组策略之软件限制策略—完全培训教材.doc

组策略工具是系统自带的一款强大管理软件，却往往被人所忽视，我现在介绍一下它其他用户用你装的QQ，游戏啊之类的，的一个小小的功能，让它来帮我们禁止指定程序的运行。 比如你不想让设置得当，还可以防止病毒呢。 点击“开始”→“运行” 输入gpedit.msc 后回车，就打开了“组策略” 点选左边的“windows设置”→“安全设置”→“软件限制策略”→“其他规则” 然后在右边的窗口中右击，选择“新路径规则” [attachment=30628] [attachment=30629] 把要限制的软件的地址添加进来即可。 知道了原理,破解网吧的限制你也就会了吧?在网吧的电脑上, 只要打开组策略,把里面的限制路径晴空就可以无所限制,任你访问了. 禁用指定的文件类型 2009-08-04 信息来源：瑞安免费信息网 视力保护色： 【大 中 小】【打印本页】【关闭窗口】 在日常工作中，系统中的很多文件都可能给系统带来威胁，比如SHS、MSI、BAT、CMD、COM、EXE等程序文件类型。其实我们完全可以利用系统的组策略功能，来禁用这些危险的文件类型。 　　这样操作不但可以保证系统的安全，而且不会影响系统的正常运行。这里假设我们要禁用批处理格式BAT文件，不让系统运行BAT格式的文件，具体的策略组设置方法如下： 　　第一步：首先点击开始菜单中的“运行”命令，输入“gpedit.msc”打开组策略。接着点击“计算机配置→Windows设置→安全设置→软件限制策略”，然后在弹出的右键菜单上选择“创建软件限制策略”，即可生成“安全级别”、“其他规则”、“强制”、“指派的文件类型”、“受信任的出版商”等选项。 　　第二步：双击“指派的文件类型”选项，在弹出的“指派的文件类型属性”窗口，将“指定的文件类型”列表中将其他的文件全部删除，只留下BAT文件类型。如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 　　第三步：双击“安全级别”中的“不允许的”选项，在弹出的“不允许的属性”窗口中，点击“设为默认值”按钮。然后注销系统或者重新启动系统，此策略即可生效。以后再运行BAT文件时，系统就会出现提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。 　　为了避免“软件限制策略”将系统管理员也限制，我们可以双击“强制”选项，在弹出的窗口选择“除本地管理员以外的所有用户”。如果用的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其他用户无权运行。 　　第四步：如果用户要取消此软件限制策略的话，双击“安全级别”中的“不受限的”选项，在弹出的“不受限的属性”窗口中，点击“设为默认值”按钮即可。 　　其实用户鼠标右键点击“软件限制策略→其他规则”，就会看到它可以建立新证书规则、新散列规则、新Internet区域规则、新路径规则等策略，利用这些规则我们可以让系统更加安全。 比如利用“新路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的”，以防止电子邮件病毒。 理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大 —— 防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量（假定系统盘为 C盘） %USERPROFILE%??表示 C:\Documents and Settings\当前用户名 %HOMEPATH%? ? 表示 C:\Documents and Settings\当前用