第17章 软件限制策略

软件限制策略的意义就是针对系统分区下几个主要目录（文件夹）下的文件做散列（允许运行），对相应的目录和个别文件做“路径”（不允许运行），这样来限制咱们的系统中哪些目录下哪些文件可以运行，哪些文件不可以运行，从而达到系统安全的目的。

当然也有个别以文件名、后缀名为内容的路径是针对整个系统而言啦。

做软件限制策略的第一步就是打开“本地安全设置”，这里先说一下怎样打开它：可以通过运行命令：secpol.msc /s 来打开“本地安全设置”，也可以通过路径“控制面板”-“管理工具”-“本地安全策略”来打开“本地安全设置”。

软件限制策略的即时刷新命令：gpupdate.exe /wait:-1打开“本地安全设置”后，选中左面小窗口中“安全设置”下的“软件限制策略”上右键，选择“创建新的规则”，就能看到咱们要操作的文件“安全级别”和“其它规则”了（这是对没有做过安全设置的系统而言，已经做过安全设置的系统直接就能看到“软件限制策略”下的下级目录“安全级别”和“其它规则”）。

这里通常先设置“指派的文件类型”。

把“软件限制策略”点蓝，然后到右面窗口中双击打开“指派的文件类型”，在出来的“指派的文件类型属性”对话框内“扩展”下的列表中选中名为“LNK”快捷方式，点击列表框右下方的“删除”，把它删除掉。

如果不删这个LNK快捷方式，你桌面上的软件就打不开了！有的限制策略还删除了“VB”。

再在这个“指派的文件类型属性”对话框内最下面“文件扩展名”后面的输入框中输入“dll”，输入完成输入框后面原来是灰色的“添加”按钮变成可操作样式，点击它，确定添加。

如果你不填加dll这个文件，你的电脑就不会对这样文件做管理！准备工作做好后，咱们就来做具体的规则。

方法是这样：在左边窗口中的“其它规则”上右键，或在选中它后，在右边的窗口中空白处点右键，出来的下级菜单中有很多选项，都是咱们认识的文字，可以根据自己的情况选择相应的项进行设置。

这里咱们是做软件限制策略，需要操作的是“新散列规则”和“新路径规则”。

对于Windows的组策略，也许⼤家使⽤的更多的只是“管理模板”⾥的各项功能。

对于“软件限制策略”相信⽤过的筒⼦们不是很多。

软件限制策略如果⽤的好的话，相信可以和某些HIPS类软件相类⽐了。

如果再结合NTFS权限和注册表权限，完全可以实现系统的全⽅位的安全配置，同时由于这是系统内置的功能，与系统⽆缝结合，不会占⽤额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能⼒也是其它软件所⽆法⽐拟的，不⾜之处则是其设置不够灵活和智能，不会询问⽤户。

下⾯我们就来全⾯的了解⼀下软件限制策略。

本系列⽂章将从以下⼏⽅⾯为重点来进⾏讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·⽰例规则 今天我们先介绍Windows组策略中的软件限制策略的概述、附加规则和安全级别。

