組策略管理——軟件限制策略（5）

在本系列上篇文章 組策略管理——軟件限制策略（4）中簡述了編寫軟件限制策略的基本方法，在本文中，將繼續說明編寫軟件限制策略的其他問題。

---

保護 system32 下的系統關鍵進程

確保系統安全的第一步，就是保證自身不受威脅仿冒，爲了保護系統關鍵進程，進行如下策略配置：

C:\WINDOWS\system32\csrss.exe      不受限的
C:\WINDOWS\system32\ctfmon.exe    不受限的
C:\WINDOWS\system32\lsass.exe      不受限的
C:\WINDOWS\system32\rundll32.exe    不受限的
C:\WINDOWS\system32\services.exe  不受限的
C:\WINDOWS\system32\smss.exe    不受限的
C:\WINDOWS\system32\spoolsv.exe    不受限的
C:\WINDOWS\system32\svchost.exe      不受限的
C:\WINDOWS\system32\winlogon.exe    不受限的

進而再屏蔽掉其他路徑下仿冒進程

csrss.*      不允許的  （.*  表示任意後綴名，這樣就涵蓋了  bat  com  等等可執行的後綴）
ctfm?n.*  不允許的
lass.*      不允許的
lssas.*      不允許的
rund*.*        不允許的
services.*      不允許的
smss.*      不允許的
sp???sv.*      不允許的
s??h?st.*      不允許的
s?vch?st.*    不允許的
win??g?n.*    不允許的

防止僞裝進程

一些病毒和惡意軟件通常喜歡僞裝爲我們常見的進程來迷惑用戶，例如 Windows 常見進程 svchost.exe 就是常見的已被僞裝進程。

以 svchost.exe 爲例，防止僞裝進程可將限制策略編輯爲：

svchost.exe  不允許的

c:\windows\system32\svchost.exe  不受限的

防止惡意使用 CMD

在系統環境變量中，默認的 CMD 調用路徑爲 %Comspec%，因此只需在軟件限制策略中編輯條目將 %Comspec% 設置爲需要的限制等級即可。

此時，雖然防止了 CMD 的惡意使用，但並不能對批處理命令進行限制，因爲在系統的運行層面上，對於 CMD  和批處理命令有着不同的執行方式，如需限制批處理命令，還需要結合文件擴展名進行限制。

瀏覽器安全

瀏覽網頁中毒的主要途徑是通過網頁的頁面緩存，通過緩存的文件，病毒與***會將自身進行復制、轉移等操作，由此，對瀏覽器緩存文件進行限制，並且限制 IE 對系統敏感位置進行操作就成爲保障瀏覽器安全環節中的重要一環。我們這裏使用的方法就是禁止 IE 在系統敏感位置創建文件。

創建如下規則：

%ProgramFiles%\Internet Explorer\iexplore.exe    基本用戶

%UserProfile%\Local Settings\Temporary Internet Files\*.*    不允許的

%UserProfile%\Local Settings\Temporary Internet Files\*    不允許的

%UserProfile%\Local Settings\Temporary Internet Files\    不允許的

%UserProfile%\Local Settings\Temporary Internet Files    不允許的

非 IE 瀏覽器情況下，請將瀏覽器設置爲基本用戶權限，也能很好的達到一定的安全防範效果。  

免疫流氓軟件與惡意插件

可以利用軟件限制策略進一步對上網安全進行優化，例如，爲了免疫流氓軟件與惡意插件，我們可以配置如下限制規則：

3721.*    不允許的
CNNIC.*    不允許的
*Bar.*    不允許的

禁止從回收站和備份文件夾執行文件

?:\Recycler\**\*.*    不允許的
?:\System Volume Information\**\*.*    不允許的

防範移動存儲設備攜毒

將系統中可分配給移動設備的盤符通通進行限制，例如 G:、H:、I:、J: 等。

使用規則：

 ?:\*.*

?:\autorun.inf      不允許的

注：使用時請將問號替換爲相應的移動設備盤符

根據需要，限制爲：受限、不允許、不信任 即可。

其中，不允許 的安全度更高一些，並且不會對移動存儲設備的正常操作有什麼影響。

根據需要準確限制目錄位置

例如我們需要限制 C: 盤下的程序文件夾下的程序運行，可能會創建如下規則：

C:\Program Files\*.*  不允許

在這條規則中，使用通配符來進行匹配，表面看來，這樣的規則是沒有任何問題的，但在某些特殊情況下，使用通配符則可能由於其不確定性引起誤傷。

需要注意的是，通配符不僅可以匹配到文件，也可以匹配到文件夾。

例如，如果在此目錄下，不少用戶都存在這 ****.NET 或 MSXML *.* 這樣的目錄，如此的文件夾名稱，同樣可以和前文中編輯的規則相匹配，因此，在編輯軟件限制策略時，同樣要根據需要準確的限制目錄位置。

例如前文中的示例，只要將其修改爲如下形式，就能很好的避免誤傷的情況發生。

C:\Program Files     不允許的

C:\Program Files\*\  不受限的

 

---

PS：至此，本系列就完結了，其中參考了部分網絡及期刊對於軟件限制策略應用實例的文章，通通感謝の。歡迎各位繼續關注本博客其他文章！謝謝！