C:WINDOWS下只有explorer.exe>notepad.exe>摄像头程序、声卡管理程序是需要运行的,而其他都不需要运行则其规则可以这样写：%SYSTEMROOT%*.

7、*不允许的（首先禁止C:WINDOWSK运行可执行文件）C:WINDOWSexplorer.exe不受限的C:WINDOWSotepad.exe不受限的C:WINDOWSamcap.exe不受限的C:WINDOWSRTHDCPL.EXE不受限的（然后利用绝对路径优先级大于通配符路径的原则，设置上述儿个排除规则，贝U，在C:WINDOWSb»除了explorer.exenotepad.exes摄像头程序、声卡管理程序可以运行外,其他所有的可执行文件均不可运行）对于C:WINDO

8、WSsystem32就不能像上而那样写规则了，在SYSTEM32下面很多系统必须的町执行文件，如果一个一个排除，那太累了。所以，对system32,我们只要对它的子文件作一些限制，并対系统关键进程进行保护子文件夹的限制%SYSTEMROOT%system32config***.*不允许的%SYSTEMROOT%system32drivers**不允许的%SYSTEMROOT%system32spool***.*不允许的当然你可以限制更多的子文件