組策略管理——軟件限制策略（5）

在本系列上篇文章 組策略管理——軟件限制策略（4）中簡述了編寫軟件限制策略的基本方法，在本文中，將繼續說明編寫軟件限制策略的其餘問題。

---

保護 system32 下的系統關鍵進程

確保系統安全的第一步，就是保證自身不受威脅仿冒，爲了保護系統關鍵進程，進行以下策略配置：

C:\WINDOWS\system32\csrss.exe      不受限的 C:\WINDOWS\system32\ctfmon.exe    不受限的 C:\WINDOWS\system32\lsass.exe      不受限的 C:\WINDOWS\system32\rundll32.exe    不受限的 C:\WINDOWS\system32\services.exe  不受限的 C:\WINDOWS\system32\smss.exe    不受限的 C:\WINDOWS\system32\spoolsv.exe    不受限的 C:\WINDOWS\system32\svchost.exe      不受限的 C:\WINDOWS\system32\winlogon.exe    不受限的

進而再屏蔽掉其餘路徑下仿冒進程

csrss.*      不容許的  （.*  表示任意後綴名，這樣就涵蓋了  bat  com  等等可執行的後綴） ctfm?n.*  不容許的 lass.*      不容許的 lssas.*      不容許的 rund*.*        不容許的 services.*      不容許的 smss.*      不容許的 sp???sv.*      不容許的 s??h?st.*      不容許的 s?vch?st.*    不容許的 win??g?n.*    不容許的

防止假裝進程

一些病毒和惡意軟件一般喜歡假裝爲咱們常見的進程來迷惑用戶，例如 Windows 常見進程 svchost.exe 就是常見的已被假裝進程。

以 svchost.exe 爲例，防止假裝進程可將限制策略編輯爲：

svchost.exe  不容許的 c:\windows\system32\svchost.exe  不受限的

防止惡意使用 CMD

在系統環境變量中，默認的 CMD 調用路徑爲 %Comspec%，所以只需在軟件限制策略中編輯條目將 %Comspec% 設置爲須要的限制等級便可。

此時，雖然防止了 CMD 的惡意使用，但並不能對批處理命令進行限制，由於在系統的運行層面上，對於 CMD  和批處理命令有着不一樣的執行方式，如需限制批處理命令，還須要結合文件擴展名進行限制。

瀏覽器安全

瀏覽網頁中毒的主要途徑是經過網頁的頁面緩存，經過緩存的文件，病毒與***會將自身進行復制、轉移等操做，由此，對瀏覽器緩存文件進行限制，而且限制 IE 對系統敏感位置進行操做就成爲保障瀏覽器安全環節中的重要一環。咱們這裏使用的方法就是禁止 IE 在系統敏感位置建立文件。

建立以下規則：

%ProgramFiles%\Internet Explorer\iexplore.exe    基本用戶 %UserProfile%\Local Settings\Temporary Internet Files\*.*    不容許的 %UserProfile%\Local Settings\Temporary Internet Files\*    不容許的 %UserProfile%\Local Settings\Temporary Internet Files\    不容許的 %UserProfile%\Local Settings\Temporary Internet Files    不容許的

非 IE 瀏覽器狀況下，請將瀏覽器設置爲基本用戶權限，也能很好的達到必定的安全防範效果。  

免疫流氓軟件與惡意插件

能夠利用軟件限制策略進一步對上網安全進行優化，例如，爲了免疫流氓軟件與惡意插件，咱們能夠配置以下限制規則：

3721.*    不容許的 CNNIC.*    不容許的 *Bar.*    不容許的

禁止從回收站和備份文件夾執行文件

?:\Recycler\**\*.*    不容許的 ?:\System Volume Information\**\*.*    不容許的

防範移動存儲設備攜毒

將系統中可分配給移動設備的盤符統統進行限制，例如 G:、H:、I:、J: 等。

使用規則：

?:\*.* ?:\autorun.inf      不容許的 注：使用時請將問號替換爲相應的移動設備盤符

根據須要，限制爲：受限、不容許、不信任 便可。

其中，不容許 的安全度更高一些，而且不會對移動存儲設備的正常操做有什麼影響。

根據須要準確限制目錄位置

例如咱們須要限制 C: 盤下的程序文件夾下的程序運行，可能會建立以下規則：

C:\Program Files\*.*  不容許

在這條規則中，使用通配符來進行匹配，表面看來，這樣的規則是沒有任何問題的，但在某些特殊狀況下，使用通配符則可能因爲其不肯定性引發誤傷。

須要注意的是，通配符不只能夠匹配到文件，也能夠匹配到文件夾。

例如，若是在此目錄下，很多用戶都存在這 ****.NET 或 MSXML *.* 這樣的目錄，如此的文件夾名稱，一樣能夠和前文中編輯的規則相匹配，所以，在編輯軟件限制策略時，一樣要根據須要準確的限制目錄位置。

例如前文中的示例，只要將其修改成以下形式，就能很好的避免誤傷的狀況發生。

C:\Program Files     不容許的 C:\Program Files\*\  不受限的

 

---

PS：至此，本系列就完結了，其中參考了部分網絡及期刊對於軟件限制策略應用實例的文章，統統感謝の。歡迎各位繼續關注本博客其餘文章！謝謝！