组策略软件限制策略

组策略——软件限制策略导读

实际上，本教程主要为以下内容：

理论部分：

1.软件限制策略的路径规则的优先级问题

2.在路径规则中如何使用通配符

3.规则的权限继承问题

4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限

规则部分：

5.如何用软件限制策略防毒（也就是如何写规则）

6.规则的示例与下载

理论部分

软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

一.环境变量、通配符和优先级

关于环境变量（假定系统盘为 C盘）

%USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名

%ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users

%ComSpec% 表示 C:\WINDOWS\System32\

%APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data

%ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data

%SYSTEMDRIVE% 表示 C:

%HOMEDRIVE% 表示 C:

%SYSTEMROOT%?? 表示 C:\WINDOWS

%WINDIR% 表示 C:\WINDOWS

%TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local

Settings\Temp

%ProgramFiles% 表示 C:\Program Files

%CommonProgramFiles% 表示 C:\Program Files\Common Files

关于通配符：

Windows里面默认

* ：任意个字符（包括0个），但不包括斜杠

：1个或0个字符

几个例子

*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。

C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

C:\Application Files\*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录

关于优先级:

1.绝对路径 > 通配符相对路径

如 C:\Windows\ > *\Windows\

2.文件型规则 > 目录型规则

如若在Windows目录中，那么 > C:\Windows

3.环境变量 = 相应的实际路径 = 注册表键值路径

如 %ProgramFiles% = C:\Program Files =

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDi r%

4.散列规则比任何路径规则优先级都高

总的来说，就是规则越匹配越优先

注：

1. 通配符 * 并不包括斜杠 \。例如*\WINDOWS 匹配 C:\Windows，但不匹配

C:\Sandbox\WINDOWS

2. * 和 ** 是完全等效的，例如 **\**\abc = *\*\abc

3. C:\abc\* 可以直接写为 C:\abc\ 或者 C:\abc，最后的* 是可以省去的，因为软件限制策略的规则可以直接匹配到目录。

4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。

5. * 和 *.* 是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.* 的优先级比 * 的高

6. :\* 与 :\*.* 是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹，简单说，就是整个硬盘；而 :\*.* 仅包括所有分区下的带“.”的文件或目录，一般情况

下，指的就是各盘根目录下的文件。那非一般情况是什么呢请参考第7点

7. :\*.* 中的“.”可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定是文件，可以是文件夹。例如 F:\，一样符合 :\*.*，所以规则对F:\下的所有文件及子目录都生效。

8.这是很多人写规则时的误区。首先引用《组策略软件限制策略规则包编写之菜鸟入门（修正版）》里的一段：

引用:

4、如何保护上网的安全

在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵

%SYSTEMROOT%\tasks\**\*.* 不允许的（这个是计划任务，病毒藏身地之一）

%SYSTEMROOT%\Temp\**\*.* 不允许的

%USERPROFILE%\Cookies\*.* 不允许的

%USERPROFILE%\Local Settings\**\*.* 不允许的（这个是IE缓存、历史记录、临时文件所在位置）

说实话，上面引用的部分不少地方都是错误的

先不谈这样的规则能否保护上网安全，实际上这几条规则在设置时就犯了一些错误

例如：%USERPROFILE%\Local Settings\**\*.* 不允许的

可以看出，规则的原意是阻止程序从Local Settings（包括所有子目录）中启动

现在大家不妨想想这规则的实际作用是什么？

先参考注1和注2，** 和* 是等同的，而且不包含字符“\”。所以，这里规则的实际效果是“禁止程序从Local Settings文件夹的一级子目录中启动”，不包括Local Settings 根目录，也不包括二级和以下的子目录。

现在我们再来看看Local Settings的一级子目录有哪些：Temp、Temporary Internet Files、Application Data、History。

阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装

那么，阻止程序从Temporary Internet Files根目录启动又如何呢？

实际上，由于IE的缓存并不是存放Temporary Internet Files根目录中，而是存于Temporary Internet Files的子目录的子目录里（-_-||），所以这种写法根本不能阻止程序从IE缓存中启动，是没有意义的规则

若要阻止程序从某个文件夹及所有子目录中启动，正确的写法应该是：

某目录\**

某目录\*

某目录\

某目录

9.

