组策略管理——软件限制策略(4)
編寫軟件限制規(guī)則
在前面幾篇文章中講了軟件限制規(guī)則的基本概念,現(xiàn)在就來學習如何編寫自定義軟件限制策略。
編寫規(guī)則應遵循的原則
首先,需要大家注意的是,軟件限制策略應本著方便、安全、實用的原則來編寫。限制規(guī)則靈活方便,自定義的限制規(guī) 則不能對自己的日常管理、維護等有過多的限制,并要留有充分的調(diào)整空間和變動余地,這樣,即使出現(xiàn)問題也好進行解決;在安全性方面,需要綜合考慮到用戶系 統(tǒng)面臨的危險來源是哪些,不僅要有普遍的防護措施,還要針對其所處環(huán)境特點做好防護;最后關于實用方面,需要在策略規(guī)則編寫時注意規(guī)則的嚴謹性和可操作 性,例如,基于文件名辨別病毒就屬于不嚴謹?shù)?#xff0c;不需要制作大而全的規(guī)則“庫”,需要的僅僅是幾條實用、易用的規(guī)則。
編寫方法
首先,啟動“組策略編輯器”(gpedit.msc),將樹目錄定位至
?
| ?計算機配置 -> Windows 配置 -> 安全設置 -> 軟件限制策略 |
如果之前沒有對“軟件限制策略”進行過配置,那么,請右擊樹目錄中的“軟件限制策略”,點擊“創(chuàng)建軟件限制策略”:
創(chuàng)建之后,軟件限制策略可展開,此目錄下有兩個子目錄,分別是:安全級別與其他規(guī)則。
接下來,請在“其他規(guī)則”上右擊點選“新建路徑規(guī)則”,創(chuàng)建我們自定義的路徑規(guī)則條目。如果你不清楚各種規(guī)則條目分類區(qū)別,請查閱組策略管理——軟件限制策略(2)。
新建路徑規(guī)則:
?
可以看到,在路徑規(guī)則編輯窗口中有兩個設置按鈕,分別用來設置路徑地址與安全級別,在安全級別下,有 5 個待選級別,分別是:不允許、不信任、受限、基本用戶 與 不受限。
?
如果你不清楚不同安全級別之間的區(qū)別與限制程度,請查閱組策略管理——軟件限制策略(1)。
可見,編輯規(guī)則條目非常簡單,例如,限制用戶使用 Windows Media Player:
在路徑中選擇 Windows Media Player 主程序執(zhí)行文件:
?
| (64位 Win7)%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe (32位 Win7)%ProgramFiles%\Windows Media Player\wmplayer.exe |
安全級別設置為?不允許,添加描述“Windows Media Player”:
創(chuàng)建完成:
此時,我們嘗試啟動 Windows Media Player,檢查是否該條目成功生效:
這里還需要注意的一點是手工創(chuàng)建的規(guī)則在新添加或者進行修改后所需的生效時間可能根據(jù)不同的系統(tǒng)情況有所不同,大多數(shù)情況下都會在 1、2 分鐘內(nèi)生效,如果自定義規(guī)則長時間沒有生效,可以通過注銷并重新登陸或者使用命令?gpupdate /force?來強制刷新規(guī)則文件。
系統(tǒng)默認規(guī)則
你可能還會注意到,在“其他規(guī)則”中,默認存在兩條或者更多的規(guī)則條目,這些條目都指向了系統(tǒng)中不同的位置,我們在創(chuàng)建自定義規(guī)則時,不僅不要對其進行修改,同時還要考慮到他們的存在,認識到他們對系統(tǒng)安全的影響。
* 不同的系統(tǒng)環(huán)境可能存在不同的條目
系統(tǒng)默認處于“不受限”安全級別下的路徑規(guī)則:
?
| %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe |
系統(tǒng)默認規(guī)則的影響:
- %SystemRoot% 不受限?????????????????? 整個 Windows 目錄不受限
- %SystemRoot%\*.exe 不受限???????????? Windows 下的 *.exe 文件不受限
- %SystemRoot%\System32\*.exe 不受限?? System32 下的 *.exe 文件不受限
- %ProgramFiles%??? 不受限???????????? 整個 ProgramFiles 目錄不受限
常見環(huán)境變量
此處假設系統(tǒng)盤為 C:\
%USERPROFILE%? 表示 C:\Documents and Settings\當前用戶名?
%HOMEPATH%??? 表示 C:\Documents and Settings\當前用戶名
%ALLUSERSPROFILE%? 表示 C:\Documents and Settings\All Users
%ComSpec%? 表示 C:\WINDOWS\System32\cmd.exe?
%APPDATA%? 表示 C:\Documents and Settings\當前用戶名\Application Data?
%ALLAPPDATA%? 表示 C:\Documents and Settings\All Users\Application Data?
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%?? 表示 C:
%SYSTEMROOT%? 表示 C:\WINDOWS?
%WINDIR%????? 表示 C:\WINDOWS?
%TEMP% 和 %TMP%? 表示 C:\Documents and Settings\當前用戶名\Local Settings\Temp?
%ProgramFiles%? 表示 C:\Program Files?
%CommonProgramFiles%? 表示 C:\Program Files\Common Files
本文轉自 149banzhang 51CTO博客,原文鏈接:http://blog.51cto.com/149banzhang/726353,如需轉載請自行聯(lián)系原作者
總結
以上是生活随笔為你收集整理的组策略管理——软件限制策略(4)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: maven工程错误汇总
- 下一篇: 提高测试覆盖率