组策略软件限制策略以阻止病毒入侵

2024年3月7日发(作者：)

组策略软件限制策略以止病毒入侵

阻 Final revision on November 26, 2020

一首、先软说件一限下制HI策P略S的的作3用

D

AD——程序保护 保护应用程序不被恶意修改、删除、注入

FD——文件保护 保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件

RD——注册表保护 保护注册表关键位置不被恶意修改、读取、删除

XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现

因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。

二1、软件、限制策略优的优劣势

势

优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是2、HIPS劣可以比拟的

势

劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行

三我、直软接件以限一制些策最略常

1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级

关于这一点，大家

2、如何阻止恶意程序运行

可以看“2楼”

见规的则例编子写来实说例

明

首先要注意，恶意程序一般会藏身在什么地方

:分区根目录

C:WINDOWS （后面讲解一律以系统在C盘为例）

C:WINDOWSsystem32

C:Documents and SettingsAdministrator

C:Documents and SettingsAdministratorApplication Data

C:Documents and SettingsAll Users

C:Documents and SettingsAll UsersApplication Data

C:Documents and SettingsAdministrator「开始」菜单程序启动

C:Documents and SettingsAll Users「开始」菜单程序启动

C:Program Files

C:Program FilesCommon Files

注意：

C:Documents and SettingsAdministrator

C:Documents and SettingsAdministratorApplication Data

C:Documents and SettingsAll Users

C:Documents and SettingsAll UsersApplication Data

C:Documents and SettingsAdministrator「开始」菜单程序启动

C:Documents and SettingsAll Users「开始」菜单程序启动

C:Program Files

C:Program FilesCommon Files

这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了

%ALLAPPDATA%*.* 不允许的

%ALLUSERSPROFILE%*.* 不允许的

%ALLUSERPROFILE%「开始」菜单程序启动*.* 不允许的

%%AUPSPEDRASTAP%RO*F.I*L

E

%不允*许.的

*

%USERPROFILE%「开始」菜单程序启动*.* 不允许的

%ProgramFiles%*.* 不允许的

%CommonProgramFiles%*.* 不允许的

那么对于

C:WINDOWS C:WINDOWSsystem32 这两个路径的规则怎么写呢

C:WINDOWS下只有、、摄像头程序、声卡管理程序是需要运行的，而其他都不需则其规要则可以运这样写行

：

%SYSTEMROOT%*.* 不允许的 （首先禁止C:WINDOWS下运行可执行文件）

CCCC::::WWWWIIIINNNNDDDDOOOOWWWWSSSS

不不不不受受受受限限限限的

的

的

的

（然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:WINDOWS下，除了、、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文

对于C:WINDOWSsystem32就不能像上面那样写规则了，在SYSTEM32下面很多系统必须的可执行文件，如果一个一个排除，那太累了。所以，对system32，我们只要对它的子文件作一些限制，并对系统关键进程进行保护

子文件夹的限制

件均不可运行）

%SYSTEMROOT%system32config***.* 不允许的

%SYSTEMROOT%system32drivers***.* 不允许的

%SYSTEMROOT%system32spool***.* 不允许的

当然你可以限制

3、如何保护system32下的系统关键进程

更多的子文件夹

有些进程是系统启动时必须加载的，你不能阻止它的运行，但这些进程又常常被恶意软件仿冒，怎么办其实很简单，这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出现在其他的路径中。那么我们可以这样应对：

C:WINDOWSsystem32 不受限的

C:WINDOWSsystem32 不受限的

C:WINDOWSsystem32 不受限的

C:WINDOWSsystem32 不受限的

C:WINDOWSsystem32不受限的

C:WINDOWSsystem32 不受限的

C:WINDOWSsystem32 不受限的

C:WINDOWSsystem32 不受限的

C:WINDOWSsystem32 不受限的

先完全允许正常路径下这些进程，再屏蔽掉其他路径下仿冒进程

csrss.* 不允许的（.*表示任意后缀名，这样就涵盖了batcom等等可执行的后s***.*

4、如何保护上网的安全

n***.

*

.

*

缀*

不不不不不不不不不不允允允允允允允允允允许许许许许许许许许许）

的

的

的

的

的

的

的

的

的

的

在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵

%SYSTEMROOT%tasks***.* 不允许的 （这个是计划任务，病毒藏身地之一）

%SYSTEMROOT%Temp***.* 不允许的

%USERPROFILE%Cookies*.* 不允许的

%USERPROFILE%Local Settings***.* 不允许的（这个是IE缓存、历史记录

、临时文件所在位置）

另3C*等外7NB等可2Na，以1Ir不免疫.C..一***，些

常

见的不流允允允自氓软许许许件

的

的

的

加

不不

大家赘述可以己添注意，*.* 这个格式只会阻止可执行文件，而不会阻止 .txt.

jpg 等等文件

另外演示两条禁止从回收站和备份文件夹执行文件的规则

:Recycler***.* 不允许的

:System Volume Information***.* 不允许的

5这::、个如简*.单何，

*防两止条

6许、多预恶防意双软后件缀，名他的有典双型后恶缀意，软比件

如

规U则不

盘就病可允不允毒以彻的底许许入搞侵

定

的

的

由于很多人默认不显示后缀名，所以你看到的文件名是?

对于这类恶意，我本来想以一条规则彻底免疫

*不.允*许.*

的

可是这样做了之后，却发现我的ACDSee 无法运行

于*****.......p..bc

eixf是am

e

td

不?

改不不允不不允允允允许许许许许成

的

的

的

的

的

这样5条规则，ACDSEE没有问题了。我现在还没搞清楚，我的ACDSEE并没有双后缀，为

7、其他规则

何不能运行

注意%USERPROFILE%Local Settings***.*这条规则设置后，禁止了从临时文件夹执行文件，那么一些自解压的单文件就无法运行了，因为这类文件是首先解压到临时文件夹，然后从临时文件夹运行的。如果你的电脑中有自解压的单文件，那么，删除这条规则，增加3条：

%USERPROFILE%Local SettingsApplication Data***.* 不允许的

%USERPROFILE%Local SettingsHistory***.* 不允许的

%USERPROFILE%Local SettingsTemporary Internet Files***.* 不允许的

威ll不小 不禁c禁 不 不禁 不禁 不…………止小止遨允红允……

金oogg的oo预..允防**，

很

简不不许单允允三许许条

的

的

的

浩病允止毒的许进预防

的

程

ni止mQe.Q允允游*

自 不动许许允更许的

新

的

的

自许动更新

的

伞C版许的广告

的

………………

就大家不根据自一己的一实际列情况来举设置了

吧