组策略管理——软件限制策略(5)
组策略管理——软件限制策略(5)
在本系列上篇文章 组策略管理——软件限制策略(4)中简述了编写软件限制策略的基本方法,在本文中,将继续说明编写软件限制策略的其他问题。
保护 system32 下的系统关键进程
确保系统安全的第一步,就是保证自身不受威胁仿冒,为了保护系统关键进程,进行如下策略配置:
C:\WINDOWS\system32\csrss.exe 不受限的 C:\WINDOWS\system32\ctfmon.exe 不受限的 C:\WINDOWS\system32\lsass.exe 不受限的 C:\WINDOWS\system32\rundll32.exe 不受限的 C:\WINDOWS\system32\services.exe 不受限的 C:\WINDOWS\system32\smss.exe 不受限的 C:\WINDOWS\system32\spoolsv.exe 不受限的 C:\WINDOWS\system32\svchost.exe 不受限的 C:\WINDOWS\system32\winlogon.exe 不受限的 |
进而再屏蔽掉其他路径下仿冒进程
csrss.* 不允许的 (.* 表示任意后缀名,这样就涵盖了 bat com 等等可执行的后缀) ctfm?n.* 不允许的 lass.* 不允许的 lssas.* 不允许的 rund*.* 不允许的 services.* 不允许的 smss.* 不允许的 sp???sv.* 不允许的 s??h?st.* 不允许的 s?vch?st.* 不允许的 win??g?n.* 不允许的 |
防止伪装进程
一些病毒和恶意软件通常喜欢伪装为我们常见的进程来迷惑用户,例如 Windows 常见进程 svchost.exe 就是常见的已被伪装进程。
以 svchost.exe 为例,防止伪装进程可将限制策略编辑为:
svchost.exe 不允许的 c:\windows\system32\svchost.exe 不受限的 |
防止恶意使用 CMD
在系统环境变量中,默认的 CMD 调用路径为 %Comspec%,因此只需在软件限制策略中编辑条目将 %Comspec% 设置为需要的限制等级即可。
此时,虽然防止了 CMD 的恶意使用,但并不能对批处理命令进行限制,因为在系统的运行层面上,对于 CMD 和批处理命令有着不同的执行方式,如需限制批处理命令,还需要结合文件扩展名进行限制。
浏览器安全
浏览网页中毒的主要途径是通过网页的页面缓存,通过缓存的文件,病毒与***会将自身进行复制、转移等操作,由此,对浏览器缓存文件进行限制,并且限 制 IE 对系统敏感位置进行操作就成为保障浏览器安全环节中的重要一环。我们这里使用的方法就是禁止 IE 在系统敏感位置创建文件。
创建如下规则:
%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\*.* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 |
非 IE 浏览器情况下,请将浏览器设置为基本用户权限,也能很好的达到一定的安全防范效果。
免疫流氓软件与恶意插件
可以利用软件限制策略进一步对上网安全进行优化,例如,为了免疫流氓软件与恶意插件,我们可以配置如下限制规则:
3721.* 不允许的 CNNIC.* 不允许的 *Bar.* 不允许的 |
禁止从回收站和备份文件夹执行文件
?:\Recycler\**\*.* 不允许的 ?:\System Volume Information\**\*.* 不允许的 |
防范移动存储设备携毒
将系统中可分配给移动设备的盘符通通进行限制,例如 G:、H:、I:、J: 等。
使用规则:
?:\*.* ?:\autorun.inf 不允许的 注:使用时请将问号替换为相应的移动设备盘符 |
根据需要,限制为:受限、不允许、不信任 即可。
其中,不允许 的安全度更高一些,并且不会对移动存储设备的正常操作有什么影响。
根据需要准确限制目录位置
例如我们需要限制 C: 盘下的程序文件夹下的程序运行,可能会创建如下规则:
C:\Program Files\*.* 不允许
在这条规则中,使用通配符来进行匹配,表面看来,这样的规则是没有任何问题的,但在某些特殊情况下,使用通配符则可能由于其不确定性引起误伤。
需要注意的是,通配符不仅可以匹配到文件,也可以匹配到文件夹。
例如,如果在此目录下,不少用户都存在这 ****.NET 或 MSXML *.* 这样的目录,如此的文件夹名称,同样可以和前文中编辑的规则相匹配,因此,在编辑软件限制策略时,同样要根据需要准确的限制目录位置。
例如前文中的示例,只要将其修改为如下形式,就能很好的避免误伤的情况发生。
C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 |
PS:至此,本系列就完结了,其中参考了部分网络及期刊对于软件限制策略应用实例的文章,通通感谢の。欢迎各位继续关注本博客其他文章!谢谢!
