组策略之软件限制策略__完全教程与规则示例

组策略之软件限制策略——完全教程与规则示例导读实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE%表示C:\DocumentsandSettings\当前用户名%HOMEPATH%表示C:\DocumentsandSettings\当前用户名%ALLUSERSPROFILE%表示C:\DocumentsandSettings\AllUsers%ComSpec%表示C:\WINDOWS\System32\cmd.exe%APPDATA%表示C:\DocumentsandSettings\当前用户名\ApplicationData%ALLAPPDATA%表示C:\DocumentsandSettings\AllUsers\ApplicationData%SYSTEMDRIVE%表示C:%HOMEDRIVE%表示C:%SYSTEMROOT%表示C:\WINDOWS%WINDIR%表示C:\WINDOWS%TEMP%和%TMP%表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp%ProgramFiles%表示C:\ProgramFiles%CommonProgramFiles%表示C:\ProgramFiles\CommonFiles关于通配符：Windows里面默认*：任意个字符（包括0个），但不包括斜杠?：1个或0个字符几个例子*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每个目录下的所有子文件夹。C:\win*匹配C:\winnt、C:\windows、C:\windir以及每个目录下的所有子文件夹。*.vbs匹配WindowsXPProfessional中具有此扩展名的任何应用程序。C:\ApplicationFiles\*.*匹配特定目录（ApplicationFiles）中的应用程序文件，但不包括ApplicationFiles的子目录关于优先级:1.绝对路径通配符相对路径如C:\Windows\explorer.exe*\Windows\explorer.exe2.文件型规则目录型规则如若a.exe在Windows目录中，那么a.exeC:\Windows3.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%4.散列规则比任何路径规则优先级都高总的来说，就是规则越匹配越优先注：1.通配符*并不包括斜杠\。例如*\WINDOWS匹配C:\Windows，但不匹配C:\Sandbox\WINDOWS2.*和**是完全等效的，例如**\**\abc=*\*\abc3.C:\abc\*可以直接写为C:\abc\或者C:\abc，最后的*是可以省去的，因为软件限制策略的规则可以直接匹配到目录。4.软件限制策略只对“指派的文件类型”列表中的格式起效。例如*.txt不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。5.*和*.*是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.*的优先级比*的高6.?:\*与?:\*.*是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹，简单说，就是整个硬盘；而?:\*.*仅包括所有分区下的带“.”的文件或目录，一般情况下，指的就是各盘根目录下的文件。那非一般情况是什么呢？请参考第7点7.?:\*.*中的“.”可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定是文件，可以是文件夹。例如F:\ab.c，一样符合?:\*.*，所以规则对F:\ab.c下的所有文件及子目录都生效。8.这是很多人写规则时的误区。首先引用《组策略软件限制策略规则包编写之菜鸟入门（修正版）》里的一段：引用:4、如何保护上网的安全在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵%SYSTEMROOT%\tasks\**\*.*不允许的（这个是计划任务，病毒藏身地之一）%SYSTEMROOT%\Temp\**\*.*不允许的%USERPROFILE%\Cookies\*.*不允许的%USERPROFILE%\LocalSettings\**\*.*不允许的（这个是IE缓存、历史记录、临时文件所在位置）说实话，上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全，实际上这几条规则在设置时就犯了一些错误例如：%USERPROFILE%\LocalSettings\**\*.*不允许的可以看出，规则的原意是阻止程序从LocalSettings（包括所有子目录）中启动现在大家不妨想想这规则的实际作用是什么？先参考注1和注2，**和*是等同的，而且不包含字符“\”。所以，这里规则的实际效果是“禁止程序从LocalSettings文件夹的一级子目录中启动”，不包括LocalSettings根目录，也不包括二级和以下的子目录。现在我们再来看看LocalSettings的一级子目录有哪些：Temp、TemporaryInternetFiles、ApplicationData、History。阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装那么，阻止程序从TemporaryInternetFiles根目录启动又如何呢？实际上，由于IE的缓存并不是存放TemporaryInternetFiles根目录中，而是存于TemporaryInternetFiles的子目录Content.IE5的子目录里（-_-||），所以这种写法根本不能阻止程序从IE缓存中启动，是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动，正确的写法应该是：某目录\**某目录\*某目录\某目录9.引用:?:\autorun.inf不允许的这是流传的所谓防U盘病毒规则，事实上这条规则是没有作用的，关于这点在关于各种策略防范U盘病毒的讨论已经作了分析二.软件限制策略的3D的实现：“软件限制策略本身即实现AD，并通过NTFS权限实现FD，同时通过注册表权限实现RD，从而完成3D的部署”对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微软内置的规则，即使我们修改“用户权限指派”项的内容，也无法对软件限制策略中的安全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表权限来配置FD和RD，这就比AD部分要灵活得多。小结一下，就是AD——用户权利指派FD——NTFS权限RD——注册表权限先说AD部分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。基本用户，基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。受限的，比基本用户限制更多，也仅享有“跳过遍历检查”的特权。不信任的，不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。不允许的，无条件地阻止程序执行或文件被打开很容易看出，按权限大小排序为不受限的基本用户受限的不信任的不允许的其中，基本用户、受限的、不信任的这三个安全等级是要手动打开的具体做法：打开注册表编辑器，展开至HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers新建一个DOWRD，命名为Levels，其值可以为0x10000//增加受限的0x20000//增加基本用户0x30000//增加受限的，基本用户0x31000//增加受限的，基本用户，不信任的设成0x31000（即4131000）即可如图：或者将下面附件中的reg双击导入注册表即可safer.rar(279Bytes)再强调两点：1.“不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限2.“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限字，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。权限的分配与继承:这里的讲解默认了一个前提：假设你的用户类型是管理员。在没有软件限制策略的情况下，很简单，如果程序a启动程序b，那么a是b的父进程，b继承a的权限现在把a设为基本用户，b不做限制（把b设为不受限或者不对b设置规则效果是一样的）然后由a启动b，那么b的权限继承于a，也是基本用户，即:a（基本用户）-b（不受限的）=b（基本用户）若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即a（不受限的）-b（基本用户）=b（基本用户）可以看到，一个程序所能获得的最终权限取决于：父进程权限和规则限定的权限的最低等级，也就是我们所说的最低权限原则举一个例：若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只剩下尸体了。甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的机会。FD：NTFS权限*要求磁盘分区为NTFS格式*其实MicrosoftWindows的每个新版本都对NTFS文件系统进行了改进。NTFS的默认权限对大多数组织而言都已够用。NTFS权限的分配1.如果一个用户属于多个组，那么该用户所获得的权限是各个组的叠加2.“拒绝”的优先级比“允许”要高例如：用户A同时属于Administrators和Everyone组，若Administrators组具有完全访问权，但Everyone组拒绝对目录的写入，那么用户A的实际权限是：不能对目录写入，但可以进行除此之外的任何操作高级权限名称描述（包括了完整的FD和部分AD）引用:遍历文件夹/运行文件（遍历文件夹可以不管，主要是“运行文件”，若无此权限则不能启动文件，相当于AD的运行应用程序）允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍历文件夹的权限（仅适用于文件夹）。列出文件夹/读取数据允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容，而不影响您对