組策略之軟件限制詳解 (1)

LivePUB

導(dǎo)讀

注意：如果你沒有耐心或興趣看完所有內(nèi)容而想直接使用規(guī)則的話，請(qǐng)至少認(rèn)真看一次規(guī)則的說明，謝謝

實(shí)際上，本教程主要為以下內(nèi)容：

理論部分：
1.軟件限制策略的路徑規(guī)則的優(yōu)先級(jí)問題
2.在路徑規(guī)則中如何使用通配符
3.規(guī)則的權(quán)限繼承問題
4.軟件限制策略如何實(shí)現(xiàn)3D部署（配合訪問控制，如NTFS權(quán)限），軟件限制策略的精髓在于權(quán)限，部署策略同時(shí)，往往也需要學(xué)會(huì)設(shè)置權(quán)限

規(guī)則部分：
5.如何用軟件限制策略防毒（也就是如何寫規(guī)則）
6.規(guī)則的示例與下載

其中，1、2、3點(diǎn)是基礎(chǔ)，很多人寫出無效或者錯(cuò)誤的規(guī)則出來都是因?yàn)閷?duì)這些內(nèi)容沒有搞清楚；第4點(diǎn)可能有
點(diǎn)難，但如果想讓策略有更好的防護(hù)效果并且不影響平時(shí)正常使用的話，這點(diǎn)很重要。
如果使用規(guī)則后發(fā)現(xiàn)有的軟件工作不正常，請(qǐng)參考這部分內(nèi)容，注意調(diào)整NTFS權(quán)限

理論部分

軟件限制策略包括證書規(guī)則、散列規(guī)則、Internet 區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則，其中靈活性最好的就是路徑規(guī)則了，所以一般我們談到的策略規(guī)則，若沒有特別說明，則直接指路徑規(guī)則。

或者有人問：為什么不用散列規(guī)則？散列規(guī)則可以防病毒替換白名單中的程序，安全性不是更好么？
一是因?yàn)樯⒘幸?guī)則不能通用，二是即使用了也意義不大 —— 防替換應(yīng)該要利用好NTFS權(quán)限，而不是散列規(guī)則，要是真讓病毒替換了系統(tǒng)程序，那么再談規(guī)則已經(jīng)晚了





一.環(huán)境變量、通配符和優(yōu)先級(jí)
關(guān)于環(huán)境變量（假定系統(tǒng)盤為 C盤）
%USERPROFILE%  表示 C:\\Documents and Settings\\當(dāng)前用戶名
%HOMEPATH%    表示 C:\\Documents and Settings\\當(dāng)前用戶名
%ALLUSERSPROFILE%  表示 C:\\Documents and Settings\\All Users
%ComSpec%  表示 C:\\WINDOWS\\System32\\cmd.exe
%APPDATA%  表示 C:\\Documents and Settings\\當(dāng)前用戶名\\Application Data
%ALLAPPDATA%  表示 C:\\Documents and Settings\\All Users\\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%   表示 C:
%SYSTEMROOT%  表示 C:\\WINDOWS
%WINDIR%      表示 C:\\WINDOWS
%TEMP% 和 %TMP%  表示 C:\\Documents and Settings\\當(dāng)前用戶名\\Local Settings\\Temp
%ProgramFiles%  表示 C:\\Program Files
%CommonProgramFiles%  表示 C:\\Program Files\\Common Files

關(guān)于通配符：
Windows里面默認(rèn)
* ：任意個(gè)字符（包括0個(gè)），但不包括斜杠
? ：1個(gè)或0個(gè)字符

幾個(gè)例子
*\\Windows 匹配 C:\\Windows、D:\\Windows、E:\\Windows 以及每個(gè)目錄下的所有子文件夾。
C:\\win* 匹配 C:\\winnt、C:\\windows、C:\\windir 以及每個(gè)目錄下的所有子文件夾。
*.vbs 匹配 Windows XP Professional 中具有此擴(kuò)展名的任何應(yīng)用程序。
C:\\Application Files\\*.* 匹配特定目錄（Application Files）中的應(yīng)用程序文件，但不包括Application Files的子目錄


關(guān)于優(yōu)先級(jí):

總的原則是:規(guī)則越匹配越優(yōu)先

1.絕對(duì)路徑 > 通配符全路徑
如 C:\\Windows\\explorer.exe > *\\Windows\\explorer.exe  

2.文件名規(guī)則 > 目錄型規(guī)則      
如若a.exe在Windows目錄中，那么   a.exe > C:\\Windows

3.環(huán)境變量 = 相應(yīng)的實(shí)際路徑 = 注冊(cè)表鍵值路徑
如 %ProgramFiles% = C:\\Program Files = %HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ProgramFilesDir%

