当前位置：文档库 › 组策略软件限制策略以阻止病毒入侵

组策略软件限制策略以阻止病毒入侵

组策略软件限制策略以阻

止病毒入侵

Final revision on November 26, 2020

一、软件限制策略的作用首先说一下H I P S的3 D A D——程序保护保护应用程序不被恶意修改、删除、注入FD——文件保护保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件

R D——注册表保护保护注册表关键位置不被恶意修改、读取、删除XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现因此可以说，X P本身就具备3D功能，只是不被大家所熟悉。

二、软件限制策略的优劣势

1、优势优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是H I P S可以比拟的

2、劣势劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行

三、软件限制策略规则编写实例我直接以一些最常见的例子来说明

1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级关于这一点，大家可以看“2楼”

2、如何阻止恶意程序运行首先要注意，恶意程序一般会藏身在什么地方:\分区根目录C:\W I N D O W S（后面讲解一律以系统在C盘为例）C:\W I N D O W S\s y s t e m3 2 C:\D o c u m e n t s a n d S e t t i n g s\A d m i n i s t r a t o r

C:\D oc um en ts a nd S et ti n g s\A d min i str ator\Ap pli catio n Data C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s\A p p l i c a t i o n D a t a C:\Documents and Settings\Administrator\「开始」菜单\程序\启动C:\D oc um en ts a nd S et ti n gs\All Users\「开始」菜单\程序\启动C:\P r o g r a m F i l e s C:\P r o g r a m F i l e s\C o m m o n F i l e s

注意：C:\D o c u m e n t s a n d S e t t i n g s\A d m i n i s t r a t o r C:\D oc um en ts a nd S et ti n g s\A d min i str ator\Ap pli catio n D ata C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s\A p p l i c a t i o n D a t a C:\Documents and Settings\Administrator\「开始」菜单\程序\启动C:\D oc um en ts and Settings\All Users\「开始」菜单\程序\启动C:\P r o g r a m F i l e s C:\P r o g r a m F i l e s\C o m m o n F i l e s 这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了%A L L A P P D A T A%\*.*不允许的%A L L U S E R S P R O F I L E%\*.*不允许的%A L L U S E R P R O F I L E%\「开始」菜单\程序\启动\*.*不允许的%A P P D A T A%\*.*不允许的%U S E R S P R O F I L E%\*.* %U S E R P R O F I L E%\「开始」菜单\程序\启动\*.*不允许的%P r o g r a m F i l e s%\*.*不允许的%C o m m o n P r o g r a m F i l e s%\*.*不允许的

那么对于C:\W I N D O W S C:\W I N D O W S\s y s t e m32这两个路径的规则怎么写呢

C:\WINDOWS下只有、、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行则其规则可以这样写：%SYSTEMROOT%\*.* 不允许的（首先禁止C:\WINDOWS下运行可执行文件）C:\W I N D O W S\不受限的C:\W I N D O W S\不受限的C:\W I N D O W S\不受限的C:\W I N D O W S\不受限的（然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:\WINDOWS下，除了、、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行）

对于C:\WINDOWS\system32就不能像上面那样写规则了，在SYSTEM32下面很多系统必须的可执行文件，如果一个一个排除，那太累了。所以，对system32，我们只要对它的子文件作一些限制，并对系统关键进程进行保护子文件夹的限制%S Y S T E M R O O T%\s y s t e m32\c o n f i g\**\*.*不允许的%S Y S T E M R O O T%\s y s t e m32\d r i v e r s\**\*.*不允许的%S Y S T E M R O O T%\s y s t e m32\s p o o l\**\*.*不允许的当然你可以限制更多的子文件夹

3、如何保护s y s t e m32下的系统关键进程有些进程是系统启动时必须加载的，你不能阻止它的运行，但这些进程又常常被恶意软件仿冒，怎么办其实很简单，这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出现在其他的路径中。那么我们可以这样应对：C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的

C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的

先完全允许正常路径下这些进程，再屏蔽掉其他路径下仿冒进程csrss.* 不允许的（.*表示任意后缀名，这样就涵盖了batcom等等可执行的后缀）c t f m n.*不允许的l a s s.*不允许的l s s a s.*不允许的r u n d*.*不允许的s e r v i c e s.*不允许的s m s s.*不允许的s p s v.*不允许的s h s t.*不允许的s v c h s t.*不允许的w i n g n.*不允许的

4、如何保护上网的安全在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵%SYSTEMROOT%\tasks\**\*.* 不允许的（这个是计划任务，病毒藏身地之一）%S Y S T E M R O O T%\T e m p\**\*.*不允许的%U S E R P R O F I L E%\C o o k i e s\*.*不允许的%USERPROFILE%\Local Settings\**\*.* 不允许的（这个是IE缓存、历史记录、临时文件所在位置）

另外可以免疫一些常见的流氓软件3721.*不允许的C N N I C.*不允许的*B a r.*不允许的等等，不赘述，大家可以自己添加注意，*.*这个格式只会阻止可执行文件，而不会阻止.t x t. j p g等等文件另外演示两条禁止从回收站和备份文件夹执行文件的规则:\R e c y c l e r\**\*.*不允许的:\S y s t e m V o l u m e I n f o r m a t i o n\**\*.*不允许的

5、如何防止U盘病毒的入侵这个简单，两条规则就可以彻底搞定:\不允许的:\*.*不允许的

6、预防双后缀名的典型恶意软件许多恶意软件，他有双后缀，比如由于很多人默认不显示后缀名，所以你看到的文件名是? 对于这类恶意，我本来想以一条规则彻底免疫*.*.* 不允许的可是这样做了之后，却发现我的A C D S e e无法运行于是改成*..b a t不允许的*..c m d不允许的*.不允许的*..e x e?不允许的*..p i f不允许的

这样5条规则，ACDSEE没有问题了。我现在还没搞清楚，我的ACDSEE并没有双后缀，为何不能运行

7、其他规则注意%USERPROFILE%\Local Settings\**\*.*这条规则设置后，禁止了从临时文件夹执行文件，那么一些自解压的单文件就无法运行了，因为这类文件是首先解压到临时文件夹，然后从临时文件夹运行的。如果你的电脑中有自解压的单文件，那么，删除这条规则，增加3条：%USERPROFILE%\Local Settings\Application Data\**\*.* 不允许的%U S E R P R O F I L E%\L o c a l S e t t i n g s\H i s t o r y\**\*.*不允许的%USERPROFILE%\Local Settings\Temporary Internet Files\**\*.* 不允许

的

威金的预防，很简单三条l o g o.*不允许的l o g o.*不允许的不允许的小浩病毒的预防不允许的禁止进程c n i m e.*不允许的禁止Q Q自动更新不允许的不允许的禁止遨游自动更新不允许的禁止小红伞C版的广告不允许的………………………………

就不一一列举了大家根据自己的实际情况来设置吧