引用:

:\ 不允许的

这是流传的所谓防U盘病毒规则，事实上这条规则是没有作用的，关于这点在已经作了分析

二.软件限制策略的3D的实现：

“软件限制策略本身即实现AD，并通过NTFS权限实现FD，同时通过注册表权限实现RD，从而完成3D的部署”

对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微软内置的规则，即使我们修改“用户权限指派”项的内容，也无法对软件限制策略中的安全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表权限来配置FD和RD，这就比AD部分要灵活得多。

小结一下，就是

AD——用户权利指派

FD——NTFS权限

RD——注册表权限

先说AD部分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。

不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。

基本用户，基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。

受限的，比基本用户限制更多，也仅享有“跳过遍历检查”的特权。

不信任的，不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。不允许的，无条件地阻止程序执行或文件被打开

很容易看出，按权限大小排序为不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的

其中，基本用户、受限的、不信任的这三个安全等级是要手动打开的

具体做法：

打开注册表编辑器，展开至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 新建一个DOWRD，命名为Levels，其值可以为

0x10000 不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限

2.“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限字，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。

权限的分配与继承:

这里的讲解默认了一个前提：假设你的用户类型是管理员。

在没有软件限制策略的情况下，

很简单，如果程序a启动程序b，那么a是b的父进程，b继承a的权限

现在把a设为基本用户，b不做限制（把b设为不受限或者不对b设置规则效果是一样的）然后由a启动b，那么b的权限继承于a，也是基本用户，即:

a（基本用户）-> b（不受限的） = b（基本用户）

若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即

a（不受限的）-> b（基本用户） = b（基本用户）

可以看到，一个程序所能获得的最终权限取决于：父进程权限和规则限定的权限的最低等级，也就是我们所说的最低权限原则

举一个例：

若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只剩下尸体了。

甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的机会。

FD：NTFS权限

* 要求磁盘分区为NTFS格式 *

其实Microsoft Windows 的每个新版本都对 NTFS 文件系统进行了改进。NTFS 的默认权限对大多数组织而言都已够用。

NTFS权限的分配

1.如果一个用户属于多个组，那么该用户所获得的权限是各个组的叠加

2.“拒绝”的优先级比“允许”要高

例如：用户A 同时属于Administrators和Everyone组，若Administrators组具有完全访问权，但Everyone组拒绝对目录的写入，那么用户A的实际权限是：不能对目录写入，但可以进行除此之外的任何操作

高级权限名称描述（包括了完整的FD和部分AD）

引用:

遍历文件夹/运行文件（遍历文件夹可以不管，主要是“运行文件”，若无此权限则不能启动文件，相当于AD的运行应用程序）

允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍历文件夹的权限（仅适用于文件夹）。

列出文件夹/读取数据

允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容，而不影响您对其设置权限的文件夹是否会列出（仅适用于文件夹）。

读取属性（FD的读取）

允许或拒绝查看文件中数据的能力（仅适用于文件）。

读取扩展属性

允许或拒绝用户查看文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。

创建文件/写入数据（FD的创建）

“创建文件”允许或拒绝在文件夹中创建文件（仅适用于文件夹）。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力（仅适用于文件）。

创建文件夹/追加数据

“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求（仅适用于文件夹）。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力（仅适用于文件）。

写入属性（即改写操作了，FD的写）

允许或拒绝用户对文件末尾进行更改，而不更改、删除或覆盖现有数据的请求（仅适用于文件）。即写操作

写入扩展属性

允许或拒绝用户更改文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。

删除子文件夹和文件（FD的删除）

允许或拒绝删除子文件夹和文件的能力，即使子文件夹或文件上没有分配“删除”权限

（适用于文件夹）。

删除（与上面的区别是，这里除了子目录及其文件，还包括了目录本身）

允许或拒绝用户删除子文件夹和文件的请求，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。

读取权限（NTFS权限的查看）

允许或拒绝用户读取文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。

更改权限（NTFS权限的修改）

允许或拒绝用户更改文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。

取得所有权

允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。

以基本用户为例，基本用户能做什么？

在系统默认的NTFS权限下，基本用户对系统变量和用户变量有完全访问权，对系统文件夹只读，对Program Files的公共文件夹只读，Document and Setting下，仅对当前用户目录有完全访问权，其余不能访问

如果觉得以上的限制严格了或者宽松了，可以自行调整各个目录和文件的NTFS权限。如果发现浏览器在基本用户下无法使用某些功能的，很多都是由于NTFS权限造成的，可以尝试调整对应的NTFS权限

基本用户、受限用户属于以下组

Users

Authenticated Users

Everyone

INTERACTIVE

但受限用户权限更低，无论NTFS权限如何，受限用户始终受到限制。

调整权限时，主要利用到的组为 Users

例：对用户变量Temp目录进行设置，禁止基本用户从该目录运行程序，可以这样做：首先进入“高级”选项，取消勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目(I)”

