关于组策略-软件限制策略以及权限的研究

关于软件限制策略以及权限的研究

说是研究，其实也就是对相关方面内容的一个汇总，并加入细节方面的实践性分析。

首先，我们打开组策略中一个隐藏开关，开启“基本用户”和“受限的”权限类型。

具体做法：打开注册表编辑器，展开至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一个DOWRD，命名为Levels，其值可以为

0x10000 //增加受限的

0x20000 //增加基本用户

0x30000 //增加受限的，基本用户

0x31000 //增加受限的，基本用户，不信任的（不信任和不允许差不了多少）

建议设成0x30000或0x31000。

或者有人抱怨软件限制策略不够灵活，其实打开受限的、基本用户之后，情况就会大大的不同。

在建立策略之前，我们先要了解一下软件限制策略的权限类型和规则的优先级。

1.权限类型：不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的（以权限的高低排序，与优先级无关）

2.绝对路径 > 通配符相对路径（以优先级高低排序，下同）

如 C:\Windows\explorer.exe > *\Windows\explorer.exe

3.文件规则 > 目录规则

如若a.exe在Windows目录中，那么 a.exe > C:\Windows

4.环境变量 = 相应的实际路径 = 注册表键值路径

如%ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir %

5.若两条规则路径等效，那么两条规则合成的结果是：从严处理，以最低的权限为准。

如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 基本用户”=“C:\Windows\explorer.exe 基本用户”

6.权限的继承。这个正是本文的重点。

当运行一个程序时，权限分配流程是这样的：

首先继承父进程的权限，然后搜索软件限制策略，检查是否有匹配的规则，若有，则按优先级最

高的规则的内容与父进程的权限内容进行对比，以最低权限的原则匹配。若无，则仍然继承父进

程的权限。若父进程无指定权限，则以当前用户的类型的权限运行。

以上内容应该很容易理解吧。

举个例：

假设你的用户帐户类型是管理员，并建立了这样的两条软件限制策略：

1.c:\program files\internet explorer\iexplore.exe “基本用户”

2.C:\Windows\cmd.exe “不受限的”

那么，我们以explorer.exe运行iexplore.exe，则实际分配给iexplore.exe的权限类型为“基本

用户”。

如果再以iexplore.exe启动cmd.exe的话，那么根据最低权限原则（“基本用户”低于“不受限的”），cmd.exe的实际权限仍然是“

基本用户”

再如我们以explorer.exe运行cmd.exe，由cmd执行命令 runas.exe /trustlevel:不受限的

“c:\program files\internet explorer\iexplore.exe” 来启动浏览器，那么其权限继承情况

为：不受限的 -> 不受限的 -> 不受限的，也就是说这时IE也具有不受限的权限。

实际上runas命令在这里起到临时规则的作用

了解好以上内容后，我们就可以开始设置软件限制策略了。规则当然是由自己定制的最好，我在

这里仅给出一个参考的方案。

推荐的设置：

1.首先，浏览器是一定要加入限制的，假设你使用浏览器是IE，那么建立路径规则

%Programfiles%\internet explorer\iexplore.exe “基本用户”

这样足以防绝大部分的网马了。如果使用的是其它的浏览器，也为其设置相应的规则

2.加入U盘规则，例如 ?:\*.* 、?:\* “不允许的”

采取哪种形式可以自行决定，也可以把第一个 ? 改成你的U盘的实际盘符

3.防范危险的双后缀格式的程序启动，建立如下规则

*.jpg.exe、*.bmp.exe、*.xls*.exe、*.ppt*.exe、*.rar.exe、*.doc*.exe、*.mdb.exe、*.txt.exe、*.gif.exe、*.htm.exe、*.rm*.exe、*.wm?.exe、*.mp3.exe等等，全部设为“不允

许的”

其实还可以有很多，这里就不一一列出了。如果想更全面一点的，可以合成一条：*.???.exe 然后再加几条，*.???.vbs、*.???.com、*.???.bat、*.???.cmd、*.???.scr、*.???.msi、*.???.chm、*.???.pif。如果再想严格一点的考虑写成：*.???.??? ,再疯狂一点的，写成

*.???.* ，不过出了什么问题就不要来找偶了

4.这条规则较严厉，可以先衡量利弊再考虑是否加入。

设立规则：

%Windir%\explorer.exe “基本用户”

这条规则其实是很强大的，由于用户的大部分操作都是通过explorer.exe来完成的，因此限制了

explorer.exe也就相当于限制了很多由用户运行的程序，例如QQ，甚至你不小心运行了一个病毒

，那么这个病毒也是受限的。

或者你会问，安装软件或者要运行一些需要高权限的软件（如杀软）时怎么办？

有一个YD的方法，那就是通过ATL+CTRL+DEL呼出任务管理器，然后选择“文件”—“新建任务”

来执行程序，即可解决问题。

或者你又会问了，为什么任务管理器就能正常安装或运行软件呢，它不是继承explorer.exe 的权限吗？

其实，通过ATL+CTRL+DEL呼出任务管理器，其执行关系为：Winlogon.exe -> taskmgr.exe 也就是说，taskmgr.exe继承的是Winlogon.exe的“不受限的”权限，因此不受规则限制

