第1页共28页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共28页组策略之软件限制策略——完全教程与规则示例(规则已发布)翻了一下HIPS区之前已有的组策略教程,发现存在几个问题:1.对于路径规则的优先级、通配符问题没有说清,甚至存在误区2.规则的权限设置只有“不允许的”和“不受限的”两个级别,不够灵活3.没有涉及权限和继承的问题4.规则的保护范围有限,甚至不能防网马所以,就有了此文在总结前人经验的基础上,重新解释组策略的软件限制策略第一课,理论部分软件限制策略包括证书规则、散列规则、Internet区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。第2页共28页第1页共28页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共28页组策略.jpg(32.37KB)2008-3-203:53一.环境变量、通配符和优先级关于环境变量(假定系统盘为C盘)%USERPROFILE%表示C:\DocumentsandSettings\当前用户名%HOMEPATH%表示C:\DocumentsandSettings\当前用户名%ALLUSERSPROFILE%表示C:\DocumentsandSettings\AllUsers%ComSpec%表示C:\WINDOWS\System32\cmd.exe%APPDATA%表示C:\DocumentsandSettings\当前用户名\ApplicationData%ALLAPPDATA%表示C:\DocumentsandSettings\AllUsers\ApplicationData%SYSTEMDRIVE%表示C:%HOMEDRIVE%表示C:%SYSTEMROOT%表示C:\WINDOWS第3页共28页第2页共28页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共28页%WINDIR%表示C:\WINDOWS%TEMP%和%TMP%表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp%ProgramFiles%表示C:\ProgramFiles%CommonProgramFiles%表示C:\ProgramFiles\CommonFiles关于通配符:Windows里面默认*:任意个字符(包括0个),但不包括斜杠?:1个字符几个例子*\Windows匹配C:\Windows、D:\Windows、E:\Windows以及每个目录下的所有子文件夹。C:\win*匹配C:\winnt、C:\windows、C:\windir以及每个目录下的所有子文件夹。*.vbs匹配WindowsXPProfessional中具有此扩展名的任何应用程序。C:\ApplicationFiles\*.*匹配特定目录(ApplicationFiles)中的应用程序文件,但不包括ApplicationFiles的子目录关于优先级:1.绝对路径>通配符相对路径如C:\Windows\explorer.exe>*\Windows\explorer.exe2.文件型规则>目录型规则如若a.exe在Windows目录中,那么a.exe>C:\Windows注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。例如,*.*就比C:\WINDOWS的优先级要高,如果我们要排除WINDOWS根目录下的程序,就需要这样做C:\WINDOWS\*.*而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。可见,文件型、目录型都是相对而言的3.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%4.若两条规则路径等效,那么两条规则合成的结果是:从严处理,以最低的权限为准。如“C:\Windows\explorer.exe不受限的”+“C:\Windows\explorer.exe基本用户”=“C:\Windows\explorer.exe基本用户第4页共28页第3页共28页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共28页注:1.通配符*并不包括斜杠\。例如*\WINDOWS匹配C:\Windows,但不匹配C:\Sandbox\WINDOWS2.*和**是完全等效的,例如**\**\abc=*\*\abc3.C:\abc\*可以直接写为C:\abc\或者C:\abc,最后的*是可以省去的,因为软件限制策略中已经存储了执行文件类型作为*的内容了。(指派的文件类型)4.软件限制策略只对“指派的文件类型”列表中的格式起效。例如*.txt不允许的,这样的规则实际上无效,除非你把TXT格式也加入“指派的文件类型”列表中。指派的文件类型属性.jpg(27.83KB)2008-3-203:535.*和*.*是有区别的,后者要求文件名或路径必须含有“.”,而前者没有此限制,因此,*.*的优先级比*的高6.?:\*与?:\*.*是截然不同的,...