4.對(duì)于同是目錄規(guī)則，則能匹配的目錄級(jí)數(shù)越多的規(guī)則越優(yōu)先
   對(duì)于同是文件名規(guī)則，優(yōu)先級(jí)均相同

5.散列規(guī)則比任何路徑規(guī)則優(yōu)先級(jí)都高

6.若規(guī)則的優(yōu)先級(jí)相同，按最受限制的規(guī)則為準(zhǔn)

舉例說明，例如cmd的全路徑是 C:\\Windows\\system32\\cmd.exe
那么，優(yōu)先級(jí)順序是：
絕對(duì)路徑(如C:\\Windows\\system32\\cmd.exe)  > 通配符全路徑(如*\\Windows\\*\\cmd.exe) > 文件名規(guī)則(如cmd.exe) = 通配符文件名規(guī)則(如*.*) > 部分絕對(duì)路徑(不包含文件名，如 C:\\Windows\\system32 )  =  部分通配符路徑（不包含文件名，如C:\\*\\system32 ）  > C:\\Windows  =  *\\*

注：
1. 通配符 * 并不包括斜杠 \\。例如*\\WINDOWS 匹配 C:\\Windows，但不匹配 C:\\Sandbox\\WINDOWS

2. * 和 ** 是完全等效的，例如 **\\**\\abc = *\\*\\abc

3. C:\\abc\\*  可以直接寫為 C:\\abc\\ 或者 C:\\abc，最后的* 是可以省去的，因?yàn)檐浖�限制策略的�?guī)則可以直接匹配到目錄。

4. 軟件限制策略只對(duì)“指派的文件類型”列表中的格式起效。例如 *.txt 不允許的，這樣的規(guī)則實(shí)際上無效，除非你把TXT格式也加入“指派的文件類型”列表中。而且默認(rèn)不對(duì)加載dll進(jìn)行限制，除非在“強(qiáng)制”選項(xiàng)中指定：
            


5. * 和 *.* 是有區(qū)別的，后者要求文件名或路徑必須含有“.”，而前者沒有此限制，因此，*.* 的優(yōu)先級(jí)比 * 的高

6. ?:\\* 與 ?:\\*.* 是截然不同的，前者是指所有分區(qū)下的每個(gè)目錄下的所有子文件夾，簡(jiǎn)單說，就是整個(gè)硬盤；而 ?:\\*.* 僅包括所有分區(qū)下的帶“.”的文件或目錄，一般情況
下，指的就是各盤根目錄下的文件。那非一般情況是什么呢？請(qǐng)參考第7點(diǎn)

7. ?:\\*.* 中的“.” 可能使規(guī)則范圍不限于根目錄。這里需要注意的是：有“.”的不一定是文件，可以是文件夾。例如 F:\\ab.c，一樣符合 ?:\\*.*，所以規(guī)則對(duì)F:\\ab.c下的所有文件及子目錄都生效。

8.這是很多人寫規(guī)則時(shí)的誤區(qū)。首先引用《組策略軟件限制策略規(guī)則包編寫之菜鳥入門（修正版）》里的一段：

    4、如何保護(hù)上網(wǎng)的安全
    在瀏覽不安全的網(wǎng)頁(yè)時(shí)，病毒會(huì)首先下載到IE緩存以及系統(tǒng)臨時(shí)文件夾中，并自動(dòng)運(yùn)行，造成系統(tǒng)染毒，在了解了這個(gè)感染途徑之后，我們可以利用軟件限制策略進(jìn)行封堵
    %SYSTEMROOT%\\tasks\\**\\*.*    不允許的    （這個(gè)是計(jì)劃任務(wù)，病毒藏身地之一）
    %SYSTEMROOT%\\Temp\\**\\*.*    不允許的
    %USERPROFILE%\\Cookies\\*.*    不允許的
    %USERPROFILE%\\Local Settings\\**\\*.*    不允許的  （這個(gè)是IE緩存、歷史記錄、臨時(shí)文件所在位置）


說實(shí)話，上面引用的部分不少地方都是錯(cuò)誤的
先不談這樣的規(guī)則能否保護(hù)上網(wǎng)安全，實(shí)際上這幾條規(guī)則在設(shè)置時(shí)就犯了一些錯(cuò)誤

例如：%USERPROFILE%\\Local Settings\\**\\*.*  不允許的
可以看出，規(guī)則的原意是阻止程序從Local Settings（包括所有子目錄）中啟動(dòng)
現(xiàn)在大家不妨想想這規(guī)則的實(shí)際作用是什么？

先參考注1和注2，** 和* 是等同的，而且不包含字符“\\”。所以，這里規(guī)則的實(shí)際效果是 “禁止程序從Local Settings文件夾的一級(jí)子目錄中啟動(dòng)”，不包括Local Settings根目錄，也不包括二級(jí)和以下的子目錄。
現(xiàn)在我們?cè)賮砜纯碙ocal Settings的一級(jí)子目錄有哪些：Temp、Temporary Internet Files、Application Data、History。
阻止程序從Temp根目錄啟動(dòng)，直接的后果就是很多軟件不能成功安裝

那么，阻止程序從Temporary Internet Files根目錄啟動(dòng)又如何呢？
實(shí)際上，由于IE的緩存并不是存放Temporary Internet Files根目錄中，而是存于Temporary Internet Files的子目錄Content.IE5的子目錄里（-_-||），所以這種寫法根本不能阻止程序從IE緩存中啟動(dòng)，是沒有意義的規(guī)則
若要阻止程序從某個(gè)文件夾及所有子目錄中啟動(dòng)，正確的寫法應(yīng)該是：
某目錄\\**
某目錄\\*
某目錄\\
某目錄

9.

    ?:\\autorun.inf    不允許的


這是流傳的所謂防U盤病毒規(guī)則，事實(shí)上這條規(guī)則是沒有作用的，關(guān)于這點(diǎn)在 關(guān)于各種策略防范U盤病毒的討論 已經(jīng)作了分析




二.軟件限制策略的3D的實(shí)現(xiàn)：
“軟件限制策略通過降權(quán)實(shí)現(xiàn)AD，并通過NTFS權(quán)限實(shí)現(xiàn)FD，同時(shí)通過注冊(cè)表權(quán)限實(shí)現(xiàn)RD，從而完成3D的部署”
對(duì)于軟件限制策略的AD限制，是由權(quán)限指派來完成的，而這個(gè)權(quán)限的指派，用的是微軟內(nèi)置的規(guī)則，即使我們修改“用戶權(quán)限指派”項(xiàng)的內(nèi)容（這個(gè)是對(duì)登陸用戶的權(quán)限而言），也無法對(duì)軟件限制策略中的安全等級(jí)進(jìn)行提權(quán)。所以，只要選擇好安全等級(jí)，AD部分就已經(jīng)部署好了，不能再作干預(yù)
而軟件件限制策略的FD和RD限制，分別由NTFS權(quán)限、注冊(cè)表權(quán)限來完成。而與AD部分不同的是，這樣限制是可以干預(yù)的，也就是說，我們可以通過調(diào)整NTFS和注冊(cè)表權(quán)限來配置FD和RD，這就比AD部分要靈活得多。

小結(jié)一下，就是
AD——用戶權(quán)利指派（內(nèi)置的安全等級(jí)）
FD——NTFS權(quán)限
RD——注冊(cè)表權(quán)限

先說AD部分，我們能選擇的就是采用哪種權(quán)限等級(jí)，微軟提供了五種等級(jí)：不受限的、基本用戶、受限的、不信任的、不允許的。

不受限的，最高的權(quán)限等級(jí)，但其意義并不是完全的不受限，而是“軟件訪問權(quán)由用戶的訪問權(quán)來決定”，即繼承父進(jìn)程的權(quán)限。
基本用戶，基本用戶僅享有“跳過遍歷檢查”的特權(quán)，并拒絕享有管理員的權(quán)限。
受限的，比基本用戶限制更多，也僅享有“跳過遍歷檢查”的特權(quán)。
不信任的，不允許對(duì)系統(tǒng)資源、用戶資源進(jìn)行訪問，直接的結(jié)果就是程序?qū)�無法運(yùn)行。
不允許的，無條件地阻止程序執(zhí)行或文件被打開

很容易看出，按權(quán)限大小排序?yàn)?不受限的 > 基本用戶 > 受限的 > 不信任的 > 不允許的

其中，基本用戶 、受限的、不信任的 這三個(gè)安全等級(jí)是要手動(dòng)打開的
具體做法：
打開注冊(cè)表編輯器，展開至
HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer\\CodeIdentifiers
新建一個(gè)DWORD值，命名為L(zhǎng)evels，其值可以為

0x10000                  //增加受限的
0x20000                  //增加基本用戶
0x30000                  //增加受限的，基本用戶
0x31000                  //增加受限的，基本用戶，不信任的

設(shè)成0x31000（即4131000）即可

如圖：


或者將下面附件中的reg雙擊導(dǎo)入注冊(cè)表即可





再?gòu)?qiáng)調(diào)兩點(diǎn)：
1.“不允許的”級(jí)別不包含任何FD操作。你可以對(duì)一個(gè)設(shè)定成“不允許的”文件進(jìn)行讀取、復(fù)制、粘貼、修改、刪除等操作，組策略不會(huì)阻止，前提當(dāng)然是你的用戶級(jí)別擁有修改該文件的權(quán)限
2.“不受限的”級(jí)別不等于完全不受限制，只是不受軟件限制策略的附加限制。事實(shí)上，“不受限的”程序在啟動(dòng)時(shí)，系統(tǒng)將賦予該程序的父進(jìn)程的權(quán)限字，該程序所獲得的訪問令牌決定于其父進(jìn)程，所以任何程序的權(quán)限將不會(huì)超過它的父進(jìn)程。

權(quán)限的分配與繼承:
這里的講解默認(rèn)了一個(gè)前提：假設(shè)你的用戶類型是管理員。

在沒有軟件限制策略的情況下，
很簡(jiǎn)單，如果程序a啟動(dòng)程序b，那么a是b的父進(jìn)程，b繼承a的權(quán)限

現(xiàn)在把a(bǔ)設(shè)為基本用戶，b不做限制（把b設(shè)為不受限或者不對(duì)b設(shè)置規(guī)則效果是一樣的）
然后由a啟動(dòng)b，那么b的權(quán)限繼承于a，也是基本用戶，即:
a（基本用戶）-> b（不受限的） = b（基本用戶）
若把b設(shè)為基本用戶，a不做限制，那么a啟動(dòng)b后，b仍然為基本用戶權(quán)限，即
a（不受限的）-> b（基本用戶） = b（基本用戶）

可以看到，一個(gè)程序所能獲得的最終權(quán)限取決于：父進(jìn)程權(quán)限 和 規(guī)則限定的權(quán)限 的最低等級(jí)，也就是我們所說的最低權(quán)限原則

舉一個(gè)例：
若我們把IE設(shè)成基本用戶等級(jí)啟動(dòng)，那么由IE執(zhí)行的任何程序的權(quán)限都將不高于基本用戶級(jí)別，只能更低。所以就可以達(dá)到防范網(wǎng)馬的效果——即使IE下載病毒并執(zhí)行了，病毒由于權(quán)限的限制，無法對(duì)系統(tǒng)進(jìn)行有害的更改，如果重啟一下，那么病毒就只剩下尸體了。
甚至，我們還可以通過NTFS權(quán)限的設(shè)置，讓IE無法下載和運(yùn)行病毒，不給病毒任何的機(jī)會(huì)。


FD：NTFS權(quán)限
* 要求磁盤分區(qū)為NTFS格式 *
其實(shí)Microsoft Windows 的每個(gè)新版本都對(duì) NTFS 文件系統(tǒng)進(jìn)行了改進(jìn)。NTFS 的默認(rèn)權(quán)限對(duì)大多數(shù)組織而言都已夠用。
注：設(shè)置前請(qǐng)先在“文件夾選項(xiàng)”中取消選中“使用簡(jiǎn)單文件共享（推薦）”

NTFS權(quán)限的分配
1.如果一個(gè)用戶屬于多個(gè)組，那么該用戶所獲得的權(quán)限是各個(gè)組的疊加
2.“拒絕”的優(yōu)先級(jí)比“允許”要高
例如：用戶A 同時(shí)屬于Administrators和Everyone組，若Administrators組具有完全訪問權(quán)，但Everyone組拒絕對(duì)目錄的寫入，那么用戶A的實(shí)際權(quán)限是：不能對(duì)目錄寫入，但可以進(jìn)行除此之外的任何操作

高級(jí)權(quán)限名稱 描述 （包括了完整的FD和部分AD）

    遍歷文件夾/運(yùn)行文件  （遍歷文件夾可以不管，主要是“運(yùn)行文件”，若無此權(quán)限則不能啟動(dòng)文件，相當(dāng)于AD的運(yùn)行應(yīng)用程序）
    允許或拒絕用戶在整個(gè)文件夾中移動(dòng)以到達(dá)其他文件或文件夾的請(qǐng)求，即使用戶沒有遍歷文件夾的權(quán)限（僅適用于文件夾）。

