组策略之软件限制策略——完全教程与规则示例

组策略之软件限制策略——完全教程与规则示例-HIPS专区-卡饭论坛_杀毒软件_防火墙_HIPS_反病毒_计算机安全=211671&highlight=[2009/6/2922:47:55]qiumu退出分栏模式短消息搜索标签转帖工具领取红包我的控制面板帮助收藏订阅推荐打印卡饭茶舍|软件下载专区|HIPS专区|防火墙专区|病毒样本区|国内杀毒软件专区|国外杀毒软件专区|计算机安全软件下载免费的安全盛宴|关于安全软件的12个谣言和误会~卡巴官方最新正式版|官方最新测试版帮助他人，快乐自己|助人者，人助之82款国外杀毒软件官方介绍附优秀文章论坛常见问题解答|相逢在论坛从杀毒软件到文化|我们为什么要装防火墙hips新手入门|卡饭HIPS教程集合病毒样本区|费尔区[原创]组策略之软件限制策略——完全教程与规则示例卡饭主站?卡饭论坛?HIPS专区?组策略之软件限制策略——完全教程与规则示例[查看热帖]??上一主题|下一主题??47312345678910??...48帖子积分技术值魅力值人气值防御装备来自注册时间卡饭_荣誉团队深红的雪3052925373244spellcard幻想乡2006-11-10个人空间发短消息加为好友当前离线什么是技术？高手是怎样练就的？---《你尽力了吗？！》1楼大中小发表于2008-3-203:53只看该作者组策略之软件限制策略——完全教程与规则示例Tags:规则示例软件教程通配符导读注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了组策略之软件限制策略——完全教程与规则示例-HIPS专区-卡饭论坛_杀毒软件_防火墙_HIPS_反病毒_计算机安全=211671&highlight=[2009/6/2922:47:55]一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE%表示C:\DocumentsandSettings\当前用户名%HOMEPATH%表示C:\DocumentsandSettings\当前用户名%ALLUSERSPROFILE%表示C:\DocumentsandSettings\AllUsers%ComSpec%表示C:\WINDOWS\System32\cmd.exe%APPDATA%表示C:\DocumentsandSettings\当前用户名\ApplicationData%ALLAPPDATA%表示C:\DocumentsandSettings\AllUsers\ApplicationData%SYSTEMDRIVE%表示C:%HOMEDRIVE%表示C:%SYSTEMROOT%表示C:\WINDOWS%WINDIR%表示C:\WINDOWS%TEMP%和%TMP%表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp%ProgramFiles%表示C:\ProgramFiles%CommonProgramFiles%表示C:\ProgramFiles\CommonFiles关于通配符：Windows里面默认*：任意个字符（包括0个），但不包括斜杠?：1个或0个字符几个例子*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每个目录下的所有子文件夹。C:\win*匹配C:\winnt、C:\windows、C:\windir以及每个目录下的所有子文件夹。*.vbs匹配WindowsXPProfessional中具有此扩展名的任何应用程序。C:\ApplicationFiles\*.*匹配特定目录（ApplicationFiles）中的应用程序文件，但不包括ApplicationFiles的子目录关于优先级:总的原则是:规则越匹配越优先1.绝对路径通配符全路径如C:\Windows\explorer.exe*\Windows\explorer.exe2.文件名规则目录型规则如若a.exe在Windows目录中，那么a.exeC:\Windows3.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%4.对于同是目录规则，则能匹配的目录级数越多的规则越优先对于同是文件名规则，优先级均相同5.散列规则比任何路径规则优先级都高组策略之软件限制策略——完全教程与规则示例-HIPS专区-卡饭论坛_杀毒软件_防火墙_HIPS_反病毒_计算机安全=211671&highlight=[2009/6/2922:47:55]6.若规则的优先级相同，按最受限制的规则为准举例说明，例如cmd的全路径是C:\Windows\system32\cmd.exe那么，优先级顺序是：绝对路径(如C:\Windows\system32\cmd.exe)通配符全路径(如*\Windows\*\cmd.exe)文件名规则(如cmd.exe)=通配符文件名规则(如*.