SERVER2003组策略之软件限制策略教程VIP免费

第1页共28页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共28页组策略之软件限制策略——完全教程与规则示例（规则已发布）翻了一下HIPS区之前已有的组策略教程，发现存在几个问题：1.对于路径规则的优先级、通配符问题没有说清，甚至存在误区2.规则的权限设置只有“不允许的”和“不受限的”两个级别，不够灵活3.没有涉及权限和继承的问题4.规则的保护范围有限，甚至不能防网马所以，就有了此文在总结前人经验的基础上，重新解释组策略的软件限制策略第一课，理论部分软件限制策略包括证书规则、散列规则、Internet区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。第2页共28页第1页共28页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共28页组策略.jpg(32.37KB)2008-3-203:53一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE%表示C:\DocumentsandSettings\当前用户名%HOMEPATH%表示C:\DocumentsandSettings\当前用户名%ALLUSERSPROFILE%表示C:\DocumentsandSettings\AllUsers%ComSpec%表示C:\WINDOWS\System32\cmd.exe%APPDATA%表示C:\DocumentsandSettings\当前用户名\ApplicationData%ALLAPPDATA%表示C:\DocumentsandSettings\AllUsers\ApplicationData%SYSTEMDRIVE%表示C:%HOMEDRIVE%表示C:%SYSTEMROOT%表示C:\WINDOWS第3页共28页第2页共28页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共28页%WINDIR%表示C:\WINDOWS%TEMP%和%TMP%表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp%ProgramFiles%表示C:\ProgramFiles%CommonProgramFiles%表示C:\ProgramFiles\CommonFiles关于通配符：Windows里面默认*：任意个字符（包括0个），但不包括斜杠?：1个字符几个例子*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每个目录下的所有子文件夹。C:\win*匹配C:\winnt、C:\windows、C:\windir以及每个目录下的所有子文件夹。*.vbs匹配WindowsXPProfessional中具有此扩展名的任何应用程序。C:\ApplicationFiles\*.*匹配特定目录（ApplicationFiles）中的应用程序文件，但不包括ApplicationFiles的子目录关于优先级:1.绝对路径>通配符相对路径如C:\Windows\explorer.exe>*\Windows\explorer.exe2.文件型规则>目录型规则如若a.exe在Windows目录中，那么a.exe>C:\Windows注：如何区分文件规则和目录规则？不严格地说，其区分标志为字符“.”。例如,*.*就比C:\WINDOWS的优先级要高，如果我们要排除WINDOWS根目录下的程序，就需要这样做C:\WINDOWS\*.*而严格的说法是，只要规则中的字符能够匹配到文件名中，那么该规则就是文件型规则，否则为目录型规则。可见，文件型、目录型都是相对而言的3.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%4.若两条规则路径等效，那么两条规则合成的结果是：从严处理，以最低的权限为准。如“C:\Windows\explorer.exe不受限的”+“C:\Windows\explorer.exe基本用户”=“C:\Windows\explorer.exe基本用户第4页共28页第3页共28页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第4页共28页注：1.通配符*并不包括斜杠\。例如*\WINDOWS匹配C:\Windows，但不匹配C:\Sandbox\WINDOWS2.*和**是完全等效的，例如**\**\abc=*\*\abc3.C:\abc\*可以直接写为C:\abc\或者C:\abc，最后的*是可以省去的，因为软件限制策略中已经存储了执行文件类型作为*的内容了。（指派的文件类型）4.软件限制策略只对“指派的文件类型”列表中的格式起效。例如*.txt不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。指派的文件类型属性.jpg(27.83KB)2008-3-203:535.*和*.*是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.*的优先级比*的高6.?:\*与?:\*.*是截然不同的，...