组策略完全解析

目录七寸”其实就是所谓的“打蛇打七寸”..............................................................................................1[原创]组策略之软件限制策略——完全教程与规则示例..........................................................11七寸”其实就是所谓的“打蛇打七寸”七寸”其实就是所谓的“打蛇打七寸”，以击中要害为目的，而最大限度的不干扰其他操作，所以，如果要完成“七寸”的效果，就不能用全局规则的想法来考虑，而只能以point-to-point的模式来进行管制。诚然，组策略对于交互式的HIPS操作来说，可比性各有千秋，HIPS的API函数挂钩是一个一个的完成，胜在细致、直观，但是总会有漏掉的；而组策略的一个安全等级相当于一个现成的HIPS规则，这显然要比HIPS一个一个的HOOK高效得多，毕竟这是微软给我们提供好的，虽然也不能所每个安全等级都能面面俱到，但至少它胜在方便，上手简单。既然不能用全局规则的思路来编，那么就从系统目录一个一个来讲，至于其他盘符目录，可以在熟悉的条件下自己添加，这里仅举出系统盘策略。在XP系统，系统盘假设为C盘，那么其下无非就几个目录而已，DocumentsandSettings，ProgramFiles，WINDOWS，一些WindowsInstaller软件的安装还会创建一个Config.Msi目录。关于通配符、优先级和环境变量，这里再赘述一遍，因为它很重要：*：任意个字符（包括0个），但不包括斜杠。?：1个或0个字符。优先级总的原则是：规则越匹配越优先。①.绝对路径通配符全路径如C:\Windows\explorer.exe*\Windows\explorer.exe②.文件名规则目录型规则如若a.exe在Windows目录中，那么a.exeC:\Windows③.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%④.对于同是目录规则，则能匹配的目录级数越多的规则越优先；对于同是文件名规则，优先级均相同。⑤.若规则的优先级相同，按最受限制的规则为准。举例：绝对路径(如C:\Windows\system32\cmd.exe)通配符全路径(如*\Windows\*\cmd.exe)文件名规则(如cmd.exe)=通配符文件名规则(如*.*)部分绝对路径(不包含文件名，如C:\Windows\system32)=部分通配符路径（不包含文件名，如C:\*\system32）C:\Windows=*\*常用的环境变量：%SystemDrive%表示C:\%AllUsersProfile%表示C:\DocumentsandSettings\AllUsers%UserProfile%表示C:\DocumentsandSettings\当前用户名%AppData%表示C:\DocumentsandSettings\当前用户名\ApplicationData%Temp%和%Tmp%表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp%ProgramFiles%表示C:\ProgramFiles%CommonProgramFiles%表示C:\ProgramFiles\CommonFiles%WinDir%表示C:\WINDOWS%ComSpec%表示C:\WINDOWS\system32\cmd.exe===========================================一、DocumentsandSettings于是我们来一步一步排除，在一些缓存目录未修改的前提下，首先需要排除的是三个用户程序目录，一些软件在安装完毕后会在这三个目录下创建相关文件：%AppData%\*\不受限的%AppData%\LocalSettings\ApplicationData\*\不受限的%AllUsersProfile%\ApplicationData\*\不受限的然后在排除文档目录%UserProfile%\MyDocuments基本用户%AllUsersProfile%\Documents基本用户接着排除临时文件目录%Temp%不受限的%Tmp%不受限的最后在排除桌面目录%UserProfile%\桌面受限的%AllUsersProfile%\桌面受限的附加*.lnk不受限的排除完毕后，就可以放心的加上一条禁止规则%SystemDrive%\DocumentsandSettings，因为上面的这几个目录是我们常用到的，除了这几个目录，其他位置运行的文件基本都不是什么好东西。二、ProgramFiles第一个目录搞定，慢慢接着往下来。ProgramFiles目录相对来讲也很简单，受限禁止ProgramFiles根目录运行程序，然后排除下一级目录：%ProgramFiles%不允许的%ProgramFiles%\*\不受限的然后把系统程序降权，限制其访问令牌，重点是联网的，尤其是浏览器：%ProgramFiles%\InternetExplorer基本用户%ProgramFiles%\NetMeeting基本用户%ProgramFiles%\OutlookExpress基本用户%ProgramFiles%\WindowsMediaPlayer基本用户%ProgramFiles%\WindowsNT基本用户关于一些其他程序的降权，可以参考我之前发的一个帖子：禁止一些存放软件用到的公用库目录，放心大胆的禁：%CommonProgramFiles%\*.