第1页共67页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共67页目录七寸”其实就是所谓的“打蛇打七寸”.......................................................................................1[原创]组策略之软件限制策略——完全教程与规则示例..........................................................11七寸”其实就是所谓的“打蛇打七寸”七寸”其实就是所谓的“打蛇打七寸”,以击中要害为目的,而最大限度的不干扰其他操作,所以,如果要完成“七寸”的效果,就不能用全局规则的想法来考虑,而只能以point-to-point的模式来进行管制。诚然,组策略对于交互式的HIPS操作来说,可比性各有千秋,HIPS的API函数挂钩是一个一个的完成,胜在细致、直观,但是总会有漏掉的;而组策略的一个安全等级相当于一个现成的HIPS规则,这显然要比HIPS一个一个的HOOK高效得多,毕竟这是微软给我们提供好的,虽然也不能所每个安全等级都能面面俱到,但至少它胜在方便,上手简单。既然不能用全局规则的思路来编,那么就从系统目录一个一个来讲,至于其他盘符目录,可以在熟悉的条件下自己添加,这里仅举出系统盘策略。在XP系统,系统盘假设为C盘,那么其下无非就几个目录而已,DocumentsandSettings,ProgramFiles,WINDOWS,一些WindowsInstaller软件的安装还会创建一个Config.Msi目录。关于通配符、优先级和环境变量,这里再赘述一遍,因为它很重要:*:任意个字符(包括0个),但不包括斜杠。?:1个或0个字符。优先级总的原则是:规则越匹配越优先。①.绝对路径>通配符全路径如C:\Windows\explorer.exe>*\Windows\explorer.exe②.文件名规则>目录型规则如若a.exe在Windows目录中,那么a.exe>C:\Windows③.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%④.对于同是目录规则,则能匹配的目录级数越多的规则越优先;对于同是文件名规则,优先级均相同。⑤.若规则的优先级相同,按最受限制的规则为准。第2页共67页第1页共67页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共67页举例:绝对路径(如C:\Windows\system32\cmd.exe)>通配符全路径(如*\Windows\*\cmd.exe)>文件名规则(如cmd.exe)=通配符文件名规则(如*.*)>部分绝对路径(不包含文件名,如C:\Windows\system32)=部分通配符路径(不包含文件名,如C:\*\system32)>C:\Windows=*\*常用的环境变量:%SystemDrive%表示C:\%AllUsersProfile%表示C:\DocumentsandSettings\AllUsers%UserProfile%表示C:\DocumentsandSettings\当前用户名%AppData%表示C:\DocumentsandSettings\当前用户名\ApplicationData%Temp%和%Tmp%表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp%ProgramFiles%表示C:\ProgramFiles%CommonProgramFiles%表示C:\ProgramFiles\CommonFiles%WinDir%表示C:\WINDOWS%ComSpec%表示C:\WINDOWS\system32\cmd.exe===========================================一、DocumentsandSettings于是我们来一步一步排除,在一些缓存目录未修改的前提下,首先需要排除的是三个用户程序目录,一些软件在安装完毕后会在这三个目录下创建相关文件:%AppData%\*\不受限的%AppData%\LocalSettings\ApplicationData\*\不受限的%AllUsersProfile%\ApplicationData\*\不受限的然后在排除文档目录%UserProfile%\MyDocuments基本用户第3页共67页第2页共67页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共67页%AllUsersProfile%\Documents基本用户接着排除临时文件目录%Temp%不受限的%Tmp%不受限的最后在排除桌面目录%UserProfile%\桌面受限的%AllUsersProfile%\桌面受限的附加*.lnk不受限的排除完毕后,就可以放心的加上一条禁止规则%SystemDrive%\DocumentsandSettings,因为上面的这几个目录是我们常用到的,除了这几个目录,其他位置运行的文件基本都不是什么好东西。二、ProgramFiles第一个目录搞定,慢慢接着往下来。ProgramFiles目录相对来讲...