1、概述 使⽤“软件限制策略”，通过标识并指定允许哪些应⽤程序运⾏，可以保护您的计算机环境免受不可信任的代码的侵扰。

通过散列规则、证书规则、路径规则和Internet 区域规则，就⽤程序可以在策略中得到标识。

默认情况下，软件可以运⾏在两个级别上：“不受限制的”与“不允许的”。

在本⽂中我们主要⽤到的是路径规则和散列规则，⽽路径规则呢则是这些规则中使⽤最为灵活的，所以后⽂中如果没有特别说明，所有规则指的都是路径规则。

2、附加规则和安全级别 ·附加规则 在使⽤软件限制策略时，使⽤以下规则来对软件进⾏标识： ·证书规则 软件限制策略可以通过其签名证书来标识⽂件。

证书规则不能应⽤到带有 .exe 或 .dll 扩展名的⽂件。

它们可以应⽤到脚本和 Windows 安装程序包。

可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运⾏。

·路径规则 路径规则通过程序的⽂件路径对其进⾏标识。

在企业络管理中，我们很重要的⼀块⼯作，就是对企业员⼯的络⾏为的管理。

如不允许他们使⽤QQ、MSN等聊天⼯具，或者不允许他们在上班时间看电影等等。

要实现这些⽅⾯的控制，现在已经有不少好的⼯具。

利⽤域控制器，来实现对某些软件的限制，也是其中⼀种⽐较流⾏的⽅式之⼀。

域环境中的软件限制策略，也就是说，当⽤户利⽤域帐户登陆到本机电脑的时候，系统会根据这个域帐户的访问权限，来判断其是否有某个应⽤软件的使⽤权限。

当其没有相关权限的时候，则操作系统就会拒绝⽤户访问某个应⽤软件，从⽽来管理企业员⼯的操作⾏为。

在这篇⽂章中，笔者将对软件限制策略的⼀些常识进⾏⼀些简短的介绍，然后在后续的⽂章中，笔者会结合⾃⼰公司的设置，来讲解⼀些具体的应⽤。

希望这⼀系列的⽂章能够对各位读者有所帮助。

⼀、应⽤软件与数据⽂件独⽴ 在应⽤软件限制策略的时候，需要明⽩的第⼀个原则就是“应⽤软件与数据⽂件独⽴”独⽴原则。

也就是说，你即使具有数据⽂件的访问权限，但是，若其没有其关联软件的访问权限的话，则仍然不能够打开这个⽂件。

如现在某个⽤户从上私⾃下载了⼀部电影，其作为所有者⼈，当然具有对这个数据⽂件进⾏访问的权限。

但是，我们在软件限制策略设置的时候，这个⽤户帐户⽆法访问任何的视频播放软件。

如此的话，这个⽤户仍然⽆法播放这部电影。

这就是应⽤软件与数据⽂件独⽴的原则。

这个原则在实际应⽤中⾮常有⽤。

因为我们很难控制⽤户从络上下载⽂件。

如⽤户若从络上下载歌曲，甚⾄通过U盘等⼯具从企业外部把⽂件拷贝到电脑上去。

这些⾏为我们很难控制。

但是，我们对于⽤户电脑上应⽤程序的控制来说，则相对简单许多。

我们只需要把这些应⽤程序控制好，则即使⽤户私⾃下载受限制的⽂件，则⽤户最终也没有软件可以打开它。

这也就可以控制他们的相关不正当⾏为。

⼆、软件限制策略的冲突处理原则 软件限制策略跟其他组策略⼀样，可以在多个级别上进⾏设置。

或者说，软件限制策略是组策略中的⼀个特殊分⽀也未尝不可。

组策略工具是系统自带的一款强大管理软件，却往往被人所忽视，我现在介绍一下它其他用户用你装的QQ，游戏啊之类的，的一个小小的功能，让它来帮我们禁止指定程序的运行。

比如你不想让设置得当，还可以防止病毒呢。

点击“开始”→“运行”输入gpedit.msc 后回车，就打开了“组策略”点选左边的“windows设置”→“安全设置”→“软件限制策略”→“其他规则”然后在右边的窗口中右击，选择“新路径规则”[attachment=30628][attachment=30629]把要限制的软件的地址添加进来即可。

知道了原理,破解网吧的限制你也就会了吧?在网吧的电脑上, 只要打开组策略,把里面的限制路径晴空就可以无所限制,任你访问了.禁用指定的文件类型2009-08-04 信息来源：瑞安免费信息网视力保护色：【大中小】【打印本页】【关闭窗口】在日常工作中，系统中的很多文件都可能给系统带来威胁，比如SHS、MSI、BA T、CMD、COM、EXE 等程序文件类型。

