組策略管理——軟件限制策略（4）

編寫軟件限制規則

在前面幾篇文章中講了軟件限制規則的基本概念，現在就來學習如何編寫自定義軟件限制策略。

編寫規則應遵循的原則

首先，需要大家注意的是，軟件限制策略應本着方便、安全、實用的原則來編寫。限制規則靈活方便，自定義的限制規則不能對自己的日常管理、維護等有過多的限制，並要留有充分的調整空間和變動餘地，這樣，即使出現問題也好進行解決；在安全性方面，需要綜合考慮到用戶系統面臨的危險來源是哪些，不僅要有普遍的防護措施，還要針對其所處環境特點做好防護；最後關於實用方面，需要在策略規則編寫時注意規則的嚴謹性和可操作性，例如，基於文件名辨別病毒就屬於不嚴謹的，不需要製作大而全的規則“庫”，需要的僅僅是幾條實用、易用的規則。

編寫方法

首先，啓動“組策略編輯器”(gpedit.msc)，將樹目錄定位至

 計算機配置 -> Windows 配置 -> 安全設置 -> 軟件限制策略

如果之前沒有對“軟件限制策略”進行過配置，那麼，請右擊樹目錄中的“軟件限制策略”，點擊“創建軟件限制策略”：

創建之後，軟件限制策略可展開，此目錄下有兩個子目錄，分別是：安全級別與其他規則。

接下來，請在“其他規則”上右擊點選“新建路徑規則”，創建我們自定義的路徑規則條目。如果你不清楚各種規則條目分類區別，請查閱組策略管理——軟件限制策略（2）。

新建路徑規則：

 

可以看到，在路徑規則編輯窗口中有兩個設置按鈕，分別用來設置路徑地址與安全級別，在安全級別下，有 5 個待選級別，分別是：不允許、不信任、受限、基本用戶 與 不受限。

 

如果你不清楚不同安全級別之間的區別與限制程度，請查閱組策略管理——軟件限制策略（1）。

可見，編輯規則條目非常簡單，例如，限制用戶使用 Windows Media Player：

在路徑中選擇 Windows Media Player 主程序執行文件：

（64位 Win7）%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe

（32位 Win7）%ProgramFiles%\Windows Media Player\wmplayer.exe

安全級別設置爲 不允許，添加描述“Windows Media Player”：

創建完成：

此時，我們嘗試啓動 Windows Media Player，檢查是否該條目成功生效：

這裏還需要注意的一點是手工創建的規則在新添加或者進行修改後所需的生效時間可能根據不同的系統情況有所不同，大多數情況下都會在 1、2 分鐘內生效，如果自定義規則長時間沒有生效，可以通過註銷並重新登陸或者使用命令 gpupdate /force 來強制刷新規則文件。

系統默認規則

你可能還會注意到，在“其他規則”中，默認存在兩條或者更多的規則條目，這些條目都指向了系統中不同的位置，我們在創建自定義規則時，不僅不要對其進行修改，同時還要考慮到他們的存在，認識到他們對系統安全的影響。

* 不同的系統環境可能存在不同的條目

系統默認處於“不受限”安全級別下的路徑規則：

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe

系統默認規則的影響：

• %SystemRoot% 不受限                   整個 Windows 目錄不受限
• %SystemRoot%\*.exe 不受限             Windows 下的 *.exe 文件不受限
• %SystemRoot%\System32\*.exe 不受限   System32 下的 *.exe 文件不受限
• %ProgramFiles%    不受限             整個 ProgramFiles 目錄不受限

常見環境變量

此處假設系統盤爲 C:\
%USERPROFILE%  表示 C:\Documents and Settings\當前用戶名
%HOMEPATH%    表示 C:\Documents and Settings\當前用戶名
%ALLUSERSPROFILE%  表示 C:\Documents and Settings\All Users
%ComSpec%  表示 C:\WINDOWS\System32\cmd.exe
%APPDATA%  表示 C:\Documents and Settings\當前用戶名\Application Data
%ALLAPPDATA%  表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%   表示 C:
%SYSTEMROOT%  表示 C:\WINDOWS
%WINDIR%      表示 C:\WINDOWS
%TEMP% 和 %TMP%  表示 C:\Documents and Settings\當前用戶名\Local Settings\Temp
%ProgramFiles%  表示 C:\Program Files
%CommonProgramFiles%  表示 C:\Program Files\Common Files