然后设置Users的权限如图

这样基本用户下的程序就无法从Temp启动文件了

注意：

1. 不要使用“拒绝”，不然管理员权限下的程序也会受影响

2. everyone组的权限适用于任何人、任何程序，故everyone组的权限不能太高，至少要低于Users组

其实利用NTFS权限还可以实现很多功能

又例如，如果想保护某些文件不被修改或删除，可以取消Users的删除和写入权限，从而限制基本用户，达到保护重要文件的效果

当然，也可以防止基本用户运行指定的程序

以下为微软建议进行限制的程序：

RD部分：注册表权限。由于微软默认的注册表权限分配已经做得很好了，不需要作什么改动，所以这里就直接略过了

三.关于组策略规则的设置：

规则要顾及方便性，因此不能对自己有过多的限制，或者最低限度地，即使出现限制的情况，也能方便地进行排除

规则要顾及安全性，首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的

威胁。没有这种防外能力的规则都是不完整或者不合格的

基于文件名防病毒、防流氓的规则不宜多设，甚至可以舍弃。

一是容易误阻，二是病毒名字可以随便改，特征库式的黑名单只会跟杀软的病毒库一样滞后。

于是，我们有两种方案：

如果想限制少一点的，可以只设防“入口”规则，主要面向U盘和浏览器

如果想安全系数更高、全面一点的，可以考虑全局规则+白名单

最后布置几道作业，看看大家对上面的内容消化得如何

1.在规则“F:\**\*\*.* 不允许”下，下面那些文件不能被打开？

A:F:\

:\\

:\Folder1\\

:\Folder1\\\

2.在以管理员身份登陆的情况下，建立规则如下：

%Temp%

受限的

%USERPROFILE%\Local Settings\Temporary Internet

Files 不允许的

%ProgramFiles%\Internet

Explorer\

基本用户

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop% 不受限的

在这四条规则下，假设这样的情况：

下载一个到Temporary Internet Files目录，然后复制到Temp目录，再从Temp目录中运行，（复制和运行的操作都是IE在做），然后由释放到桌面，并运行。

那么的访问令牌为：

A.不受限的

B.不允许的

C.基本用户

D.受限的

3.试说出 F:\win* 和 F:\win*\ 的区别

4.若想限制QQ的行为，例如右下方弹出的广告，并不允许QQ调用浏览器，可以怎么做？

答对两题即及格。不过貌似还是有些难度

规则部分

基础部分，如何建立规则：

首先，打开组策略

开始-运行，输入“”（不包含引号）并回车。

在弹出的对话框中，依次展开计算机配置-Windows设置-安全设置-软件限制策略

如果你之前没有配置过软件限制策略，那么可以在菜单栏上选择操作-创建新的策略

如图

然后转到“其它规则”项，在菜单栏选择“操作”，在下拉菜单选择“新路径规则”

在弹出的对话框中，就可以编辑规则了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~华丽丽的分割线

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

软件限制策略的其实并不复杂，在规则设置上是十分简单的，只有五个安全级别，不像HIPS那样，光

AD部分就细分成N项。

但软件限制策略的难点在于：如何确保你的规则真正有效并按你的意愿去工作，即如何保证规则的正

确性和有效性。

附上题目的参考答案

考点：注2、注4、注7

这题的C选项是陷阱，因为TXT文件不在规则的阻挡范围之内。

D项参考注7，F:\Folder1\\ （注意“.”）正好能匹配 F:\**\*\*.*，因此下面的EXE 文件不能被打开

说明：此题的考点为“AD权限的分配/最低权限原则”

我们先整理一下父子进程的关系：

-> ->

（基本用户）（受限的）（受限的）

其中，从Temp目录启动，受规则“%Temp% 受限的”的限制，其权限降为“受限的”。从桌面启动，虽然桌面的程序是不受限的，但由于其父进程为，故继承的权限，故的最终获得访问令牌还是“受限的”

另外要注意的是，复制、创建文件等操作都不会构成权限的继承

3.考点：注1、注3、综合分析

说明：F:\win* 和 F:\win*\ 仅相差一个字符“\”，由注1可知，* 并不包括斜杠。那么斜杠“\”在这里的作用是什么？

实际上，这个斜杠在规则中的作用相当于声明斜杠前的路径指的是目录，而不是文件，注意到这点后，就可以看出区别了：

F:\win* 既可以匹配到 F:\windows、F:\windir、F:\winrar等目录，也可以匹配到F:\、F:\等文件

而F:\win*\ 仅能匹配到目录

4.考点：NTFS权限

此题答案不唯一，只要是合理可行的方案即可

下面答案仅供参考：

限制QQ的行为，可以把QQ设为基本用户。

防止QQ广告，可以对Tencent下的AD目录调整NTFS权限——取消Users组的创建、写入权限

不允许QQ调用浏览器，可以对IE调整NTFS权限——取消Users组的“读取和运行”的权限

下面将详细讨论规则部分

一、再次强调一下通配符的使用

Windows里面默认

* ：任意个字符（包括0个），但不包括斜杠

：1个或0个字符

在组策略中*不包括斜杠，这和HIPS是不同的，一定要注意

例如：

C:\Windows\system32 可以表示为 *\*\system32

而以下的表达式都是无效的：

*\system32 、system32\*、system32

二、根目录规则

软件限制策略对初学者来说有一定的难度，因为它没有HIPS那么丰富的功能选项，故利用规则实现某一功能需要一定的

技巧。

根目录规则就是一例（禁止在某个目录的根目录下的程序行为）

若在EQ中，设置规则时取消“包含该目录下面的所有文件”选项就可以保证规则仅对根目录起效

而组策略却不是那么简单就可以做到。

看看下面的规则：

引用:

