没有合适的资源?快使用搜索试试~ 我知道了~
组策略之软件限制策略完全教程与规则示例.docx
0 下载量 160 浏览量
2022-11-21
16:12:56
上传
评论
收藏 808KB DOCX 举报
温馨提示
![preview](https://dl-preview.csdnimg.cn/87107430/0001-4d441fe6536617203fcd3b29c70147cb_thumbnail-wide.jpeg)
![preview-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/scale.ab9e0183.png)
试读
30页
组策略之软件限制策略完全教程与规则示例.docx
资源推荐
资源详情
资源评论
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![](https://csdnimg.cn/release/download_crawler_static/87107430/bg1.jpg)
组策略之软件限制策略完全教程与规则示例
导读
实践上,本教程主要为以下内容:
实际局部:
1.软件限制战略的途径规那么的优先级效果
2.在途径规那么中如何运用通配符
3.规那么的权限承袭效果
4.软件限制战略如何完成 3D 部署〔难点是 NTFS 权限〕,软件限制战略的精髓在于权限,如
何部署战略也就是如何设置权限
规那么局部:
5.如何用软件限制战略防毒〔也就是如何写规那么〕
6.规那么的例如与下载
其中,1、2、3 点是基础,很多人写出有效或许错误的规那么出来都是由于对这些内容没有
搞清楚;第 4 点能够有
点难,但假设想让战略有更好的防护效果并且不影响往常正常运用的话,这点很重要。
假设运用规那么后发现有的软件任务不正常,请参考这局部外容,留意调整 NTFS 权限
实际局部
软件限制战略包括证书规那么、散列规那么、Internet 区域规那么和途径规那么。我们主
要用到的是散列规那么和途径规那么,其中灵敏性最好的就是途径规那么了,所以普通我们
![](https://csdnimg.cn/release/download_crawler_static/87107430/bg2.jpg)
谈到的战略规那么,假定没有特别说明,那么直接指途径规那么。
一.环境变量、通配符和优先级
关于环境变量〔假定系统盘为 C 盘〕
%USERPROFILE% 表示 C:\Documents and Settings\以后用户名
%HOMEPATH% 表示 C:\Documents and Settings\以后用户名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%ComSpec% 表示 C:\WINDOWS\System32\cmd.exe
%APPDATA% 表示 C:\Documents and Settings\以后用户名\Application Data
%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示 C:
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\以后用户名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files
![](https://csdnimg.cn/release/download_crawler_static/87107430/bg3.jpg)
关于通配符:
Windows 外面默许
* :恣意个字符〔包括 0 个〕,但不包括斜杠
? :1 个或 0 个字符
几个例子
*\Windows 婚配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的一切子文件夹。
C:\win* 婚配 C:\winnt、C:\windows、C:\windir 以及每个目录下的一切子文件夹。
*.vbs 婚配 Windows XP Professional 中具有此扩展名的任何运用顺序。
C:\Application Files\*.* 婚配特定目录〔Application Files〕中的运用顺序文件,但不
包括 Application Files 的子目录
关于优先级:
1.相对途径 > 通配符相对途径
如 C:\Windows\explorer.exe > *\Windows\explorer.exe
2.文件型规那么 > 目录型规那么
如假定 a.exe 在 Windows 目录中,那么 a.exe > C:\Windows
3.环境变量 = 相应的实践途径 = 注册表键值途径
如 %ProgramFiles% = C:\Program Files =
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
4.散列规那么比任何途径规那么优先级都高
总的来说,就是规那么越婚配越优先
注:
1. 通 配 符 * 并 不 包 括 斜 杠 \ 。 例 如 *\WINDOWS 婚 配 C:\Windows , 但 不 婚 配
