Windows软件限制策略哈希规则.docVIP

Windows软件限制策略哈希规则 Windows软件限制策略哈希规则 , 你们是如何禁止指定的程序运行的？是不是以下这两种方法呀？ 方法A：组策略（可指定运行或指定禁止运行） 组策略中的禁用程序功能,运行“gpedit.msc”命令打开组策略控制台，在里面展开“用户配置-管理模板-系统”， 右侧,“只运行许可的Windows应用程序”,以及,“不要运行指定的windows程序”,策略可以帮你很多。 用户试图运行未被允许的程序，一律弹出“……限制被取消。请与系统管理员联系。”的对话框。 方法B：镜像劫持 例如运行,QQ,，实际上启动,ctfmon，系统将没有任何提示。 你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。 reg,add,HKLM\SOFTWARE\Microsoft\Windows,NT\CurrentVersion\Image,File,Execution,Options\qq.exe,/v,debugger,/t,reg_sz,/d,C:\WINDOWS\system32\ctfmon.exe,/f 呵呵，如果你的答案是“Yes”，那么恭喜你，你在WIIN战队是高手！ 不过今天发现一个更好的方法。非原创的哟。就是使用散列规则。 A、开始--运行--spcpol.msc 打开“本地安全设置”，选择“软件限制策略”--“创建新的策略”，创建之后单击“其他规则”，右侧区域将显示规则内容（绝对不要更改其中原有规则，不信你自己收拾崩溃的系统） B、在右侧区域右击选择“新路径规则”，打开“新路径规则”对话框。 在“新路径规则”对话框的路径文本框中输入“?：\*.*”，安全级别设置为“不允许”，确定既可。 ,,然后依次将下列目录的安全级别设置为“不允许” ,,1）?:\System,Volume,Information ,,2）C:\Documenrs,and,Settings\*\Local,SettingS\Temporary,Internet,Files ,,3）?:\Recycled ,,4）?:\RECYCLER ,,5）C:\Windows\Downloaded,Program,Files ,,6）C:\Windows\system ,,7）C:\Windows\Tsaks ,,8）C:\Windows\Temp ,,9）C:\Windows\systme32\Com ,,10）C:\Windows\systme32\drivers ,,11）C:\Documenrs,and,Settings\*\Local,SettingS\Temp ,,12）C:\Program,Files\Common,Files C、在右侧区域右击，选择“新散列规则”，单击“浏览”按钮，定位到“C:\Windows\systme32\net.exe”文件，选择打开，将安全级别设置为“不允许的”，并填入描述“net.exe”以便归类区分。 D、如不对系统进行设置和安全软件的绝对系统，可加上“C:\Windows\systme32\,rundll32.exe”,的散列规则，同样设置为“不允许的”。 E、如果真的要彻底全自动，考虑这样的思路进行： 1、用VBS或BAT，读取“禁止列表”，并写入变量，主要是程序全路径。 2、用VBS的sendkeys，模拟键盘操作GPEDIT.MSC添加这些变量。 3、vbs或bat复制本机的Registry.pol，并远程登陆覆盖目标机器的文件。, F、先在自己机器上手动配置好要限制的程序和路径（不允许的），或者指定路径下的程序运行（不受限的）。 然后选择“显示系统文件，显示所有文件”。 按目录复制出C:\WINDOWS\system32\GroupPolicy\gpt.ini C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol 最后复制出Registry.pol文件。 这样做比较适合批量Copy。如果其他机器上要配置，就将Registry.pol文件复制过去。如果要解除所有设置，将Registry.pol文件删除即可。 在服务器上配置好策略后，把Registry.pol和gpt.ini文件同步到客户机的相同目录里，再运行,gpupdate,/force,刷新一下组策略就可以了。, ,,,,,老规矩，解释一下。 ,,,,,组策略中的路径规则很多人都有所了解，下面说说散列规则： ,,,所谓的散列规则，简单的说就是提取一个文件的特征信息，如版本、Hash等，然后根据这些信息判断是否是同一个文件。 ,,,由于识别原理的关系，文件散列识别的优点是不论文件名改为什么，只要是同一个文件都能正确识别。但他的优点也是他的缺点，如果用散列规则来实现以上