C:\Program Files\*.* 不允许的

前面已经提过，* 不包含斜杠，因此这个规则可视为Program Files的根目录规则。在此规则下，形

如 C:\Program Files\ 等程序将不能启动。

但这规则可能导致一些问题，因为通配符即可以匹配到文件，也可以匹配到文件夹。

如果Program Files存在带有“.”的目录（形如C:\Program Files\），一样可以和规则

C:\Program Files\*.* 匹配，这将导致该文件夹下的程序无法运行，造成误伤。

改进一下的话，可以用两条规则来实现根目录限制

如

引用:

C:\Program Files 不允许的

C:\Program Files\*\ 不受限的

这样就保证了子目录的程序不受规则影响

三、一些规则的模板

根目录规

则：

某目录\* + 某目录\*\*

目录规则（包含目录中所有文件）：某目录\* 或某目录\ 或某目录

含“*”的目录规则：某目录*\ （注意要加上斜杠“\”）

文件型规

则：

、* 等

绝对路径规

则：

如 C:\Windows\

全局型规

则：

*

这里需要说明的是，为什么全局型规则要使用“*”？

因为 * 属于仅有通配符的规则，其覆盖范围是最大的，而优先级是最低的，不会遗漏，便于排除，

最适合作为全局规则。

对比“*.*”，一个字符“.”的存在使规则的优先级提高了，这将会给排除工作带来不便

四、规则实例

1. 保证上网安全

很多人问，浏览毒网时，病毒会下载到什么位置执行？

首先是，下载到网页缓存中（），这点很多人都注意到了。不过呢，病毒一般却不会选择在缓存中执行，而是通过浏览器复制病毒文件到其它目录，例如Windows。system32、Temp，当前

用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其公有子目录、浏览器所在目录等

所以在这里再重复一次已说过N次的话，不要以为把缓存目录设为不允许的就万事大吉

了。

至于防范，比较好的方法就是禁止浏览器在敏感位置新建文件，这点使用“浏览器基本用户”就可以

做到，规则如下

引用:

%ProgramFiles%\Internet Explorer\ 基本用户

如果使用的是其它浏览器，也可以设成基本用户

若配合以下规则，效果更佳：

引用:

*\Documents and Settings 不允许的程序一般不会从Documents and Settings中启动

%ALLAPPDATA%\*\* 不受限的允许程序从Application Data的子目录启动

%APPDATA% 不允许的当前用户的Application Data目录限制

%APPDATA%\*\ 不受限的允许程序从Application Data的子目录启动

%SystemDrive%\*.* 不允许的禁止程序从系统盘根目录启动

%Temp% 不受限的允许程序从Temp 目录启动，安装软件必须

%TMP% 不受限的同上

并设置用户变量Temp的NTFS权限：

Temp的默认路径为 Documents and Settings\Administrator\Local Settings\Temp 在系统盘格式为NTFS的情况下，右击Temp文件夹，选择“安全”项，取消Users组的“读取与运行”

权限即可。（同时要取消Everyone组的访问权，且保证Administrators组具有完全访问权限）

如此设置的作用是：基本用户下的程序将无法从Temp文件夹运行程序

盘规则

比较实际的做法是

U盘:\* 不允许的、不信任的、受限的，都可以

不允许的安全度更高一些，这样也不会影响U盘的一般使用（正常拷贝、删除等）

假设你的U盘一般盘符是I，那么规则可以写成：

引用:

I:\* 不允许的

3.双后缀文件防范规则

以下是微软的帮助：

引用:

注意

某些病毒使用的文件具有两个扩展名以使得危险文件看起来像安全的文件。例如，或。

最后面的扩展名是 Windows 将尝试打开的扩展名。具有两个扩展名的合法文件

非常少，因此避免下载或打开这种类型的文件。

有些文件下载起来比程序或宏文件更安全，例如文本 (.txt) 或图像 (.jpg, .gif, .png) 文件。但

是，仍然要警惕未知的来源，因为已知这些文件中的一些文件使用了特意精心设计的格式，可以利用

计算机系统的漏洞。

双后缀文件可能的形式比较多，这里仅放出谍照一张

4.全局规则

就一条：

引用:

* 基本用户

如果设成受限的或者不信任/不允许的话，无疑会更安全，但也会带来一些不便。综合考虑还是基本用户比较适合

在全局规则下，肯定需要对合法的程序进行排除的。在排除的时候，你就会发现使用 * 作为全局规

则的优越性了——任何一条规则的优先级都比它高，所以我们可以很方便地进行排除。

为了减少排除的工作量，这里建议大家把软件集中安装在少数的目录，例如ProgramFiles 目录，那么

排除时就可以对整个目录进行，不必慢慢添加

示例排除规则：

%ProgramFiles% 不受限的（软件所在目录）

*\ApplicationSetups 不受限的（安装软件用的文件夹）

还要排除一些文件格式，以使其被正常打开：

引用:

*.lnk 不受限的

*.ade 不受限的

*.adp 不受限的

*.msi 不受限的

*.msp 不受限的

*.chm 不受限的

*.hlp 不受限的

*.pcd 不受限的

5. 其它辅助规则

CMD限制策略：

引用:

%Comspec% 基本用户

注意：在组策略中，微软把和批处理是分开处理的，即使把cmd设成“不允许的”，仍然可以运行.bat等批处理

由于桌面一般只放快捷方式，所以

引用:

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop% 不允许的

同时要让快捷方式能够正常工作：

引用:

*.lnk 不受限的

计划任务功能很少会用到，所以

引用:

%SystemRoot%\task 不允许的

帮助文件阅读器的管制策略：

引用:

%WinDir%\ 基本用户（防范CHM捆毒）

%WinDir%\ 基本用户

%WinDir%\ 基本用户

脚本宿主管制

引用:

%WinDir%\system32\ 受限的（或者直接不允许）

一些不会有程序启动的位置、一些极少用到的系统程序，你不用但病毒会用，所以建议禁止...........

规则可以有很多，大可自己发挥，放出图一张：

禁止伪装系统程序

如：

引用:

不允许的

%WinDir%\system32\ 不受限的

剩下的规则就留给各位自由发挥了

至此，教程完毕

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~

组策略规则发布：

根据防入口和全局防护的思路，做了两套规则——简单规则和全局规则

简单规则说明：

以基本用户限制主流浏览器

限制或禁用一些不常用的系统程序

禁止程序从U盘启动（需要手动修改一下规则）

全局规则说明：

采用全局基本用户

并加入了数目可观的系统程序白名单

规则默认状态没有对system32目录进行白名单式的限制，主要考虑到一些安全软件会安装程序文件在这些目录下，可能会影响其工作，如DW、

ZA等

如果想打开此限制，进入System32的白名单模式，可以把规则中的

%WinDir%System32\*.exe 设成“基本用户”或者“受限的”

默认排除（不受限的）的目录有：

1.所有分区根目录下的Program Files文件夹请把软件安装在此目录中，或者另外进行目录排除

2.所有分区根目录下的“安装程序”文件夹请从此目录安装程序，或者另外进行目录排除

3.所有分区根目录下的“信任目录”文件夹

下exe后缀的程序

以基本用户限制的主流浏览器

另外提醒一下，大家在设置规则时，注意要考虑以下4条系统默认规则的影响：

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\SystemRoot%*.exe 路径不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\SystemRoot%System32\*.exe 路径不受限的

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDi r% 路径不受限的

相当于规则：

%SystemRoot% 不受限的整个Windows目录不受限

%SystemRoot%\*.exe 不受限的 Windows下的exe文件不受限

%SystemRoot%\System32\*.exe 不受限的 System32下的exe文件不受限

%ProgramFiles% 不受限的整个ProgramFiles目录不受限

利用组策略部署软件分发

【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容，可以使用隐藏共享文件夹，即在共享名字后加$符号。 三、创建组策略对象

用组策略统一部署Bginfo软件

用组策略统一部署Bginfo软件(显示计算机信息到桌面) 下面来说说如何在企业内部使用组策略统一部署Bginfo的： 1.下面是主程序的界面图 中间蓝色部分就是显示项，左边的设置项是可以更改的，比如改成中文; <>内的不可修改，fields下面就是显示设置的可选项 2.清空蓝色区域，在fields中选择要在工作站桌面上显示的内容，我选择的是Host Name和IP Address，并将字体大小，颜色等设置完毕 3.另存当前的配置文件”File”->”Save as”这里保存为bginfo.bgi 4.建立两个批处理，内容如下： copyfile.bat ------------------------------------------------------------------------- @echo off copy %logonserver%\netlogon\bginfo.exe %systemroot%\bginfo.exe bginfo.bat --------------------------------------------------------------------------- @echo off

bginfo.exe %logonserver%\netlogon\bginfo.bgi /nolicprompt /timer:0 5.把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件，拷贝到%logonserver%\netlogon目录下。 6.通过组策略管理器（GPMC），编辑或新建的一个组策略（OU组织单位），在"计算机配置"选择"windows设置"，"脚本（启动／关机）"，在"启动"中添加copyfile.bat文件(把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件复制到“显示文件”按钮点开的文件夹内，按添加把copyfile.bat文件选中); 7.在计算机配置中选择 "windows设置"，"安全设置"，右键点击"文件系统"，选择"添加文件"，在打开的窗口中输入 “%systemroot%bginfo.exe”，并将上两项的user权限改为可读写。（让域用户有权限将bginfo.exe复制到系统目录中，默认是只有读取权限的。如省略此步骤，工作站在登录时可能出现文件不能成功创建的错误信息）

