组策略软件限制策略以阻止病毒入侵

组策略软件限制策略以阻

止病毒入侵

Final revision on November 26, 2020

一、软件限制策略的作用首先说一下H I P S的3 D A D——程序保护保护应用程序不被恶意修改、删除、注入FD——文件保护保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件

R D——注册表保护保护注册表关键位置不被恶意修改、读取、删除XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现因此可以说，X P本身就具备3D功能，只是不被大家所熟悉。

二、软件限制策略的优劣势

1、优势优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是H I P S可以比拟的

2、劣势劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行

三、软件限制策略规则编写实例我直接以一些最常见的例子来说明

1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级关于这一点，大家可以看“2楼”

2、如何阻止恶意程序运行首先要注意，恶意程序一般会藏身在什么地方:\分区根目录C:\W I N D O W S（后面讲解一律以系统在C盘为例）C:\W I N D O W S\s y s t e m3 2 C:\D o c u m e n t s a n d S e t t i n g s\A d m i n i s t r a t o r

C:\D oc um en ts a nd S et ti n g s\A d min i str ator\Ap pli catio n Data C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s\A p p l i c a t i o n D a t a C:\Documents and Settings\Administrator\「开始」菜单\程序\启动C:\D oc um en ts a nd S et ti n gs\All Users\「开始」菜单\程序\启动C:\P r o g r a m F i l e s C:\P r o g r a m F i l e s\C o m m o n F i l e s

注意：C:\D o c u m e n t s a n d S e t t i n g s\A d m i n i s t r a t o r C:\D oc um en ts a nd S et ti n g s\A d min i str ator\Ap pli catio n D ata C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s C:\D o c u m e n t s a n d S e t t i n g s\A l l U s e r s\A p p l i c a t i o n D a t a C:\Documents and Settings\Administrator\「开始」菜单\程序\启动C:\D oc um en ts and Settings\All Users\「开始」菜单\程序\启动C:\P r o g r a m F i l e s C:\P r o g r a m F i l e s\C o m m o n F i l e s 这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了%A L L A P P D A T A%\*.*不允许的%A L L U S E R S P R O F I L E%\*.*不允许的%A L L U S E R P R O F I L E%\「开始」菜单\程序\启动\*.*不允许的%A P P D A T A%\*.*不允许的%U S E R S P R O F I L E%\*.* %U S E R P R O F I L E%\「开始」菜单\程序\启动\*.*不允许的%P r o g r a m F i l e s%\*.*不允许的%C o m m o n P r o g r a m F i l e s%\*.*不允许的

那么对于C:\W I N D O W S C:\W I N D O W S\s y s t e m32这两个路径的规则怎么写呢

C:\WINDOWS下只有、、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行则其规则可以这样写：%SYSTEMROOT%\*.* 不允许的（首先禁止C:\WINDOWS下运行可执行文件）C:\W I N D O W S\不受限的C:\W I N D O W S\不受限的C:\W I N D O W S\不受限的C:\W I N D O W S\不受限的（然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:\WINDOWS下，除了、、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行）

对于C:\WINDOWS\system32就不能像上面那样写规则了，在SYSTEM32下面很多系统必须的可执行文件，如果一个一个排除，那太累了。所以，对system32，我们只要对它的子文件作一些限制，并对系统关键进程进行保护子文件夹的限制%S Y S T E M R O O T%\s y s t e m32\c o n f i g\**\*.*不允许的%S Y S T E M R O O T%\s y s t e m32\d r i v e r s\**\*.*不允许的%S Y S T E M R O O T%\s y s t e m32\s p o o l\**\*.*不允许的当然你可以限制更多的子文件夹

3、如何保护s y s t e m32下的系统关键进程有些进程是系统启动时必须加载的，你不能阻止它的运行，但这些进程又常常被恶意软件仿冒，怎么办其实很简单，这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出现在其他的路径中。那么我们可以这样应对：C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的C:\W I N D O W S\s y s t e m32\不受限的