组策略管理——软件限制策略(4)
編寫(xiě)軟件限制規(guī)則
在前面幾篇文章中講了軟件限制規(guī)則的基本概念,現(xiàn)在就來(lái)學(xué)習(xí)如何編寫(xiě)自定義軟件限制策略。
編寫(xiě)規(guī)則應(yīng)遵循的原則
首先,需要大家注意的是,軟件限制策略應(yīng)本著方便、安全、實(shí)用的原則來(lái)編寫(xiě)。限制規(guī)則靈活方便,自定義的限制規(guī) 則不能對(duì)自己的日常管理、維護(hù)等有過(guò)多的限制,并要留有充分的調(diào)整空間和變動(dòng)余地,這樣,即使出現(xiàn)問(wèn)題也好進(jìn)行解決;在安全性方面,需要綜合考慮到用戶系 統(tǒng)面臨的危險(xiǎn)來(lái)源是哪些,不僅要有普遍的防護(hù)措施,還要針對(duì)其所處環(huán)境特點(diǎn)做好防護(hù);最后關(guān)于實(shí)用方面,需要在策略規(guī)則編寫(xiě)時(shí)注意規(guī)則的嚴(yán)謹(jǐn)性和可操作 性,例如,基于文件名辨別病毒就屬于不嚴(yán)謹(jǐn)?shù)?#xff0c;不需要制作大而全的規(guī)則“庫(kù)”,需要的僅僅是幾條實(shí)用、易用的規(guī)則。
編寫(xiě)方法
首先,啟動(dòng)“組策略編輯器”(gpedit.msc),將樹(shù)目錄定位至
?
| ?計(jì)算機(jī)配置 -> Windows 配置 -> 安全設(shè)置 -> 軟件限制策略 |
如果之前沒(méi)有對(duì)“軟件限制策略”進(jìn)行過(guò)配置,那么,請(qǐng)右擊樹(shù)目錄中的“軟件限制策略”,點(diǎn)擊“創(chuàng)建軟件限制策略”:
創(chuàng)建之后,軟件限制策略可展開(kāi),此目錄下有兩個(gè)子目錄,分別是:安全級(jí)別與其他規(guī)則。
接下來(lái),請(qǐng)?jiān)凇捌渌?guī)則”上右擊點(diǎn)選“新建路徑規(guī)則”,創(chuàng)建我們自定義的路徑規(guī)則條目。如果你不清楚各種規(guī)則條目分類區(qū)別,請(qǐng)查閱組策略管理——軟件限制策略(2)。
新建路徑規(guī)則:
?
可以看到,在路徑規(guī)則編輯窗口中有兩個(gè)設(shè)置按鈕,分別用來(lái)設(shè)置路徑地址與安全級(jí)別,在安全級(jí)別下,有 5 個(gè)待選級(jí)別,分別是:不允許、不信任、受限、基本用戶 與 不受限。
?
如果你不清楚不同安全級(jí)別之間的區(qū)別與限制程度,請(qǐng)查閱組策略管理——軟件限制策略(1)。
可見(jiàn),編輯規(guī)則條目非常簡(jiǎn)單,例如,限制用戶使用 Windows Media Player:
在路徑中選擇 Windows Media Player 主程序執(zhí)行文件:
?
| (64位 Win7)%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe (32位 Win7)%ProgramFiles%\Windows Media Player\wmplayer.exe |
安全級(jí)別設(shè)置為?不允許,添加描述“Windows Media Player”:
創(chuàng)建完成:
此時(shí),我們嘗試啟動(dòng) Windows Media Player,檢查是否該條目成功生效:
這里還需要注意的一點(diǎn)是手工創(chuàng)建的規(guī)則在新添加或者進(jìn)行修改后所需的生效時(shí)間可能根據(jù)不同的系統(tǒng)情況有所不同,大多數(shù)情況下都會(huì)在 1、2 分鐘內(nèi)生效,如果自定義規(guī)則長(zhǎng)時(shí)間沒(méi)有生效,可以通過(guò)注銷并重新登陸或者使用命令?gpupdate /force?來(lái)強(qiáng)制刷新規(guī)則文件。
系統(tǒng)默認(rèn)規(guī)則
你可能還會(huì)注意到,在“其他規(guī)則”中,默認(rèn)存在兩條或者更多的規(guī)則條目,這些條目都指向了系統(tǒng)中不同的位置,我們?cè)趧?chuàng)建自定義規(guī)則時(shí),不僅不要對(duì)其進(jìn)行修改,同時(shí)還要考慮到他們的存在,認(rèn)識(shí)到他們對(duì)系統(tǒng)安全的影響。
* 不同的系統(tǒng)環(huán)境可能存在不同的條目
系統(tǒng)默認(rèn)處于“不受限”安全級(jí)別下的路徑規(guī)則:
?
| %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe |
系統(tǒng)默認(rèn)規(guī)則的影響:
- %SystemRoot% 不受限?????????????????? 整個(gè) Windows 目錄不受限
- %SystemRoot%\*.exe 不受限???????????? Windows 下的 *.exe 文件不受限
- %SystemRoot%\System32\*.exe 不受限?? System32 下的 *.exe 文件不受限
- %ProgramFiles%??? 不受限???????????? 整個(gè) ProgramFiles 目錄不受限
常見(jiàn)環(huán)境變量
此處假設(shè)系統(tǒng)盤為 C:\
%USERPROFILE%? 表示 C:\Documents and Settings\當(dāng)前用戶名?
%HOMEPATH%??? 表示 C:\Documents and Settings\當(dāng)前用戶名
%ALLUSERSPROFILE%? 表示 C:\Documents and Settings\All Users
%ComSpec%? 表示 C:\WINDOWS\System32\cmd.exe?
%APPDATA%? 表示 C:\Documents and Settings\當(dāng)前用戶名\Application Data?
%ALLAPPDATA%? 表示 C:\Documents and Settings\All Users\Application Data?
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%?? 表示 C:
%SYSTEMROOT%? 表示 C:\WINDOWS?
%WINDIR%????? 表示 C:\WINDOWS?
%TEMP% 和 %TMP%? 表示 C:\Documents and Settings\當(dāng)前用戶名\Local Settings\Temp?
%ProgramFiles%? 表示 C:\Program Files?
%CommonProgramFiles%? 表示 C:\Program Files\Common Files
本文轉(zhuǎn)自 149banzhang 51CTO博客,原文鏈接:http://blog.51cto.com/149banzhang/726353,如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者
總結(jié)
以上是生活随笔為你收集整理的组策略管理——软件限制策略(4)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: maven工程错误汇总
- 下一篇: 提高测试覆盖率