事实上，在把explorer.exe加入“基本用户”类型后，你会发现用一般方法关不了机

其实解决方法也是同上，呼出任务管理器，选择关机即可。

组策略其实是一个很强大的工具，虽然灵活性和可定制性还比不上HIPS，但对于大部分的用户来

说，是绝对够用了。除了上面提到的规则，大家也可以增加适合自己规则，这个就要看个人的使

用环境而定了

~~~~~~~~~~~~~~~~~~~~~~~~~~

另外，附上软件限制策略的自解压安装包的制作演示

详见视频：

E:\文档\电脑教程\组策略\软件限制策略的自解压安装包制作.exe

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

谈在windows server 中使用软件限制策略

在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件，以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时，能够为组策略对象 (GPO) 定义两种默认安全级不（分不是无限制和不同意）中的一种，使得在默认情况下或者同意软件运行，或者不同意软件运行。要创建此默认安全级不的特例，能够创建针对特定软件的规则。能够创建以下几种规则：?哈希规则 ?证书规则 ?路径规则

? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否能够运行的决定。有了软件限制策略，用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略，能够执行以下任务： ?操纵能够在计算机上运行的程序。例如，假如担心用户通过电子邮件收到病毒，能够应用一个策略，不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上，仅同意用户运行特定的文件。例如，假如您的计算机上有多个用户，您能够设置软件限制策略，使用户除了能够访问必须在工作中使用的特定文件外，不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户，依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，假如存在已知病毒，就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明：Microsoft 建议不要用软件限制策略代替防病毒软件。

Windows组策略中软件限制策略规则编写示例

Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略，也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行，一般是创建诸如： C:\Program Files\*.* 不允许 这样的规则，看起来是没有问题的，但在特殊情况下则可能引起误伤，因为通配符即可以匹配到文件，也可以匹配到文件夹。如果此目录 下存在如https://www.wendangku.net/doc/5a18713803.html, 这样的目录（如C:\Program Files\https://www.wendangku.net/doc/5a18713803.html,\Site Map https://www.wendangku.net/doc/5a18713803.html,），同样可以和规则匹配，从而造成误伤，解决方法是对规则进行修改：C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录，从而不会造成误伤。 上网安全的规则 我们很多时候中毒，都是在浏览网页时中的毒，在我们浏览网页时，病毒会通过浏览器漏洞自动下载到网页缓存文件夹中，然后再将自身 复制到系统敏感位置，比如windows system32 program files等等目录下，然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件，基于此，我们可以创建如下规则： %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器，同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法： U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高，也不会对U盘的正常操作有什么限制。 CMD限制策略

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

(2)组策略的配置及使用

一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 （1）通过控制台访问组策略 （2）对用户设置密码策略 （3）对用户设置登录策略 （4）退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型：本地和非本地。 本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。 非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

Win10操作系统配置软件限制策略

龙源期刊网 https://www.wendangku.net/doc/5a18713803.html, Win10操作系统配置软件限制策略 作者：张志浩 来源：《科学与财富》2017年第28期 摘要：随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多，用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面，有人曾说，如果把 HIPS （Host-based Intrusion Prevention System ，基于主机的入侵防御系统）用的很好，就可以告别杀毒软件了。其实，在Windows中，如果能将组策略中的“软件限制策略”使用的很好，再结合NTFS权限和注册表权限限制，依然可以很淡定的告别杀毒软件。另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述：软件限制策略，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户：除本地管理员以外的所有用户。 启用限制策略在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它： 1. 打开组策略编辑器：gpedit.msc 2.将树目录定位至：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键，点选“创建软件限制策略”创建成功之后，组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则，应用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

使用组策略限制软件运行示例

组策略之软件限制策略——完全教程与规则示例 导读 注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有 点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。 如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？ 一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了

一.环境变量、通配符和优先级 关于环境变量（假定系统盘为C盘） %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符： Windows里面默认

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 （二）组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

组策略命令(全)

组策略命令大全(全) 如何打开组策略编辑器？ 答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？ 答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。 2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核

4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“ 隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后，用户将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收 藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的 音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法：在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项，在弹出对话框的“设置”标签中点选“已启用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置，只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，提示信息是某个设置禁止了这个操作。 二、隐藏或禁止控制面板项目

Windows组策略之软件限制策略

Windows组策略之软件限制策略 2009-12-01 15:11 对于Windows的组策略，也许大家使用的更多的只是管理模板里的各项功能。对于软件限制策略相信用过的筒子们不是很多：）。软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 本文将以以下几方面为重点来进行讲解： 1. 概述 2. 附加规则和安全级别 3. 软件限制策略的优先权 4. 规则的权限分配及继承 5. 如何编写规则 6. 示例规则 1、概述 使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Int ernet 区域规则，就用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则，而路径规则呢则是这些规则中使用最为灵活的，所以后文中如果没有特别说明，所有规则指的都是路径规则。 2、附加规则和安全级别 ?附加规则 在使用软件限制策略时，使用以下规则来对软件进行标识：?证书规则 软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和Windows 安装程 序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。 ?路径规则 路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所 以程序发生移动后路径规则将失效。路径规则中可以使用诸如%progra mfiles% 或%systemroot% 之类环境变量。路径规则也支持通配符，所支持的通配符为* 和?。 ?散列规则 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。

通过组策略可以实现禁止安装软件

通过组策略可以实现禁止安装软件，当然通过注册表也是可以实现的，现发2个注册表文件来实现软件的禁止安装与否，有兴趣的可以下载，不需要钱的，放心好了。不想下载的话，也可以自己做一个REG文件。方法如下，新建一个TXT文档，把这些：Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头，最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源：自由天空技术论坛，原文链接：https://www.wendangku.net/doc/5a18713803.html,/thread-14291-1-1.html 使用方法：将下述代码保存为：*.bat ，*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg