组策略管理——软件限制策略（5）

标签：安全系统管理软件限制策略组策略

原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。http://marui.blog.51cto.com/1034148/355091

在本系列上篇文章 组策略管理——软件限制策略（4）中简述了编写软件限制策略的基本方法，在本文中，将继续说明编写软件限制策略的其他问题。

保护 system32 下的系统关键进程

确保系统安全的第一步，就是保证自身不受威胁仿冒，为了保护系统关键进程，进行如下策略配置：

C:\WINDOWS\system32\csrss.exe      不受限的
C:\WINDOWS\system32\ctfmon.exe    不受限的
C:\WINDOWS\system32\lsass.exe      不受限的
C:\WINDOWS\system32\rundll32.exe    不受限的
C:\WINDOWS\system32\services.exe 不受限的
C:\WINDOWS\system32\smss.exe    不受限的
C:\WINDOWS\system32\spoolsv.exe    不受限的
C:\WINDOWS\system32\svchost.exe      不受限的
C:\WINDOWS\system32\winlogon.exe    不受限的

进而再屏蔽掉其他路径下仿冒进程

csrss.*      不允许的（.* 表示任意后缀名，这样就涵盖了 bat com 等等可执行的后缀）
ctfm?n.* 不允许的
lass.*      不允许的
lssas.*      不允许的
rund*.*        不允许的
services.*      不允许的
smss.*      不允许的
sp???sv.*      不允许的
s??h?st.*      不允许的
s?vch?st.*    不允许的
win??g?n.*    不允许的

防止伪装进程

一些病毒和恶意软件通常喜欢伪装为我们常见的进程来迷惑用户，例如 Windows 常见进程 svchost.exe 就是常见的已被伪装进程。

以 svchost.exe 为例，防止伪装进程可将限制策略编辑为：

svchost.exe 不允许的

c:\windows\system32\svchost.exe 不受限的

防止恶意使用 CMD

在系统环境变量中，默认的 CMD 调用路径为 %Comspec%，因此只需在软件限制策略中编辑条目将 %Comspec% 设置为需要的限制等级即可。

此时，虽然防止了 CMD 的恶意使用，但并不能对批处理命令进行限制，因为在系统的运行层面上，对于 CMD 和批处理命令有着不同的执行方式，如需限制批处理命令，还需要结合文件扩展名进行限制。

浏览器安全

浏览网页中毒的主要途径是通过网页的页面缓存，通过缓存的文件，病毒与***会将自身进行复制、转移等操作，由此，对浏览器缓存文件进行限制，并且限制 IE 对系统敏感位置进行操作就成为保障浏览器安全环节中的重要一环。我们这里使用的方法就是禁止 IE 在系统敏感位置创建文件。

创建如下规则：

%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户

%UserProfile%\Local Settings\Temporary Internet Files\*.* 不允许的

%UserProfile%\Local Settings\Temporary Internet Files\* 不允许的

%UserProfile%\Local Settings\Temporary Internet Files\ 不允许的

%UserProfile%\Local Settings\Temporary Internet Files 不允许的

非 IE 浏览器情况下，请将浏览器设置为基本用户权限，也能很好的达到一定的安全防范效果。

免疫流氓软件与恶意插件

可以利用软件限制策略进一步对上网安全进行优化，例如，为了免疫流氓软件与恶意插件，我们可以配置如下限制规则：

3721.*    不允许的
CNNIC.*    不允许的
*Bar.*    不允许的

禁止从回收站和备份文件夹执行文件

?:\Recycler\**\*.* 不允许的
?:\System Volume Information\**\*.* 不允许的

防范移动存储设备携毒

将系统中可分配给移动设备的盘符通通进行限制，例如 G:、H:、I:、J: 等。

使用规则：

?:\*.*

?:\autorun.inf 不允许的

注：使用时请将问号替换为相应的移动设备盘符

根据需要，限制为：受限、不允许、不信任即可。

其中，不允许的安全度更高一些，并且不会对移动存储设备的正常操作有什么影响。

根据需要准确限制目录位置

例如我们需要限制 C: 盘下的程序文件夹下的程序运行，可能会创建如下规则：

C:\Program Files\*.* 不允许

在这条规则中，使用通配符来进行匹配，表面看来，这样的规则是没有任何问题的，但在某些特殊情况下，使用通配符则可能由于其不确定性引起误伤。

需要注意的是，通配符不仅可以匹配到文件，也可以匹配到文件夹。

例如，如果在此目录下，不少用户都存在这 ****.NET 或 MSXML *.* 这样的目录，如此的文件夹名称，同样可以和前文中编辑的规则相匹配，因此，在编辑软件限制策略时，同样要根据需要准确的限制目录位置。

例如前文中的示例，只要将其修改为如下形式，就能很好的避免误伤的情况发生。

C:\Program Files 不允许的

C:\Program Files\*\ 不受限的

PS：至此，本系列就完结了，其中参考了部分网络及期刊对于软件限制策略应用实例的文章，通通感谢の。欢迎各位继续关注本博客其他文章！谢谢！

转载于:https://blog.51cto.com/149banzhang/726356