班组策略完全解析VIP免费

第1页共67页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共67页目录七寸”其实就是所谓的“打蛇打七寸”.......................................................................................1[原创]组策略之软件限制策略——完全教程与规则示例..........................................................11七寸”其实就是所谓的“打蛇打七寸”七寸”其实就是所谓的“打蛇打七寸”，以击中要害为目的，而最大限度的不干扰其他操作，所以，如果要完成“七寸”的效果，就不能用全局规则的想法来考虑，而只能以point-to-point的模式来进行管制。诚然，组策略对于交互式的HIPS操作来说，可比性各有千秋，HIPS的API函数挂钩是一个一个的完成，胜在细致、直观，但是总会有漏掉的；而组策略的一个安全等级相当于一个现成的HIPS规则，这显然要比HIPS一个一个的HOOK高效得多，毕竟这是微软给我们提供好的，虽然也不能所每个安全等级都能面面俱到，但至少它胜在方便，上手简单。既然不能用全局规则的思路来编，那么就从系统目录一个一个来讲，至于其他盘符目录，可以在熟悉的条件下自己添加，这里仅举出系统盘策略。在XP系统，系统盘假设为C盘，那么其下无非就几个目录而已，DocumentsandSettings，ProgramFiles，WINDOWS，一些WindowsInstaller软件的安装还会创建一个Config.Msi目录。关于通配符、优先级和环境变量，这里再赘述一遍，因为它很重要：*：任意个字符（包括0个），但不包括斜杠。?：1个或0个字符。优先级总的原则是：规则越匹配越优先。①.绝对路径>通配符全路径如C:\Windows\explorer.exe>*\Windows\explorer.exe②.文件名规则>目录型规则如若a.exe在Windows目录中，那么a.exe>C:\Windows③.环境变量=相应的实际路径=注册表键值路径如%ProgramFiles%=C:\ProgramFiles=%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Program④.对于同是目录规则，则能匹配的目录级数越多的规则越优先；对于同是文件名规则，优先级均相同。⑤.若规则的优先级相同，按最受限制的规则为准。第2页共67页第1页共67页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共67页举例：绝对路径(如C:\Windows\system32\cmd.exe)>通配符全路径(如*\Windows\*\cmd.exe)>文件名规则(如cmd.exe)=通配符文件名规则(如*.*)>部分绝对路径(不包含文件名，如C:\Windows\system32)=部分通配符路径（不包含文件名，如C:\*\system32）>C:\Windows=*\*常用的环境变量：%SystemDrive%表示C:\%AllUsersProfile%表示C:\DocumentsandSettings\AllUsers%UserProfile%表示C:\DocumentsandSettings\当前用户名%AppData%表示C:\DocumentsandSettings\当前用户名\ApplicationData%Temp%和%Tmp%表示C:\DocumentsandSettings\当前用户名\LocalSettings\Temp%ProgramFiles%表示C:\ProgramFiles%CommonProgramFiles%表示C:\ProgramFiles\CommonFiles%WinDir%表示C:\WINDOWS%ComSpec%表示C:\WINDOWS\system32\cmd.exe===========================================一、DocumentsandSettings于是我们来一步一步排除，在一些缓存目录未修改的前提下，首先需要排除的是三个用户程序目录，一些软件在安装完毕后会在这三个目录下创建相关文件：%AppData%\*\不受限的%AppData%\LocalSettings\ApplicationData\*\不受限的%AllUsersProfile%\ApplicationData\*\不受限的然后在排除文档目录%UserProfile%\MyDocuments基本用户第3页共67页第2页共67页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共67页%AllUsersProfile%\Documents基本用户接着排除临时文件目录%Temp%不受限的%Tmp%不受限的最后在排除桌面目录%UserProfile%\桌面受限的%AllUsersProfile%\桌面受限的附加*.lnk不受限的排除完毕后，就可以放心的加上一条禁止规则%SystemDrive%\DocumentsandSettings，因为上面的这几个目录是我们常用到的，除了这几个目录，其他位置运行的文件基本都不是什么好东西。二、ProgramFiles第一个目录搞定，慢慢接着往下来。ProgramFiles目录相对来讲也很简单...