组策略软件限制策略----以阻止病毒入侵.doc

一、软件限制策略的作用 首先说一下HIPS的3D AD——程序保护? ? 保护应用程序不被恶意修改、删除、注入 FD——文件保护? ? 保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件 RD——注册表保护? ? 保护注册表关键位置不被恶意修改、读取、删除 XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现 因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。 二、软件限制策略的优劣势 1、优势 优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是HIPS可以比拟的 2、劣势 劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行 三、软件限制策略 规则编写实例 我直接以一些最常见的例子来说明 1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级 关于这一点，大家可以看“2楼”2、如何阻止恶意程序运行 首先要注意，恶意程序一般会藏身在什么地方 ？:\??分区根目录 C:\WINDOWS? ? （后面讲解一律以系统在C盘为例） C:\WINDOWS\system32 C:\Documents and Settings\Administrator C:\Documents and Settings\Administrator\Application Data C:\Documents and Settings\All Users C:\Documents and Settings\All Users\Application Data C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 C:\Documents and Settings\All Users\「开始」菜单\程序\启动 C:\Program Files C:\Program Files\Common Files 注意： C:\Documents and Settings\Administrator C:\Documents and Settings\Administrator\Application Data C:\Documents and Settings\All Users C:\Documents and Settings\All Users\Application Data C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 C:\Documents and Settings\All Users\「开始」菜单\程序\启动 C:\Program Files C:\Program Files\Common Files 这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了 %ALLAPPDATA%\*.*? ? 不允许的 %ALLUSERSPROFILE%\*.*? ? 不允许的 %ALLUSERPROFILE%\「开始」菜单\程序\启动\*.*? ? 不允许的 %APPDATA%\*.*? ? 不允许的 %USERSPROFILE%\*.* %USERPROFILE%\「开始」菜单\程序\启动\*.*? ? 不允许的 %ProgramFiles%\*.*? ? 不允许的 %CommonProgramFiles%\*.*? ? 不允许的 那么对于 C:\WINDOWS? ?? ?C:\WINDOWS\system32? ? 这两个路径的规则怎么写呢？ C:\WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行 则其规则可以这样写： %SYSTEMROOT%\*.*? ? 不允许的? ? （首先禁止C:\WINDOWS下运行可执行文件） C:\WINDOWS\explorer.exe? ? 不受限的??C:\WINDOWS\notepad.exe? ? 不受限的??C:\WINDOWS\amcap.exe? ?? ?不受限的 C:\WINDOWS\RTHDCPL.EXE? ? 不受限的 （然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:\WINDOWS下，除了explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行） 对于C:\