编写软件限制规则
在前面几篇文章中讲了软件限制规则的基本概念,现在就来学习如何编写自定义软件限制策略。
编写规则应遵循的原则
首先,需要大家注意的是,软件限制策略应本着方便、安全、实用的原则来编写。限制规则灵活方便,自定义的限制规则不能对自己的日常管理、维护等有过多的限制,并要留有充分的调整空间和变动余地,这样,即使出现问题也好进行解决;在安全性方面,需要综合考虑到用户系统面临的危险来源是哪些,不仅要有普遍的防护措施,还要针对其所处环境特点做好防护;最后关于实用方面,需要在策略规则编写时注意规则的严谨性和可操作性,例如,基于文件名辨别病毒就属于不严谨的,不需要制作大而全的规则“库”,需要的仅仅是几条实用、易用的规则。
编写方法
首先,启动“组策略编辑器”(gpedit.msc),将树目录定位至
| 计算机配置 -> Windows 配置 -> 安全设置 -> 软件限制策略 |
如果之前没有对“软件限制策略”进行过配置,那么,请右击树目录中的“软件限制策略”,点击“创建软件限制策略”:
创建之后,软件限制策略可展开,此目录下有两个子目录,分别是:安全级别与其他规则。
接下来,请在“其他规则”上右击点选“新建路径规则”,创建我们自定义的路径规则条目。如果你不清楚各种规则条目分类区别,请查阅组策略管理——软件限制策略(2)。
新建路径规则:
可以看到,在路径规则编辑窗口中有两个设置按钮,分别用来设置路径地址与安全级别,在安全级别下,有 5 个待选级别,分别是:不允许、不信任、受限、基本用户 与 不受限。
如果你不清楚不同安全级别之间的区别与限制程度,请查阅组策略管理——软件限制策略(1)。
可见,编辑规则条目非常简单,例如,限制用户使用 Windows Media Player:
在路径中选择 Windows Media Player 主程序执行文件:
| (64位 Win7)%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe (32位 Win7)%ProgramFiles%\Windows Media Player\wmplayer.exe |
安全级别设置为 不允许,添加描述“Windows Media Player”:
创建完成:
此时,我们尝试启动 Windows Media Player,检查是否该条目成功生效:
这里还需要注意的一点是手工创建的规则在新添加或者进行修改后所需的生效时间可能根据不同的系统情况有所不同,大多数情况下都会在 1、2 分钟内生效,如果自定义规则长时间没有生效,可以通过注销并重新登陆或者使用命令 gpupdate /force 来强制刷新规则文件。
系统默认规则
你可能还会注意到,在“其他规则”中,默认存在两条或者更多的规则条目,这些条目都指向了系统中不同的位置,我们在创建自定义规则时,不仅不要对其进行修改,同时还要考虑到他们的存在,认识到他们对系统安全的影响。
* 不同的系统环境可能存在不同的条目
系统默认处于“不受限”安全级别下的路径规则:
| %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe |
系统默认规则的影响:
- %SystemRoot% 不受限 整个 Windows 目录不受限
- %SystemRoot%\*.exe 不受限 Windows 下的 *.exe 文件不受限
- %SystemRoot%\System32\*.exe 不受限 System32 下的 *.exe 文件不受限
- %ProgramFiles% 不受限 整个 ProgramFiles 目录不受限
常见环境变量
此处假设系统盘为 C:\
%USERPROFILE% 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%ComSpec% 表示 C:\WINDOWS\System32\cmd.exe
%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示 C:
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files
本文转自melvillo 51CTO博客,原文链接:http://blog.51cto.com/marui/347361,如需转载请自行联系原作者
