组策略管理——软件限制策略（5）

在本系列上篇文章 组策略管理——软件限制策略（4）中简述了编写软件限制策略的基本方法，在本文中，将继续说明编写软件限制策略的其他问题。

保护 system32 下的系统关键进程

确保系统安全的第一步，就是保证自身不受威胁仿冒，为了保护系统关键进程，进行如下策略配置：

进而再屏蔽掉其他路径下仿冒进程

防止伪装进程

一些病毒和恶意软件通常喜欢伪装为我们常见的进程来迷惑用户，例如 Windows 常见进程 svchost.exe 就是常见的已被伪装进程。

以 svchost.exe 为例，防止伪装进程可将限制策略编辑为：

防止恶意使用 CMD

在系统环境变量中，默认的 CMD 调用路径为 %Comspec%，因此只需在软件限制策略中编辑条目将 %Comspec% 设置为需要的限制等级即可。

此时，虽然防止了 CMD 的恶意使用，但并不能对批处理命令进行限制，因为在系统的运行层面上，对于 CMD  和批处理命令有着不同的执行方式，如需限制批处理命令，还需要结合文件扩展名进行限制。

浏览器安全

浏览网页中毒的主要途径是通过网页的页面缓存，通过缓存的文件，病毒与木马会将自身进行复制、转移等操作，由此，对浏览器缓存文件进行限制，并且限制 IE 对系统敏感位置进行操作就成为保障浏览器安全环节中的重要一环。我们这里使用的方法就是禁止 IE 在系统敏感位置创建文件。

创建如下规则：

非 IE 浏览器情况下，请将浏览器设置为基本用户权限，也能很好的达到一定的安全防范效果。  

免疫流氓软件与恶意插件

可以利用软件限制策略进一步对上网安全进行优化，例如，为了免疫流氓软件与恶意插件，我们可以配置如下限制规则：

禁止从回收站和备份文件夹执行文件

防范移动存储设备携毒

将系统中可分配给移动设备的盘符通通进行限制，例如 G:、H:、I:、J: 等。

使用规则：

根据需要，限制为：受限、不允许、不信任 即可。

其中，不允许 的安全度更高一些，并且不会对移动存储设备的正常操作有什么影响。

根据需要准确限制目录位置

例如我们需要限制 C: 盘下的程序文件夹下的程序运行，可能会创建如下规则：

C:\Program Files\*.*  不允许

在这条规则中，使用通配符来进行匹配，表面看来，这样的规则是没有任何问题的，但在某些特殊情况下，使用通配符则可能由于其不确定性引起误伤。

需要注意的是，通配符不仅可以匹配到文件，也可以匹配到文件夹。

例如，如果在此目录下，不少用户都存在这 ****.NET 或 MSXML *.* 这样的目录，如此的文件夹名称，同样可以和前文中编辑的规则相匹配，因此，在编辑软件限制策略时，同样要根据需要准确的限制目录位置。

例如前文中的示例，只要将其修改为如下形式，就能很好的避免误伤的情况发生。

PS：至此，本系列就完结了，其中参考了部分网络及期刊对于软件限制策略应用实例的文章，通通感谢の。欢迎各位继续关注本博客其他文章！谢谢！

     本文转自melvillo 51CTO博客，原文链接：http://blog.51cto.com/marui/355091，如需转载请自行联系原作者