导出计算机应用的组策略,组策略应用

组策略(gpedit.msc)

1、隐藏不必要的桌面图标

2、禁止对桌面的改动

3、启用或禁止活动桌面

4、给“开始”菜单减肥

5、保护好“任务栏”和“开始”菜单的设置

1. 禁止访问“控制面板”

2、隐藏或禁止“添加/删除程序”项

3、隐藏或禁止“显示”项

1、登录时不显示欢迎屏幕界面

3、关闭系统自动播放功能

4、关闭Windows自动更新

5、删除任务管理器

1、删除“文件夹选项”

2、隐藏“管理”菜单项

1、限制IE浏览器的保存功能

2、给工具栏减肥

3、在IE工具栏添加快捷方式

4、让IE插件不再骚扰你

5、保护好你的个人隐私

6、禁止修改IE浏览器的主页

7、禁用导入和导出收藏夹

1、密码策略

2、用户权利指派

4、Windows 98访问Windows XP共享目录被拒绝的问题解决

5、阻止访问命令提示符

一、桌面项目设置

在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到

有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标

桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、

“ 上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在

“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“ 上邻居”和

“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘ 上邻居’图标”和“

隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图

标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的

文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我

的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标

,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。

2、禁止对桌面的改动

利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径

”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工

具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用

户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,

将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单

都将被禁止。

3、启用或禁止活动桌面

利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌

面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面

上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。

4、给“开始”菜单减肥

Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除

“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“ 络连接”、“收

藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的

音乐”图标和“ 上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。

以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从

‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启

用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。

5、保护好“任务栏”和“开始”菜单的设置

倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止

更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启

用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,

提示信息是某个设置禁止了这个操作。

二、隐藏或禁止控制面板项目

这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控

制面板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项

,便可看到“控制面板”节点下面的所有设置和子节点。

1. 禁止访问“控制面板”

sc),在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板”→

“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。此项设置可

以防止“控制面板”程序文件(Control.exe)的启动。其结果是,他人将无法启动“控制

面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控

制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。

2、隐藏或禁止“添加/删除程序”项

展开“添加/删除程序”项:双击启用“删除‘添加/删除程序’程序”设置项后,控制面

板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面

:“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”;而当你进入“

添加新程序”页面时,会发现有3个选项:“从CD-ROM或软盘添加程序”、“从 Microsof

t添加程序”以及“从 络中添加程序”,如果你想这些具体页面或选项隐藏,可直接在组

策略“添加/删除程序”项中将相应隐藏功能启用。

3、隐藏或禁止“显示”项

展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。这

里就不细讲了,例如双击启用“隐藏‘桌面’选项卡”后,“显示窗口”中将不再出现“

桌面”项。此外,在这里用户还可启用“删除控制面板中的‘显示’”,这样在控制面板

中双击打开“显示”项时,就会弹出一个对话框提示你:系统管理员禁止使用“显示”控

制面板。

4、其他

依次展开“显示”→“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按

钮式样”、“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字体。

展开“打印机”项,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户

添加或删除打印机。最后,直接在“控制面板”一项下启用“禁止访问控制面板”,控制

面板将无法启动。

三、系统项目设置

这一项在“用户配置”→“管理模板”→“系统”中设置(图15)。组策略中对系统的设

置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理

出来分类列举如下:

1、登录时不显示欢迎屏幕界面

Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延

长登录时间,通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎

屏幕”,则每次用户登录时欢迎屏幕将隐藏。

弹出对话框的“设置”标签中点选“未被配置”项,这样你的注册表便解锁了。如果要防

”。

3、关闭系统自动播放功能

一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。这样

虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在“系统”节点下有一项

为“关闭自动播放”设置项,双击其并在弹出对话框的“设置”标签中点选“已启用”,

在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。

注意:此设置不阻止自动播放音乐CD。

4、关闭Windows自动更新

每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具

体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔老

大这种自作主张的态度,可通过组策略关闭这一功能。只须双击“系统”节点下的“Wind

ows自动更新”设置项,在弹出来的对话框中点选“已禁用”并确定即可。

5、删除任务管理器

若Windows XP用户已取消“使用欢迎屏幕”项,若同时按下“Ctrl+Alt+Del”键,便会弹

出一个“Windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、“

更改密码”、“任务管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统

都起着关键的作用。为了阻止别人操作,可通过组策略屏蔽这些按钮。

找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除‘锁定

计算机’”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“

任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。

注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”→“管理模板”→“任务

栏和‘开始’菜单”节点下。

四、隐藏或删除Windows XP资源管理器中的项目

一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一

直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“

Windows资源管理器”项,可以看到“Windows资源管理器”节点下的所有设置。下面就来

看看怎样通过组策略实现资源管理器个性化

1、删除“文件夹选项”

