软件限制策略

2024年1月9日发(作者：)

软 件进入本地安全策略的路径：1:开始-设置-控制面板-管理工具-本地安全策略2:直接运行 /s就能打开管理工具。即时刷新命令 /wait:-1注意：红色字体的路径项在操作设置时请注意，有可能对以后的安装软件等操作有影响01路径 不允许的%USERPROFILE%桌面*.*02路径 不允许的%USERPROFILE%Local SettingsT03路径 不允许的%USERPROFILE%Local SettingsT04路径 不允许的*.BAT

05路径 不允许的*.SCR06用户文件目路径 不允许的C:*.*

07录限制路径 不允许的C:Program Files*.*

08路径 不允许的C:Program FilesCommon Files09路径 不允许的C:WINDOWSTemp*.*10路径 不允许的C:WINDOWSConfig*.*11路径 不允许的C:WINDOWSsystem32*.LOG12路径 不允许的C:WINDOWSsystem32drivers*.13路径 不允许的C:WINDOWSDownloaded Program

14路径 不允许的C:Program FilesInternet Expl15散列 不受限的 (6.0.3790.1830)

IE限制策略路径116散列 不受限的 (5.2.3790.2732)

散列322324散列 不受限的 (6.0.3790.1830)

路径 不允许的CSRSS.*

散列 不受限的 (5.2.3790.0)

路径 不允许的LSASS.*

散列 不受限的 (5.2.3790.0)

路径 不允许的RUND??32.*

散列 不受限的 (5.2.3790.1830)

路径 不允许的SMSS.*

25散列 不受限的 (5.2.3790.1830)

26路径 不允许的SVCH?ST.*

27散列 不受限的 (5.2.3790.1830)

28路径 不允许的WIN??G?N.*

29散列 不受限的 (5.2.3790.1830)

303132SYSTEM32目录下33容易被木马3435伪装的EXE路径20散列2036散列 不受限的路径 不允许的a?g.*散列 不受限的路径 不允许的cmd.*散列 不受限的路径 不允许的c?nime.*散列 不受限的

373839464748495051525354路径 不允许的散列 不受限的路径 不允许的散列 不受限的路径 不允许的d??h?st.*iag.*

n?tepad.*散列 不受限的路径 不允许的pr?gman.*散列 不受限的路径 不允许的regedt32.*散列 不受限的

路径 不允许的runas.*散列 不受限的路径 不允许的散列 不受限的路径 不允许的散列 不受限的路径 不允许的services.*v??32.*???sv.*散列 不受限的kmgr.*r.**.COM

55路径 不允许的56散列 不受限的57路径 不允许的58路径 不允许的59散列 不受限的60散列 不受限的61散列 不受限的62散列 不受限的63windows/sy散列 不受限的64stem32下面散列 不受限的的后缀为COM的14个文件

stem32下面65的后缀为散列 不受限的66COM的14个散列 不受限的

文件67散列 不受限的68散列 不受限的69散列 不受限的70散列 不受限的71散列 不受限的72散列 不受限的73路径 不允许的C:WINDOWS*.exe74路径 不允许的EXP??RER.*