C:\Sandbox\WINDOWS
2. * 和 ** 是完全等效的,例如 **\**\abc = *\*\abc
![](https://csdnimg.cn/release/download_crawler_static/87107430/bg4.jpg)
3. C:\abc\* 可以直接写为 C:\abc\ 或许 C:\abc,最后的* 是可以省去的,由于软件限
制战略的规那么可以直接婚配到目录。
4. 软件限制战略只对〝指派的文件类型〞列表中的格式起效。例如 *.txt 不允许的,这样
的规那么实践上有效,除非你把 TXT 格式也参与〝指派的文件类型〞列表中。
5. * 和 *.* 是有区别的,后者要求文件名或途径必需含有〝.〞,而前者没有此限制,因此,
*.* 的优先级比 * 的高
6. ?:\* 与 ?:\*.* 是一模一样的,前者是指一切分区下的每个目录下的一切子文件夹,复
杂说,就是整个硬盘;而 ?:\*.* 仅包括一切分区下的带〝.〞的文件或目录,普通状况
下,指的就是各盘根目录下的文件。那非普通状况是什么呢?请参考第 7 点
7. ?:\*.* 中的〝.〞 能够使规那么范围不限于根目录。这里需求留意的是:有〝.〞的不一
定是文件,可以是文件夹。例如 F:\ab.c,一样契合 ?:\*.*,所以规那么对 F:\ab.c 下的一
切文件及子目录都失效。
![](https://csdnimg.cn/release/download_crawler_static/87107430/bg5.jpg)
8.这是很多人写规那么时的误区。首先援用«组战略软件限制战略规那么包编写之菜鸟入门
〔修正版〕»里的一段:
援用:
4、如何维护上网的平安
在阅读不平安的网页时,病毒会首先下载到 IE 缓存以及系统暂时文件夹中,并自动运转,形成系统染毒,
在了解了这个感染途径之后,我们可以应用软件限制战略停止封堵
%SYSTEMROOT%\tasks\**\*.* 不允许的 〔这个是方案义务,病毒藏身地之一〕
%SYSTEMROOT%\Temp\**\*.* 不允许的
%USERPROFILE%\Cookies\*.* 不允许的
%USERPROFILE%\Local Settings\**\*.* 不允许的 〔这个是 IE 缓存、历史记载、暂时文件所在位
置〕
说假话,下面援用的局部不少中央都是错误的
先不谈这样的规那么能否维护上网平安,实践上这几条规那么在设置时就犯了一些错误
例如:%USERPROFILE%\Local Settings\**\*.* 不允许的
可以看出,规那么的原意是阻止顺序从 Local Settings〔包括一切子目录〕中启动
如今大家无妨想想这规那么的实践作用是什么?
先参考注 1 和注 2,** 和* 是同等的,而且不包括字符〝\〞。所以,这里规那么的实践效
果是 〝制止顺序从 Local Settings 文件夹的一级子目录中启动〞,不包括 Local Settings
根目录,也不包括二级和以下的子目录。
如今我们再来看看 Local Settings 的一级子目录有哪些:Temp、Temporary Internet
Files、Application Data、History。
阻止顺序从 Temp 根目录启动,直接的结果就是很多软件不能成功装置
那么,阻止顺序从 Temporary Internet Files 根目录启动又如何呢?
实践上,由于 IE 的缓存并不是寄存 Temporary Internet Files 根目录中,而是存于
Temporary Internet Files 的子目录 Content.IE5 的子目录里〔-_-||〕,所以这种写法基
本不能阻止顺序从 IE 缓存中启动,是没有意义的规那么
假定要阻止顺序从某个文件夹及一切子目录中启动,正确的写法应该是:
某目录\**
某目录\*
某目录\
某目录
剩余29页未读,继续阅读
资源评论
![avatar-default](https://csdnimg.cn/release/downloadcmsfe/public/img/lazyLogo2.1882d7f4.png)
![avatar](https://profile-avatar.csdnimg.cn/default.jpg!1)
zzzzl333
- 粉丝: 708
- 资源: 7万+
上传资源 快速赚钱
我的内容管理 展开
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![voice](https://csdnimg.cn/release/downloadcmsfe/public/img/voice.245cc511.png)
![center-task](https://csdnimg.cn/release/downloadcmsfe/public/img/center-task.c2eda91a.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![dialog-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/green-success.6a4acb44.png)