文件类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删

除,你只须双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置。

2、隐藏“管理”菜单项

在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项,通过此

菜单项,可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁

盘管理”等众多工具的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏,可

通过双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项来屏蔽此菜单项

3、其他项目的隐藏

此外通过启用“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可

通过启用“‘ 上邻居’中不含‘整个 络’”屏蔽掉“整个 络”项。双击启用“删除

CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到

‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有

讲到,大家可根据需要自行探讨,进行适当的配置。

五、IE浏览器项目设置

在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组件”→“Inter

net Explorer”项,在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子

节点。IE是Windows XP自带的 页浏览器,也是大多数用户采用的浏览器,但其安全性也

为人所诟病,下面就通过组策略来对其进行“改造”。

1、限制IE浏览器的保存功能

当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用

,那么如何才能实现呢体方法为:选择“用户设置”→“管理模板”→“Windows组件

”→“Internet Explorer”→“浏览器菜单”分支,然后将右侧窗格中的“‘文件’菜单

:禁用‘另存为…’菜单项”、“‘文件’菜单:禁用另存为 页菜单项”、“‘查看’

菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目启用即可。

另外,倘若您不希望别人对IE浏览器的设置进行随意更改,您只要将“‘工具’菜单:禁

用‘Internet选项…’”策略启用即可。另外,根据您个人的需要,在该窗格中还可以对

其他项目进行禁用。

2、给工具栏减肥

倘若您要隐藏工具栏中的工具按扭,具体方法是:选择“用户设置”→“管理模板”→“

Windows组件”→“Internet Explorer”→“工具栏”分支,然后在右侧窗格中双击“配

置工具栏按扭”策略,弹出“配置工具栏按扭属性”窗口,在“设置”选项卡中选择“已

启用”单选按扭,将列表中将要显示按扭名称前面的复选框打上勾选标记,若要隐藏某些

按扭,则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可

3、在IE工具栏添加快捷方式

不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其便

能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式,这里举例说

明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面

”,双击“浏览器工具栏自定义”设置项,在弹出来的对话框中单击“添加”按钮,在“

浏览器工具栏按钮信息”对话框的“工具栏标题”中输入:ICQ,在“工具栏操作”中输入

D:FunICQLiteICQLite.exe,然后再随便选择一个“颜×××标”和“灰度图标”,当然

你也可以用ExeScope等来提取ICQ的图标)。单击“确定”后IE工具栏中便多了一个ICQ图

标!

4、让IE插件不再骚扰你

我们平常上 浏览 页时,总会弹出一些诸如“是否安装Flash插件”、“是否安装3721

络实名”的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过启用“Internet

Explorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现

。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加考虑。

5、保护好你的个人隐私

一般通过单击IE工具栏上的“历史”按钮,便可了解以前浏览过的 页和文件。为保密起

见,你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录

”和“退出时清除最近打开的文档记录”两个设置项,这样再单击IE工具栏上的“历史”

