您的位置:360文档中心› (战略管理)要设置组策略

(战略管理)要设置组策略

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

要设置组策略,先了解下系统环境变量和通配符,以及优先级

环境变量

在C盘为系统盘的情况下:

%USERPROFILE%

表示C:\Documents and Settings\当前用户名这个文件夹

%ALLUSERSPROFILE%

表示C:\Documents and Settings\All Users

%APPDATA%

表示C:\Documents and Settings\当前用户名\Application Data

%ALLAPPDATA%

表示C:\Documents and Settings\All Users\Application Data

%SYSTEMDRIVE% 表示C:

%HOMEDRIVE%

表示C:\

%SYSTEMROOT%

表示C:\WINDOWS

%WINDIR%

表示C:\WINDOWS

%TEMP% 和%TMP%

表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles%

表示C:\Program Files

%CommonProgramFiles%

表示C:\Program Files\Common Files

通配符

?

---------------表示任意单个字符

*

---------------任意个字符(包括0个),但不包括斜杠

**或*?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹

这里是网上的例子:

*\Windows 匹配C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。

C:\win* 匹配C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配

具有此扩展名的任何应用程序。

C:\Application Files\*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录

路径规则优先级:

1.绝对路径> 通配符相对路径

如C:\Windows\explorer.exe > *\Windows\explorer.exe

2.文件型规则> 目录型规则

如若a.exe在Windows目录中,那么a.exe > C:\Windows

注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。

例如, *.* 就比C:\WINDOWS 的优先级要高,如果要排除WINDOWS根目录下的程序,就需要这样做C:\WINDOWS\*.*

而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。

3.环境变量= 相应的实际路径= 注册表键值路径

如%ProgramFiles% = C:\Program Files

= %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Program FilesDir%

4.若两条规则路径等效,那么合成的结果是:从严处理,以最低的权限为准。

如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的” 结果为“C:\Windows\explorer.exe 不允许的

总的来说,就是路径越明显详细,该规则就越优先

上面这些了解了以后,我们打开组策略编辑器

4条默认规则说明

整个Windows目录不受限

Windows下的exe文件不受限

System32下的exe文件不受限

整个ProgramFiles目录不受限

我们右键新建

图中使用系统变量,而且是绝对路径,这样的规则优先于下面的这种基于文件名的规则

这里举个例子说明绝对路径的优先性

如果我们只想运行系统盘SYSTEM32下的SVCHOST.exe(防止病毒从其它位置启动一个名为SVCHOST.exe的文件)

就需要添加下面的两个路径规则

规则1:

%SYSTEMROOT%\system32\svchost.exe 或者C:\WINDOWS

\system32\svchost.exe

不受限的(绝对路径,优先于下面的规则)

规则2:

Svchost.exe

不允许的(基于文件名)

简单理解,规则1是规则2的例外,对于Explorer.exe, lsass.exe 也需要这样对应设置,主要是路径,千万不要没有例外哦

这样,我们可以利用基于文件名的规则,限制一些仿冒的东西,如下图

注意不要限制*.*.exe这样的因为有些软件带有版本号,比如srengLDR2.0.exe这样就会导致正常软件不能运行

限制双后缀的程序,要更加明确才行,最好是*.jpg.exe这样添加或者*.???.exe

当然这样碰见这样的ice2.014.exe的正常程序也会限制

小的我图省事,就把正常程序版本号的点去了。。。我用的就是*.*.exe

路径规则模板:

若要阻止程序从某个文件夹及所有子目录中启动,需要添加的规则应为:

某目录\** 不允许的

某目录\* 不允许的

某目录\ 不允许的

某目录不允许的

相关文档
最新文档