组策略管理——软件限制策略（5）

在本系列上篇文章 组策略管理——软件限制策略（4）中简述了编写软件限制策略的基本方法，在本文中，将继续说明编写软件限制策略的其余问题。

---

保护 system32 下的系统关键进程

确保系统安全的第一步，就是保证自身不受威胁仿冒，为了保护系统关键进程，进行以下策略配置：

C:\WINDOWS\system32\csrss.exe      不受限的 C:\WINDOWS\system32\ctfmon.exe    不受限的 C:\WINDOWS\system32\lsass.exe      不受限的 C:\WINDOWS\system32\rundll32.exe    不受限的 C:\WINDOWS\system32\services.exe  不受限的 C:\WINDOWS\system32\smss.exe    不受限的 C:\WINDOWS\system32\spoolsv.exe    不受限的 C:\WINDOWS\system32\svchost.exe      不受限的 C:\WINDOWS\system32\winlogon.exe    不受限的

进而再屏蔽掉其余路径下仿冒进程

csrss.*      不容许的  （.*  表示任意后缀名，这样就涵盖了  bat  com  等等可执行的后缀） ctfm?n.*  不容许的 lass.*      不容许的 lssas.*      不容许的 rund*.*        不容许的 services.*      不容许的 smss.*      不容许的 sp???sv.*      不容许的 s??h?st.*      不容许的 s?vch?st.*    不容许的 win??g?n.*    不容许的

防止假装进程

一些病毒和恶意软件一般喜欢假装为咱们常见的进程来迷惑用户，例如 Windows 常见进程 svchost.exe 就是常见的已被假装进程。

以 svchost.exe 为例，防止假装进程可将限制策略编辑为：

svchost.exe  不容许的 c:\windows\system32\svchost.exe  不受限的

防止恶意使用 CMD

在系统环境变量中，默认的 CMD 调用路径为 %Comspec%，所以只需在软件限制策略中编辑条目将 %Comspec% 设置为须要的限制等级便可。

此时，虽然防止了 CMD 的恶意使用，但并不能对批处理命令进行限制，由于在系统的运行层面上，对于 CMD  和批处理命令有着不一样的执行方式，如需限制批处理命令，还须要结合文件扩展名进行限制。

浏览器安全

浏览网页中毒的主要途径是经过网页的页面缓存，经过缓存的文件，病毒与***会将自身进行复制、转移等操做，由此，对浏览器缓存文件进行限制，而且限制 IE 对系统敏感位置进行操做就成为保障浏览器安全环节中的重要一环。咱们这里使用的方法就是禁止 IE 在系统敏感位置建立文件。

建立以下规则：

%ProgramFiles%\Internet Explorer\iexplore.exe    基本用户 %UserProfile%\Local Settings\Temporary Internet Files\*.*    不容许的 %UserProfile%\Local Settings\Temporary Internet Files\*    不容许的 %UserProfile%\Local Settings\Temporary Internet Files\    不容许的 %UserProfile%\Local Settings\Temporary Internet Files    不容许的

非 IE 浏览器状况下，请将浏览器设置为基本用户权限，也能很好的达到必定的安全防范效果。  

免疫流氓软件与恶意插件

能够利用软件限制策略进一步对上网安全进行优化，例如，为了免疫流氓软件与恶意插件，咱们能够配置以下限制规则：

3721.*    不容许的 CNNIC.*    不容许的 *Bar.*    不容许的

禁止从回收站和备份文件夹执行文件

?:\Recycler\**\*.*    不容许的 ?:\System Volume Information\**\*.*    不容许的

防范移动存储设备携毒

将系统中可分配给移动设备的盘符统统进行限制，例如 G:、H:、I:、J: 等。

使用规则：

?:\*.* ?:\autorun.inf      不容许的 注：使用时请将问号替换为相应的移动设备盘符

根据须要，限制为：受限、不容许、不信任 便可。

其中，不容许 的安全度更高一些，而且不会对移动存储设备的正常操做有什么影响。

根据须要准确限制目录位置

例如咱们须要限制 C: 盘下的程序文件夹下的程序运行，可能会建立以下规则：

C:\Program Files\*.*  不容许

在这条规则中，使用通配符来进行匹配，表面看来，这样的规则是没有任何问题的，但在某些特殊状况下，使用通配符则可能因为其不肯定性引发误伤。

须要注意的是，通配符不只能够匹配到文件，也能够匹配到文件夹。

例如，若是在此目录下，很多用户都存在这 ****.NET 或 MSXML *.* 这样的目录，如此的文件夹名称，一样能够和前文中编辑的规则相匹配，所以，在编辑软件限制策略时，一样要根据须要准确的限制目录位置。

例如前文中的示例，只要将其修改成以下形式，就能很好的避免误伤的状况发生。

C:\Program Files     不容许的 C:\Program Files\*\  不受限的

 

---

PS：至此，本系列就完结了，其中参考了部分网络及期刊对于软件限制策略应用实例的文章，统统感谢の。欢迎各位继续关注本博客其余文章！谢谢！