757677787980818283散列 不受限的dows散列 不受限的里做9个必散列 不受限的要的散列散列 不受限的散列 不受限的

散列 不受限的twunk_

散列 不受限的twunk_

散列 不受限的散列 不受限的

软 件 限 制 策 略可能对以后的安装软件等操作有影响禁止当前用户桌面上所有文件的运行禁止当前用户临时文件目录下,不含子目录,所有文件的运行禁止当前用户临时文件目录下,不含子目录,所有文件的运行禁止任何路径下的批处理文件运行禁止任何路径下的.scr（屏幕保护）文件运行禁止C:根目录下所有文件的运行此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行此级目录下不应该有后缀名为LOG的文件此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行此目录下只有以下3个文件。禁止IE目录下,不含子目录,所有文件的运行所在位置:C:Program FilesInternet Explorer, 赋予可运行权限,此文件为ie运行时需调用的动态链接库文件所在位置:C:Program FilesInternet Explorer, 赋予可运行权限,这个是微软新加的IE崩溃检测程序，当IE运行中崩溃时，插件以及崩溃管理系统将分析崩溃时都运行了那些插件，并提交给用户。所在位置:C:Program FilesInternet Explorer, 赋予可运行权限,这是Microsoft Internet Explorer的主程序。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。阻止任何目录下的伪装成系统文件程序的运行所在位置:C:WINDOWSsystem32,是系统的正常进程。是核心部分，客户端服务子系统，用以控制图形相关子系统。系统中只有一个进程，若以上系统中出现两个(其中一个位于Windows文件夹中)，则是感染了或@mm病毒。阻止任何目录下的伪装成系统文件程序的运行所在位置:C:WINDOWSsystem32,是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。也有可能是、.b、Webus.B、MyDoom.L、、创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。阻止任何目录下的伪装成系统文件程序的运行所在位置:C:WINDOWSsystem32,Rundll32为了需要调用DLLs的程序阻止任何目录下的伪装成系统文件程序的运行所在位置:C:WINDOWSsystem32,进程为会话管理子系统用以初始化系统变量，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的Winlogon，Win32（）线程和设定的系统变量作出反映。在启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，就会让系统停止响应。注意：如果系统中出现了不只一个进程，而且有的路径是"%WINDIR%"，那就是中了.a病毒，阻止任何目录下的伪装成系统文件程序的运行所在位置:C:WINDOWSsystem32,Service Host Process是一个标准的动态连接库主机处理服务。文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。文件定位在系统的Windowssystem32文件夹下。在启动的时候，检查注册表中的位置来构建需要加载的服务列表。这就会使多个在同一时间运行。在XP中一般有4个以上的服务进程,是系统的核心进程，不是病毒进程只会在C:WindowsSystem32目录下找到一个程序。如果你在其他目录下发现程序的话，那很可能就是中毒了(阻止任何目录下的伪装成系统文件程序的运行)

所在位置:C:WINDOWSsystem32,是Windows NT登陆管理器。它用于处理系统的登陆和登陆过程。该进程非常重要。注意：也可能是.D@mm蠕虫病毒。该病毒通过Email传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除所在位置:C:WINDOWSsystem32,用于处理Windows网络连接共享和网络连接防火墙。这个程序对系统正常运行非常重要(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,是一个32位的命令行程序，这不是纯粹的系统程序，如果终止它，可能会导致不可知的问题(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,DirectX 检测程序，运行检测本机硬件加速情况(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,是Windows自带的记事本程序(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,是从Windows3.0延续下来的“程序管理器”，相当于现在的。(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,是Windows的配置编辑器。它用于修改Windows配置数据库或注册表使用它修改注册表值时必须格外小心。注册表中的值丢失或不正确将导致安装的 Windows无法使用。(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,是输入法编辑器相关程序。注意：同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,是微软Windows操作系统的一部分。用于管理启动和停止服务。也会处理在计算机启动和关机时运行服务。这个程序对系统是非常重要的。不过services也可能是.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,Windows声音控制进程在任务栏驻留用以控制音量和声卡相(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,Windows打印服务相关(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。(阻止任何目录下的伪装成系统文件程序的运行)所在位置:C:WINDOWSsystem32,(阻止任何目录下的伪装成系统文件程序的运行)禁止任何路径下的.com文件运行所在位置:C:WINDOWSsystem32，显示活动控制台代码页数量所在位置:C:WINDOWSsystem32，是32位msdos环境下的命令解释器所在位置:C:WINDOWSsystem32，比较两张软盘的内容所在位置:C:WINDOWSsystem32，将软盘的内容复制到目标驱动器中所在位置:C:WINDOWSsystem32，文本文件编辑程序所在位置:C:WINDOWSsystem32，磁盘格式化程序

所在位置:C:WINDOWSsystem32，启用可在图形模式下显示扩展字符集的功能所在位置:C:WINDOWSsystem32所在位置:C:WINDOWSsystem32所在位置:C:WINDOWSsystem32所在位置:C:WINDOWSsystem32，显示系统状态更改系统设置或重新配置端口或设备所在位置:C:WINDOWSsystem32，管道命令每次显示一个输出屏幕所在位置:C:WINDOWSsystem32，图像化显示路径或驱动器中磁盘的目录结构所在位置:C:WINDOWSsystem32禁止临时文件目录下,不含子目录,所有文件的运行,以阻止某些木马程序文件的运行阻止任何目录下的伪装成系统文件程序的运行所在位置:C:WINDOWS,用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。这是一个用户的shell，它对windows系统的稳定性还是比较重要的所在位置:C:WINDOWS所在位置:C:WINDOWS 注册表编辑器所在位置:C:WINDOWS所在位置:C:WINDOWS所在位置:C:WINDOWS所在位置:C:WINDOWS所在位置:C:WINDOWS所在位置:C:WINDOWS