*)部分绝对路径(不包含文件名，如C:\Windows\system32)=部分通配符路径（不包含文件名，如C:\*\system32）C:\Windows=*\*注：1.通配符*并不包括斜杠\。例如*\WINDOWS匹配C:\Windows，但不匹配C:\Sandbox\WINDOWS2.*和**是完全等效的，例如**\**\abc=*\*\abc3.C:\abc\*可以直接写为C:\abc\或者C:\abc，最后的*是可以省去的，因为软件限制策略的规则可以直接匹配到目录。4.软件限制策略只对“指派的文件类型”列表中的格式起效。例如*.txt不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。而且默认不对加载dll进行限制，除非在“强制”选项中指定：5.*和*.*是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.*的优先级比*的高6.?:\*与?:\*.*是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹，简单说，就是整个硬盘；而?:\*.*仅包括所有分区下的带“.”的文件或目录，一般情况下，指的就是各盘根目录下的文件。那非一般情况是什么呢？请参考第7点7.?:\*.*中的“.”可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定是文件，可以是文件夹。例如F:\ab.c，一样符合?:\*.*，所以规则对F:\ab.c下的所有文件及子目录都生效。8.这是很多人写规则时的误区。首先引用《组策略软件限制策略规则包编写之菜鸟入门（修正版）》里的一段：说实话，上面引用的部分不少地方都是错误的先不谈这样的规则能否保护上网安全，实际上这几条规则在设置时就犯了一些错误例如：%USERPROFILE%\LocalSettings\**\*.*不允许的可以看出，规则的原意是阻止程序从LocalSettings（包括所有子目录）中启动现在大家不妨想想这规则的实际作用是什么？先参考注1和注2，**和*是等同的，而且不包含字符“\”。所以，这里规则的实际效果是“禁止程序从LocalSettings文件夹的一级子目录中启动”，不包引用:4、如何保护上网的安全在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵%SYSTEMROOT%\tasks\**\*.*不允许的（这个是计划任务，病毒藏身地之一）%SYSTEMROOT%\Temp\**\*.*不允许的%USERPROFILE%\Cookies\*.*不允许的%USERPROFILE%\LocalSettings\**\*.*不允许的（这个是IE缓存、历史记录、临时文件所在位置）组策略之软件限制策略——完全教程与规则示例-HIPS专区-卡饭论坛_杀毒软件_防火墙_HIPS_反病毒_计算机安全=211671&highlight=[2009/6/2922:47:55]括LocalSettings根目录，也不包括二级和以下的子目录。现在我们再来看看LocalSettings的一级子目录有哪些：Temp、TemporaryInternetFiles、ApplicationData、History。阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装那么，阻止程序从TemporaryInternetFiles根目录启动又如何呢？实际上，由于IE的缓存并不是存放TemporaryInternetFiles根目录中，而是存于TemporaryInternetFiles的子目录Content.IE5的子目录里（-_-||），所以这种写法根本不能阻止程序从IE缓存中启动，是没有意义的规则若要阻止程序从某个文件夹及所有子目录中启动，正确的写法应该是：某目录\**某目录\*某目录\某目录9.这是流传的所谓防U盘病毒规则，事实上这条规则是没有作用的，关于这点在关于各种策略防范U盘病毒的讨论已经作了分析二.软件限制策略的3D的实现：“软件限制策略通过降权实现AD，并通过NTFS权限实现FD，同时通过注册表权限实现RD，从而完成3D的部署”对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微软内置的规则，即使我们修改“用户权限指派”项的内容（这个是对登陆用户的权限而言），也无法对软件限制策略中的安全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表权限来配置FD和RD，这就比AD部分要灵活得多。小结一下，就是AD——用户权利指派（内置的安全等级）FD——NTFS权限RD——注册表权限先说AD部分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。基本用户，基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权