其实我们完全可以利用系统的组策略功能，来禁用这些危险的文件类型。

这样操作不但可以保证系统的安全，而且不会影响系统的正常运行。

这里假设我们要禁用批处理格式BA T 文件，不让系统运行BA T格式的文件，具体的策略组设置方法如下：第一步：首先点击开始菜单中的“运行”命令，输入“gpedit.msc”打开组策略。

接着点击“计算机配置→Windows设置→安全设置→软件限制策略”，然后在弹出的右键菜单上选择“创建软件限制策略”，即可生成“安全级别”、“其他规则”、“强制”、“指派的文件类型”、“受信任的出版商”等选项。

第二步：双击“指派的文件类型”选项，在弹出的“指派的文件类型属性”窗口，将“指定的文件类型”列表中将其他的文件全部删除，只留下BA T文件类型。

如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。

组策略之软件限制策略组策略之软件限制策略――完全教程与规则示例理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限）。

软件限制政策的本质在于许可。

在部署策略时，通常需要学习设置权限规则部分：5.如何使用软件限制策略来防止病毒（即如何编写规则）6规则示例和下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。

如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整ntfs权限理论部分软件限制策略包括证书规则、散列规则、internet区域规则和路径规则。

我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

或者有人问：为什么不使用哈希规则？哈希规则可以用防病毒软件替换白名单中的程序。

这对安全不是更好吗？一是因为散列规则不能通用，二是即使用了也意义不大――防替换应该要利用好ntfs 权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了I环境变量、通配符和优先级关于环境变量（假定系统盘为c盘）%Userprofile%表示C:\\documentsandsettings\\current用户名%HomePath%表示C:\\documentsandsettings\\current用户名%allusersprofile%表示C:\\documentsandsettings\\allusers%appdata%表示c:\\documentsandsettings\\当前用户名\\applicationdata%allappdata%表示c:\\documentsandsettings\\allusers\\applicationdata%systemdrive%表示c:%homedrive%表示c:%Systemroot%表示C:\\windows%windir%表示C:\\windows%temp%和%tmp%表示c:\\documentsandsettings\\当前用户名\\localsettings\\temp%Programfiles%表示C:\\Programfiles关于通配符：Windows中的默认设置*：任意个字符（包括0个），但不包括斜杠?：1个或0个字符几个例子*\\windows匹配c:\\windows、d:\\windows、e:\\windows以及每个目录下的所有子文件夹。

软件限制策略HofoSetup一，基本知识开始运行：GPEDIT.MSC组策略，计算机配置用户配置计算机配置:安全设置（账户，本地，公钥，软件，IP安全）只讲软件限制策略组策略文件C:\\WINDOWS\\system32\\GroupPolicy佛爱我羊跳转注册表用户策略在注册表里的位置HKEY_CURRENT_USER\\Software\\PoliciesHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Cu rrentVersion\\Policies系统策略在注册表里的位置HKEY_LOCAL_MACHINE\\SOFTWARE\\PoliciesHKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\C urrentVersion\\Policies只讲WINDOWS设置安全设置软件限制策略二，软件限制策略应用（其他规则--证书散列区域规则）组策略文件,建立新的策略，散列规则只讲散列规则1,限制安装同一版本改变路径也可以限制不同版本只能限制设置了限制的版本2，限制运行不同版本只是限制路径，未设置路径的限制不了三，相关命令：刷新组策略gpupdate /force恢复组策略默认：cmd /c del C:\\WINDOWS\\system32\\GroupPolicy\\Machine\\Registry.pol cmd /c del C:\\WINDOWS\\system32\\GroupPolicy\\user\\Registry.pol打开组策略系统配置文件notepadC:\\WINDOWS\\system32\\GroupPolicy\\Machine\\Registry.pol 打开组策略用户配置文件notepadC:\\WINDOWS\\system32\\GroupPolicy\\user\\Registry.pol。