*%CommonProgramFiles%\DESIGNER%CommonProgramFiles%\MicrosoftShared%CommonProgramFiles%\MSSoap%CommonProgramFiles%\ODBC%CommonProgramFiles%\Services%CommonProgramFiles%\SpeechEngines%CommonProgramFiles%\System最后添加%CommonProgramFiles%基本用户，作用于一些用户文件，比如Adobe，Tencent...这样ProgramFiles目录就排除完毕，是不是很简单？没错，追求基本安全的方法就是这样容易上手。三、Windows备受争议的Windows目录，但别看Windows目录下目录这么多，多数病毒的隐匿居所基本都是一些常见的目录，慢慢来：先排除Windows目录下的一些常用程序：explorer.exeNOTEPAD.exeregedit.exeTASKMAN.exesoundman.exeamcap.exeRTHDCPL.exeRTLCPL.exetaskman.exe需要降权为基本用户的一些程序：hh.exe防帮助文件捆绑winhelp.exe防chm格式文件捆绑winhlp32.exe（此文件在Windows目录和system32目录都有）至于一些用户程序会在Windows下建立的一些程序，不是很多的，自己手动排除下就可以了。然后禁止一些高危目录：%WinDir%\Debug调试目录%WinDir%\DownloadedProgramFiles防IE插件%WinDir%\Fonts字体目录，一般程序不会在此目录启动%WinDir%\inf用于存放驱动信息目录%WinDir%\OfflineWebPages脱机浏览文件目录%WinDir%\system16位系统文件目录，一般程序不会在此目录启动%WinDir%\tasks禁止计划任务目录启动可疑程序%WinDir%\Temp高危系统变量，禁止%WinDir%\WinSxS系统重要组件，一般程序不会在此目录启动最后加上两条：%WinDir%不允许的%WinDir%\*\不受限的顺承接入下一目录，鱼龙混杂的system32，既然不考虑全局，那么可以只禁止一些高危目录:%WinDir%\system32\Com除了系统自有的程序，一般程序不会在此目录启动%WinDir%\system32\config系统配置目录，包括注册表%WinDir%\system32\dllcache备份目录，一般程序不会在此目录启动%WinDir%\system32\drivers驱动目录，一般程序不会在此目录启动%WinDir%\system32\ShellExt危险目录，禁止%WinDir%\system32\spool打印机目录，不用打印机的话可以禁止%WinDir%\system32\wins危险目录，禁止然后再禁止一些不必要的系统程序：%WinDir%\system32\at.exe计划任务，很少用到%WinDir%\system32\autoconv.exe防止启动中转换系统%WinDir%\system32\autofmt.exe防止启动中格式化%WinDir%\system32\cacls.exe管制访问控制列表%WinDir%\system32\format.com格式化命令，禁止%WinDir%\system32\Fsutil.exe用于执行多种系统相关的任务，高级用户才能使用%WinDir%\system32\ntsd.exe危险调试程序，禁止%WinDir%\system32\regini.exe修改注册表权限，禁止%WinDir%\system32\replace.exe替换保护文件和正在运行的文件，禁止%WinDir%\system32\sc.exe配置服务用，防被恶意调用%WinDir%\system32\subst.exe将路径与驱动器盘符关联，很少用到%WinDir%\system32\taskkill.exe命令行结束进程工具，禁止%WinDir%\system32\wscript.exe脚本宿主，防止恶意脚本当然，这些往往要根据个人知识掌握度来添加。这样一来Windows和system32目录差不多也排除完毕，没有设置%WinDir%\*\基本用户是因为那样基本相当于系统目录全局规则，而且还要做很多排除工作。四、其他相关目录1.输入法目录的限制：%WinDir%\ime受限的%WinDir%\system32\IME受限的2.禁止可移动磁盘：U盘盘符:\*不信任的或不允许的都可以3.禁止系统盘根目录：%SystemDrive%\*.*不信任的或不允许的都可以4.禁止双后缀恶意程序：*.*.bat*.*.chm*.*.cmd*.*.pif*.*.vbs*.?peg.exe*.rm??.exe*.torrent.exe*.???.exe（其中???可以是mp3、avi、doc、rar等，觉得这个限制太严厉的话，就拆开写，一些常见的都可以写进去。）5.禁止一些特殊的后缀：*.cmd高危格式禁止?.exe高危格式禁止6.降权一些特殊的后缀：*.scr基本用户（防止恶意scr屏保）因为cmd和bat在组策略里是单独处理的，也就是说，禁止cmd之后，bat也可以独立运行，所以：%ComSpec%基本用户*.bat基本用户（bat等一些格式降权后双击会提示无关联操作，这个可能与open方式有关，此时可以通过调用的方式打开，如Win+R，处理的过程仍然是以基本用户权限运行的cmd，或者更简单的方式——创建快捷方式。）7.特殊的系统目录：?:\Recycle?\回收站目录不信任的或不允许的都可以?:\SystemVolumeInformation系统还原目录不信任的或不允许的都可