转载于:https://blog.51cto.com/149banzhang/726356
组策略管理——软件限制策略(5)相关推荐
- 组策略管理——软件限制策略(4)
编写软件限制规则 在前面几篇文章中讲了软件限制规则的基本概念,现在就来学习如何编写自定义软件限制策略. 编写规则应遵循的原则 首先,需要大家注意的是,软件限制策略应本着方便.安全.实用的原则来编写.限 ...
- 计算机管理单元受到策略限制怎么解决,系统之家win7系统组策略管理单元受到策略限制的解决方法...
系统之家win7系统组策略管理单元受到策略限制的解决方法? 我们在操作系统之家win7系统电脑的时候,常常会遇到系统之家win7系统组策略管理单元受到策略限制的问题.那么出现系统之家win7系统组策略 ...
- 利用策略组限制特定软件的运行
利用策略组限制特定软件的运行 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 http://xfrog.blogbus.com/logs/6701132.html 运行GPEDIT. ...
- 组策略 从入门到精通(十)通过组策略进行软件分发和卸载
其实在前面windows server 2008的一些博文中,已经介绍了如何通过组策略进行软件的分发,在windows server 2003中有些无法完成的软件分发工作在windows server ...
- 组策略分发软件全攻略
组策略分发软件全攻略 在规模比较大的网络环境里面,为了对服务器和客户机上的软件.系统补丁进行集中统一的管理,我们可能会用到SUS.WSUS.SMS等.SUS.WSUS管理系统更新,不在本文讨论,请参考 ...
- 网络管理员&MCSE2003之12:第7章 使用组策略管理用户环境(下)
一. 我的文档重定向及GPO冲突处理:"财务部"及子单位"资产管理"的我的文档重定向B位置,域中其他所有用户的我的文档重定向A位置 1. 本例实现的GPO链接示 ...
- 组策略部署软件----将部署的软件分类
示例:将部署的软件分类 如果部署的软件较多,用户在查找时就比较困难,我们可以将部署的软件分类,这样用户就可以通过类别查找部署的软件.比如将部署的网际快车和迅雷归到"下载工具"类,将 ...
- 组策略系列之四:《精典放送:组策略管理20点》
我们都知道,组策略能给我们对域内计算机和用户管理带来不可估量的好处,通过前面三次课,我们基本上对组策略有了大致的认识,在这里我总结了组策略的20条使用规则,相信各位应用组策略之后,读过一定会给你带来不 ...
- xp 本地计算机策略组,本地组策略-win10没有本地安全策略组怎么打开软件
http://jingyan..com/article/.html 怎么打开本地安全策略 开始菜单上,点击鼠标右键,界面中这里选择打开电脑的控制面板. 控制面板中在大图标查看方式下,找到这里的管理工具 ...
最新文章
- 【刷算法】判断链表是否有环以及返回入环节点
- centos 6.3安装mysql_centos6.3安装MySQL 5.6(转)
- 用Javascript隐藏超级链接的真实地址
- Three.js的绘制流程(三)----地形
- vue-cli 脚手架移除、安装(最新版安装)、检测安装结果 - npm篇
- 社区成员提议YFI修改默认2%管理费为动态费用
- AI能为智能手机带来哪些惊喜?Gartner列了这十大应用
- asp.net 导出word文档
- c语言:编辑一个有趣的死循环程序并对其修改,仅仅是一个“=”号的差别
- prism.js让页面代码变漂亮
- 阿里巴巴矢量图标库 iconfont 的使用方法
- javascript代码混淆的原理
- 使用VMware10虚拟机安装Linux系统(能力工场)
- 服务器系统开启telnet,Telnet怎么打开 Win7/Win8系统开启Telnet服务方法图解
- Chrome谷歌浏览器连接路由器不上
- mysql 实现over函数_mysql 中如何实现over 方法(开窗函数)
- 疯狂管道鸟--纯JS小游戏
- 基于Java的Minecraft游戏后端自定义插件 01客户端服务端
- 千万别删VS之ProgramData目录(血泪教训)
- Flip Game(枚举)