组策略分发Adobe Reader 10教程

组策略分发Adobe Reader 10教程 1，实验环境 域控：Windows Server 2008 R2 客户端：Windows XP SP3 32位 Adobe Reader版本：10.1.4 2，获取分发Adobe Reader的许可协议 按照Adobe公司的要求，分发Adobe Reader需要取得许可，仅为形式上的东西，申请网址为https://www.wendangku.net/doc/6a15073181.html,/cn/products/reader/distribution.html?readstep，申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader，免费的。 3，下载Adobe Reader msi包 官方下载地址：ftp://https://www.wendangku.net/doc/6a15073181.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载，所以我们需先下载Adobe Reader 10.1.0的msi包，下载目录ftp://https://www.wendangku.net/doc/6a15073181.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/，对于网内有中英文电脑的酒店，都可下载此中文安装包，只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示，单语言安装包只有66.8M，而多语言安装包有140多M，安装单语言安装包将快得多。然后在目录 ftp://https://www.wendangku.net/doc/6a15073181.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4，下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址：https://www.wendangku.net/doc/6a15073181.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等，后面将详细介绍。 5，安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package，打开之前下载的Adobe Reader 10.1.0的msi包，请勿在msi包上单击右键选择Adobe Customization Wizard X用打开，这样打开将报错，弄得我还以为是电脑有问题。 6，生成MST文件 可参考如下文档 https://www.wendangku.net/doc/6a15073181.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf，接下来我将简单介绍几个实用的修改。

利用组策略来发布和指派软件

利用组策略来发布和指派软件 1、分发具备的条件： A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展：软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤： A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO（组策略容器） 注意：默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有：发布和指派注意区别 1、指派方式有两种：指派给计算机和指派给用户； （1）指派给计算机：计算机启动时软件会自动安装在计算机里； 安装目录：Documents and setting\All User （2）指派给用户：不会自动安装软件本身 只安装软件相关部分信息，如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能（document activation） 2、发布方式：只有发布给用户，不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装（注意：要有权限，是域的管理员可以安装，本地的管理员不行，或者设置策略来进行软件的安装） 下面就开始做实验：

1、打开域控制器，我就用callcenter.21cn.local来举例。如图：1-1 1-1 2、新建一个组织，命名为“callcneter”，如图：1-2 1-2

3、点击“callcenter”属性，然后点击“组策略”选项卡，点击“新建”>>，创建一个“组策略对象链接”命名为“deng”如图：1-3 1-3 4、点击“编辑”，如图：1-4 1-4

谈在windows server 中使用软件限制策略

在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件，以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时，能够为组策略对象 (GPO) 定义两种默认安全级不（分不是无限制和不同意）中的一种，使得在默认情况下或者同意软件运行，或者不同意软件运行。要创建此默认安全级不的特例，能够创建针对特定软件的规则。能够创建以下几种规则：?哈希规则 ?证书规则 ?路径规则

? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否能够运行的决定。有了软件限制策略，用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略，能够执行以下任务： ?操纵能够在计算机上运行的程序。例如，假如担心用户通过电子邮件收到病毒，能够应用一个策略，不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上，仅同意用户运行特定的文件。例如，假如您的计算机上有多个用户，您能够设置软件限制策略，使用户除了能够访问必须在工作中使用的特定文件外，不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户，依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，假如存在已知病毒，就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明：Microsoft 建议不要用软件限制策略代替防病毒软件。

软件分发功能简易说明

软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组：用来选择需要控制的群组，最多可以控制80个群组。 2.电脑：用来选择群组中需要控制的计算机，一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表：列出所有收集到的安装Max-User 计算机相关信息及状态；包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输：列出正在进行文件传输的计算机及状态。 5.网络唤醒排程：设定（新增、删除、修改）控制排程和设定（新增、删除、 修改）触发事件，主要用于在保护系统的系统保护。 6.帮助：提供电子版本的帮助文件。 7.关于：公司服务电话及Email。 8.离开：退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘

1.输入被控端管理员密码： 需要输入正确的密码才能对安装MaxUser的计算机进行控制，该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘： 此处显示的操作系统为当前用户使用的操作系统的名称，同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID，用于读取安装网络客户端程序的计算机状态，同时在主窗口界面中显示出来，用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下，请选择按保护系统信息收集；若被控机已经进入Windows 操作系统状态下，请选择按操作系统信息收集。 2.网络唤醒： 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开，并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒：公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启： 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框： 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出，由于以上功能均需要使被控端计算机重启或关机，因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息，同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。