按钮,你访问过的历史 页记录将全部消失。

6、禁止修改IE浏览器的主页

如果不希望他人对你的主页进行修改,可启用“Internet Explorer”节点下的“禁用更改

主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”,启用其中的

设置项对IE浏览器的若干菜单项进行屏蔽。最后,在“Internet控制面板”节点下,你还

可对“Internet选项”对话框中的部分选项卡进行隐藏。

倘若启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“

主页”区域的设置将变灰。

特别提示:如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Intern

et Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,

因为“禁用常规页”策略将删除界面上的“常规”选项卡。

7、禁用导入和导出收藏夹

禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。用户配置管理模板Wi

ndows组件Internet Explorer。

如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果

禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜

单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹。

注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按

钮时,将出现说明该功能已被禁用的提示信息。

六、系统安全/共享/权限设置

自有计算机以来,安全一直就是人们关注的焦点问题,Windows XP也不例外。在组策略中

,系统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”中进行。

1、密码策略

这一策略在“账户策略”→“密码策略”节点中配置。口令是系统安全的一大隐患,可通

过组策略设置密码(口令)的最小长度:双击启用“密码必须符合复杂性要求”设置项,

确定后双击“密码长度最小值”设置项,在弹出来的对话框中将密码长度最小值设为8或更

大,这样以后设置账户密码时就必须输入8位以上,安全性就高多了。

2、用户权利指派

展开“本地策略”→“用户权利指派”节点,在右边窗口中便能看到“用户权利指派”节

点下的所有设置。合适地指派用户权利可以解决一些奇怪的问题,例如在局域 中使用Wi

ndows XP系统的朋友一般会发现一个奇怪的现象,那就是即使你启用guest用户并给予权限

,局域 中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个

问题可在组策略中通过修改有关设置解决:双击“用户权利指派”节点下的“拒绝从 络

访问这台计算机”设置项,在弹出对话框中点选“guest”,然后单击“删除”,最后确定

即可。在“用户权利指派”节点下还可给用户添加许多权限,例如给guest添加远程关机权

限、给一般用户添加更改系统时间的权限。

a.单击选择“开始”→“运行”命令,在弹出的“运行”对话框中键入“gpedit.msc”命

令,然后单击“确定”按扭即可;当然你也可以在桌面上创建一个相应的快捷方式。

b.在弹出的“组策略”窗口中,逐级展开右侧窗格中的“计算机配置”→“Windows设置”

中,将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记。如图12所示

。然后单击“确定”按扭

弹出的窗口中选择“安全”选项卡。

f.根据具体情况选择您的操作:

”按扭。

“应用到”列表仅对文件夹有效)。

4、Windows 98访问Windows XP共享目录被拒绝的问题解决

在局域 内,经常可以遇到装有Windows 2000的电脑开了共享目录,而装有Windows 98的

电脑却无法访问的问题。这个在微软的官方 页上可以找到答案,提示开启Windows 2000

的GUEST用户就行了。可是Windows XP出来以后,同样的又面临这个问题,结果有些人发现

这个方法不灵了,从 上邻居访问Windows XP的共享目录不一定能被允许。原因何在

个问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是Windows XP的一

个BUG/p>

算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”→“拒

绝从 络访问这台计算机”中赫然可以看到有Guest用户!如果在这里删除Guest用户,那

么其他电脑就可以从 上邻居中查看这台电脑的共享目录了

5、阻止访问命令提示符

防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在

计算机上运行。位置:用户配置管理模板系统  如果启用这个设置,用户试图打开命

令窗口,系统会显示一个消息,解释设置阻止这种操作。

注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;

也不防止使用终端服务的用户运行批文件。

的恶意代码篡改IE。位置:用户配置管理模板系统 如果这个设置被启用,并且用户试

理工具,请使用“只运行许可的Windows应用程序”策略设置。

八、补充

1.禁止程序后组策略无法使用

可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,在Windows高

级选项菜单中选择“带命令行提示的安全模式”选项,然后在命令提示符下运行mmc.exe。

在打开的“控制台”窗口中,依次点击“文件→添加/删除管理单元→添加→组策略→添加

→完成→关闭→确定”,现在已经添加了一个组策略控制台,接下来把原来的设置改回来

,然后重新进入Windows即可。

2、从“我的电脑”中删除共享文档

当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图

出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置,你可选择不

显示这些项目。

本地计算机策略——>用户配置——>管理模板——>Windows组件——>Windows资源管理器

如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现

。如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会

以Web视图方式显示或在“我的电脑”中出现。

组策略防狗(转帖)

图片:

230_754451_60a7704d4650214.jpg‘800’)this.width=’800′;if(this.height>’600′)this.height=’600′;” border=0>

强!组策略防狗(个人觉得很帅的贴)

组策略防狗

[winxp中的系统变量]

%USERPROFILE%  表示 C:Documents and Settings当前用户名

%ALLUSERSPROFILE%  表示 C:Documents and SettingsAll Users

%APPDATA%  表示 C:Documents and Settings当前用户名Application Data

%ALLAPPDATA%  表示 C:Documents and SettingsAll UsersApplication Data

%SYSTEMDRIVE% 表示 C:

%HOMEDRIVE%  表示C:

%SYSTEMROOT%  表示 C:WINDOWS

%WINDIR%  表示 C:WINDOWS

%TEMP% 和 %TMP%  表示 C:Documents and Settings当前用户名Local SettingsTemp

%ProgramFiles%  表示 C:Program Files

%CommonProgramFiles%  表示 C:Program FilesCommon Files

非常欢迎大家将自己的规则拿出来讨论,以使此规则不断进步和完善,成为传统安全软件有力的辅助和补充。好了,废话说了一大堆,下面进入正文:

一、软件限制策略的作用

首先说一下HIPS的3D

AD——程序保护 保护应用程序不被恶意修改、删除、注入

FD——文件保护 保护关键的文件不被恶意修改、删除,禁止恶意程序创建和读取文件

RD——注册表保护 保护注册表关键位置不被恶意修改、读取、删除

XP系统软件限制策略可以做到上面的AD与FD,至于RD,可以通过注册表权限设置来实现

因此可以说,XP本身就具备3D功能,只是不被大家所熟悉。

二、软件限制策略的优劣势

1、优势

优势是很明显的,它是系统的一部分,不存在兼容性问题,不占用内存,属于系统最底层保护,保护能力远不是HIPS可以比拟的

2、劣势

劣势也很明显,与HIPS相比,它不够灵活和智能,不存在学习模式,它只会默认阻止或放行,不会询问用户,若规则设置不当,可能导致某些程序不能运行

三、软件限制策略 规则编写实例

我直接以一些最常见的例子来说明

1、首先要学会系统通配符、环境变量的含义,以及软件限制策略规则的优先级

2、如何阻止恶意程序运行

首先要注意,恶意程序一般会藏身在什么地方

分区根目录

C:WINDOWS (后面讲解一律以系统在C盘为例)

C:WINDOWSsystem32

C:Documents and SettingsAdministrator

C:Documents and SettingsAdministratorApplication Data

C:Documents and SettingsAll Users

C:Documents and SettingsAll UsersApplication Data

C:Documents and SettingsAdministrator「开始」菜单程序启动

C:Documents and SettingsAll Users「开始」菜单程序启动

C:Program Files

C:Program FilesCommon Files

注意:

C:Documents and SettingsAdministrator

C:Documents and SettingsAdministratorApplication Data

C:Documents and SettingsAll Users

C:Documents and SettingsAll UsersApplication Data

C:Documents and SettingsAdministrator「开始」菜单程序启动

C:Documents and SettingsAll Users「开始」菜单程序启动

C:Program Files

C:Program FilesCommon Files

这8个路径下是没有可执行文件的,只有在它们的子目录下才有可能存在可执行文件,那么基于这一点,规则就容易写了

%ALLAPPDATA%*.* 不允许的

%ALLUSERSPROFILE%*.* 不允许的

%ALLUSERPROFILE%「开始」菜单程序启动*.* 不允许的

%APPDATA%*.* 不允许的

%USERSPROFILE%*.*

%USERPROFILE%「开始」菜单程序启动*.* 不允许的

%ProgramFiles%*.* 不允许的

%CommonProgramFiles%*.* 不允许的

那么对于

C:WINDOWS C:WINDOWSsystem32 这两个路径的规则怎么写呢/p>

C:WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的,而其他都不需要运行

则其规则可以这样写:

%SYSTEMROOT%*.* 不允许的 (首先禁止C:WINDOWS下运行可执行文件)

C:WINDOWSexplorer.exe 不受限的

C:WINDOWSnotepad.exe 不受限的

C:WINDOWSamcap.exe 不受限的

C:WINDOWSRTHDCPL.EXE 不受限的

(然后利用绝对路径优先级大于通配符路径的原则,设置上述几个排除规则,则,在C:WINDOWS下,除了explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外,其他所有的可执行文件均不可运行)

对于C:WINDOWSsystem32就不能像上面那样写规则了,在SYSTEM32下面很多系统必须的可执行文件,如果一个一个排除,那太累了。所以,对system32,我们只要对它的子文件作一些限制,并对系统关键进程进行保护

子文件夹的限制

%SYSTEMROOT%system32config***.* 不允许的

%SYSTEMROOT%system32drivers***.* 不允许的

%SYSTEMROOT%system32spool***.* 不允许的

当然你可以限制更多的子文件夹

3、如何保护system32下的系统关键进程

有些进程是系统启动时必须加载的,你不能阻止它的运行,但这些进程又常常被恶意软件仿冒,怎么办实很简单,这些仿冒的进程,其路径不可能出现在system32下,因为它们不可能替换这些核心文件,它们往往出现在其他的路径中。那么我们可以这样应对:

C:WINDOWSsystem32csrss.exe 不受限的

C:WINDOWSsystem32ctfmon.exe 不受限的

C:WINDOWSsystem32lsass.exe 不受限的

C:WINDOWSsystem32rundll32.exe 不受限的

C:WINDOWSsystem32services.exe 不受限的

C:WINDOWSsystem32smss.exe 不受限的

C:WINDOWSsystem32spoolsv.exe 不受限的

C:WINDOWSsystem32svchost.exe 不受限的

C:WINDOWSsystem32winlogon.exe 不受限的

先完全允许正常路径下这些进程,再屏蔽掉其他路径下仿冒进程

csrss.* 不允许的 (.* 表示任意后缀名,这样就涵盖了 bat com 等等可执行的后缀)

ctfm.* 不允许的

lass.* 不允许的

lssas.* 不允许的

rund*.* 不允许的

services.* 不允许的

smss.* 不允许的

spv.* 不允许的

sht.* 不允许的

scht.* 不允许的

wing.* 不允许的

4、如何保护上 的安全

在浏览不安全的 页时,病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运行,造成系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵

%SYSTEMROOT%tasks***.* 不允许的 (这个是计划任务,病毒藏身地之一)

%SYSTEMROOT%Temp***.* 不允许的

%USERPROFILE%Cookies*.* 不允许的

%USERPROFILE%Local Settings***.* 不允许的 (这个是IE缓存、历史记录、临时文件所在位置)

另外可以免疫一些常见的流氓软件

3721.* 不允许的

CNNIC.* 不允许的

*Bar.* 不允许的

等等,不赘述,大家可以自己添加

注意,*.* 这个格式只会阻止可执行文件,而不会阻止 .txt .jpg 等等文件

另外演示两条禁止从回收站和备份文件夹执行文件的规则

Recycler***.* 不允许的

System Volume Information***.* 不允许的

5、如何防止U盘病毒的***

这个简单,两条规则就可以彻底搞定

autorun.inf 不允许的

*.* 不允许的

6、预防双后缀名的典型恶意软件

许多恶意软件,他有双后缀,比如 mm.jpg.exe

由于很多人默认不显示后缀名,所以你看到的文件名是 mm.jpg

对于这类恶意,我本来想以一条规则彻底免疫

*.*.* 不允许的

可是这样做了之后,却发现我的ACDSee 3.1 无法运行

于是改成

*.bat 不允许的

*.cmd 不允许的

*.com 不允许的

*.exe 不允许的

*.pif 不允许的

这样5条规则,ACDSEE没有问题了。我现在还没搞清楚,我的ACDSEE并没有双后缀,为何不能运行

7、其他规则

注意 %USERPROFILE%Local Settings***.* 这条规则设置后,禁止了从临时文件夹执行文件,那么一些自解压的单文件就无法运行了,因为这类文件是首先解压到临时文件夹,然后从临时文件夹运行的。如果你的电脑中有自解压的单文件,那么,删除这条规则,增加3条:

%USERPROFILE%Local SettingsApplication Data***.* 不允许的

%USERPROFILE%Local SettingsHistory***.* 不允许的

%USERPROFILE%Local SettingsTemporary Internet Files***.* 不允许的

威金的预防,很简单三条

logo* 不允许的

logo.* 不允许的

_desktop.ini 不允许的

小浩病毒的预防

xiaohao.exe 不允许的

禁止conimi.exe进程

cime.* 不允许的

禁止QQ自动更新

QQUpdateCenter.exe 不允许的

TIMPlatform.exe 不允许的

禁止遨游自动更新

maxupdate.exe 不允许的

禁止小红伞C版的广告

avnotify.exe 不允许的

………………………………

就不一一列举了

大家根据自己的实际情况来设置吧

最后附上我自己精简后的规则,比较大众化,下载解压后直接运行即可

运行前,先备份C:WINDOWSsystem32GroupPolicyMachineRegistry.pol 这个文件

如果导入规则出现不良反应,可以用原文件替换回去

有兴趣的朋友可以深入研究,不良反应究竟是触发了哪一条规则,如何设置能达到最佳效果

附带啰嗦一句,现在很多病毒采用劫持IFEO的方法,致使杀毒软件无法启动。解决方法如下:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

右击——权限,取消所有用户的写入、修改权限,仅保留读取和删除权限

规则导入完成之后,利用NTFS格式的安全设定,设置Registry.pol 的权限,取消所有用户的修改、写入和删除权限,这样恶意软件便不能修改或删除这个规则了

同理,可以利用NTFS的权限设置,保护任意文件不被修改和删除,和软件限制策略相辅相成,达到HIPS的FD功能。

这个是FAT格式无法享有的优越性

另外本人写了一份防机器狗的软件策略,经最新样本测试,不能穿透。里面有导入导出工具,只要放在同一文件夹下就可以导入了 。

相关资源:管道壁厚计算软件_管道壁厚计算软件-制造工具类资源-CSDN文库

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2021年6月4日
下一篇 2021年6月4日

相关推荐