Windows组策略中软件限制策略规则编写示例

Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略，也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行，一般是创建诸如： C:\Program Files\*.* 不允许 这样的规则，看起来是没有问题的，但在特殊情况下则可能引起误伤，因为通配符即可以匹配到文件，也可以匹配到文件夹。如果此目录 下存在如https://www.wendangku.net/doc/6a15073181.html, 这样的目录（如C:\Program Files\https://www.wendangku.net/doc/6a15073181.html,\Site Map https://www.wendangku.net/doc/6a15073181.html,），同样可以和规则匹配，从而造成误伤，解决方法是对规则进行修改：C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录，从而不会造成误伤。 上网安全的规则 我们很多时候中毒，都是在浏览网页时中的毒，在我们浏览网页时，病毒会通过浏览器漏洞自动下载到网页缓存文件夹中，然后再将自身 复制到系统敏感位置，比如windows system32 program files等等目录下，然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件，基于此，我们可以创建如下规则： %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器，同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法： U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高，也不会对U盘的正常操作有什么限制。 CMD限制策略

组策略详细部署

1．隐藏电脑的驱动器 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器\\启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。 位置：用户配置\\管理模板\\系统\\ 2．禁用注册表 位置：用户配置\\管理模板\\系统\\ 3．禁用控制面板 位置：用户配置\\管理模板\\系统\\ 如想在控制面板中隐藏Internet选项，则在隐藏控制面板程序里添加Inetcpl.cpl，具体名称可查看Windows\\System32里以cpl结尾的文件。 4．隐藏文件夹 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项, 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器\\ 5．关闭缩略图缓存 有时我们在文件夹中放过图片，后来移除了，但以缩略图缓存仍然能被其他人读取。 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器 6．去除开始菜单中的“文档”菜单 开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个菜单： 位置：用户配置\\管理模板\\Windows组件\\任务栏和“开始”菜单 7．隐藏…屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项。 用户配置\\管理模板\\控制面板\\显示。 8．禁止更改TCP/IP属性 我们设定的IP地址可能会被更改，那么只要关闭它的属性页就可以了。 位置：用户配置\\管理模板\\网络\\网络连接 把下面两项设为启用。 9．删除任务管理器 可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机，搜索程序的执行文件名，及更改程序运行的优先顺序。 位置：用户配置\\管理模板\\系统\\C trl+Alt+Del选项\\ 10．禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。

AD域中如何布置软件自动分发

AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序： ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户，在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时，安装过程最终完成。如果将程序分配给一台计算机，在计算机启动时就会安装此程序，所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时，安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时，发布的程序会显示在“添加或删除程序”对话框中，并且可以从这里安装。 注意：Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序，必须在发布服务器上创建一个分发点： 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹，将您要分发的 Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如，要分发 Microsoft Office XP，请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO)，请执行以下操作： 1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。 2. 在控制台树中，右键单击您的域，然后单击“属性”。 3. 单击“组策略”选项卡，然后单击“新建”。 4. 为此新策略键入名称（例如，Office XP 分发），然后按 Enter。

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

域环境通过组策略分发软件给客户端讲课稿

域环境通过组策略分发软件给客户端

域环境通过组策略分发软件给客户端 通常情况下，我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦）。通过在组策略的“计算机配置”中的“软件安装中，点击右键，如何选择程序包，通过UNC路径（注意了哦：这个是网络路径，所以，管理员必须把此软件共享出去）找到程序位置。如何，选择"已指派"就可以了。当然，在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有？在发布好软件后，选择软件里面的属性，查看“部署”，可以看见“指派”与“发行”两个选项（计算机配置中，发行为灰色）。所以，这里有就有三种软件部署的方法了： 1、发行给用户 2、指派给用户 3、指派给计算机 下面，来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时，软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式，用户再任何一台电脑登陆域，都可以在开始菜单与桌面上看到软件的快捷方式。同时，计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时，计算机就会自动下载安装次软件。但与发行给用户不同的是，用户可以删除此软件，但是，下次登陆时，它还是会出现，意思是说，它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式，用户不用手动执行，计算机会在启动时，自动下载并安装此软件。用户不能删除此软件，只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员

组策略 软件分发

用组策略部署软件，省心又省力！ 责任编辑：李鹏作者：姜磊福 2006-06-20 【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.wendangku.net/doc/6a15073181.html,/下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

使用组策略部署软件

需要注意的是已发布的方法只能部署到用户，不能部署到计算机上，也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证： 1、当用户登录计算机时，软件并不会自动安装，只有当用户双击与应用程序关联的文件时，软件才会自动安装。如我们双击一个ppt 文档或doc文档时，会自动安装OFFICE。 2、对于发布的软件，用户可以在控制面板中的“添加/删除”中安装或者删除，也就是说用户自己可以安装，也可以卸载。 这种部署方法的好处在于，对于一些不能确定使用用户的软件，可以以发布方法部署，是否安装由用户自己决定。 配置方法如下： 1、右击“用户配置”中的“软件安装”，选择“新建”，然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件，然后单击“打开”。 2、在选择部署方法中，选定“已发布”。

已指派的方法可以将软件部署给用户和计算机，也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证： 1、软件对用户总是可用的，不管用户从哪一台计算机登陆，软件都将会在开始菜单或桌面上出现，但这时软件并没有被安装，只有在用户双击应用程序图标或与应用程序关联的文件时，软件才会被安装。 2、如果用户删除了安装的软件，哪么当用户下次登录时软件还会出现在开始菜单或是桌面上，并在用户双击关联文件时被激活安装。 这种部署的好处在于，对于一些不常用的，但某些人却必须要使用的软件我们没有必要在每台计算机都安装，只要指派给需要的用户，不管这个用户在哪台计算机上操作，都能保证要使用的软件是可用的。 方法如下： 1、右击“用户配置”中的“软件安装”，选择“新建”，然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件，然后单击“打开”。 2、在选择部署方法中，选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证： 1、对于被指派的计算机，软件总是可用的，无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装，而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件，只有管理员才可以。 这种部署方法的好处在于，可以将一些大家都要用到的软件指派给计算机，被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤，只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后，可以修改待部署的软件包的选项以适应我们的需要： 1、点击软件安装，在右边找到待部署的软件包，点击右键选择属性，在出现的对话框中选择部署，如图。

使用组策略限制软件运行示例

组策略之软件限制策略——完全教程与规则示例 导读 注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有 点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。 如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？ 一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了

一.环境变量、通配符和优先级 关于环境变量（假定系统盘为C盘） %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符： Windows里面默认

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

通过组策略可以实现禁止安装软件

通过组策略可以实现禁止安装软件，当然通过注册表也是可以实现的，现发2个注册表文件来实现软件的禁止安装与否，有兴趣的可以下载，不需要钱的，放心好了。不想下载的话，也可以自己做一个REG文件。方法如下，新建一个TXT文档，把这些：Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头，最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源：自由天空技术论坛，原文链接：https://www.wendangku.net/doc/6a15073181.html,/thread-14291-1-1.html 使用方法：将下述代码保存为：*.bat ，*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg

组策略安装exe程序

在需要给大量客户端部署软件时，使用组策略的软件分发功能还是很有效率的。比如前面文章中谈到的部署limitlogin工具，需要在客户端安装电脑上安装软件的客户端，如果手动安装需要耗费很多时间，效率也很低。如果使用组策略则可以一步到位，一次性全部部署，而且不会影响到用户的日常工作。下面我们就来详细介绍一下使用组策略进行软件分发的过程：Windows主要有两种安装程序包，一种是扩展名为.exe的安装程序；另一种是扩展名为.msi 的安装程序。对于.msi的安装程序，组策略可以直接发布。对于.exe的安装程序，则需要转换为.msi安装程序或创建一个与其对应的扩展名为.zap的文本文件。注意：.zap包只能发布，不能指派；而.msi程序即可以发布，也可以指派。发布和指派的区别如下： 1）发布的软件，只能通过“添加/删除程序”中的“添加新程序”中添加，不能自动安装在用户的计算机中。 2）指派的软件，在用户登录的时候，系统会自动安装，不需要用户添加。不过，指派的软件也可以在“添加/删除程序”中添加和删除。 3）发布的软件，用户可以根据需要添加或删除，而指派的软件，如果用户删除，当用户下次登录时，系统还是会自动安装。 要分发软件，首先需要在服务器上建一个共享文件夹，用于存放需要分发的软件，如下图：

下面我们来看看软件分发的步骤： 1. 发布MSI格式的软件 1）首先在需要分发软件的OU上建一个策略，如下图：

2）在“组策略编辑器”窗口，选择“User Configuration—Software Settings—Software installation”，在右面板上，点右键，选择New—Package，如下图：

Windows组策略之软件限制策略

Windows组策略之软件限制策略 2009-12-01 15:11 对于Windows的组策略，也许大家使用的更多的只是管理模板里的各项功能。对于软件限制策略相信用过的筒子们不是很多：）。软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 本文将以以下几方面为重点来进行讲解： 1. 概述 2. 附加规则和安全级别 3. 软件限制策略的优先权 4. 规则的权限分配及继承 5. 如何编写规则 6. 示例规则 1、概述 使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Int ernet 区域规则，就用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则，而路径规则呢则是这些规则中使用最为灵活的，所以后文中如果没有特别说明，所有规则指的都是路径规则。 2、附加规则和安全级别 ?附加规则 在使用软件限制策略时，使用以下规则来对软件进行标识：?证书规则 软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和Windows 安装程 序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。 ?路径规则 路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所 以程序发生移动后路径规则将失效。路径规则中可以使用诸如%progra mfiles% 或%systemroot% 之类环境变量。路径规则也支持通配符，所支持的通配符为* 和?。 ?散列规则 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。