    列出文件夾/讀取數(shù)據(jù)
    允許或拒絕用戶查看指定文件夾內(nèi)文件名和子文件夾名的請(qǐng)求。它僅影響該文件夾的內(nèi)容，而不影響您對(duì)其設(shè)置權(quán)限的文件夾是否會(huì)列出（僅適用于文件夾）。

    讀取屬性 （FD的讀�。�
    允許或拒絕查看文件中數(shù)據(jù)的能力（僅適用于文件）。

    讀取擴(kuò)展屬性
    允許或拒絕用戶查看文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。

    創(chuàng)建文件/寫入數(shù)據(jù) （FD的創(chuàng)建）
    “創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件（僅適用于文件夾）�！皩懭霐�(shù)據(jù)”允許或拒絕對(duì)文件進(jìn)行修改并覆蓋現(xiàn)有內(nèi)容的能力（僅適用于文件）。

    創(chuàng)建文件夾/追加數(shù)據(jù)
    “創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請(qǐng)求（僅適用于文件夾）�！白芳訑�(shù)據(jù)”允許或拒絕對(duì)文件末尾進(jìn)行更改而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力（僅適用于文件）。

    寫入屬性 （即改寫操作了，F(xiàn)D的寫）
    允許或拒絕用戶對(duì)文件末尾進(jìn)行更改，而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請(qǐng)求（僅適用于文件）。  即寫操作

    寫入擴(kuò)展屬性
    允許或拒絕用戶更改文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。

    刪除子文件夾和文件 （FD的刪除）
    允許或拒絕刪除子文件夾和文件的能力，即使子文件夾或文件上沒有分配“刪除”權(quán)限（適用于文件夾）。

    刪除 （與上面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄本身）
    允許或拒絕用戶刪除子文件夾和文件的請(qǐng)求，即使子文件夾或文件上沒有分配“刪除”權(quán)限（適用于文件夾）。

    讀取權(quán)限 （NTFS權(quán)限的查看）
    允許或拒絕用戶讀取文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫入”）的請(qǐng)求。

    更改權(quán)限 （NTFS權(quán)限的修改）
    允許或拒絕用戶更改文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫入”）的請(qǐng)求。

    取得所有權(quán)
    允許或拒絕取得文件或文件夾的所有權(quán)。文件或文件夾的所有者始終可以更改其權(quán)限，而不論用于保護(hù)該文件或文件夾的現(xiàn)有權(quán)限如何。



以基本用戶為例，基本用戶能做什么？

在系統(tǒng)默認(rèn)的NTFS權(quán)限下，基本用戶對(duì)系統(tǒng)變量和用戶變量有完全訪問權(quán)，對(duì)系統(tǒng)文件夾只讀，對(duì)Program Files的公共文件夾只讀，Document and Setting下，僅對(duì)當(dāng)前用戶目錄有完全訪問權(quán)，其余不能訪問

關(guān)于基本用戶的相關(guān)詳細(xì)介紹，請(qǐng)看這里：
http://bbs.kafan.cn/viewthread.php?tid=282171&highlight=

如果覺得以上的限制嚴(yán)格了或者寬松了，可以自行調(diào)整各個(gè)目錄和文件的NTFS權(quán)限。
如果發(fā)現(xiàn)瀏覽器在基本用戶下無法使用某些功能的，很多都是由NTFS權(quán)限造成的，可以嘗試調(diào)整對(duì)應(yīng)文件或文件夾的NTFS權(quán)限


NTFS權(quán)限的調(diào)整

基本用戶、受限用戶屬于以下組
Users
Authenticated Users
Everyone
INTERACTIVE


調(diào)整權(quán)限時(shí)，主要利用到的組為 Users
為什么是Users組？因?yàn)檎{(diào)整Users的權(quán)限可以限制基本用戶、受限用戶，但卻不會(huì)影響到管理員，這樣就既保證了使用基本用戶的安全性和管理員帳戶下的操作的方便性

例：對(duì)用戶變量Temp目錄進(jìn)行設(shè)置，禁止基本用戶從該目錄運(yùn)行程序，可以這樣做：
首先進(jìn)入“高級(jí)”選項(xiàng)，取消勾選“從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目(I)”



然后設(shè)置Users的權(quán)限如圖


然后把除Administrators、Users、SYSTEM之外的所有組都刪除之

這樣基本用戶下的程序就無法從Temp啟動(dòng)文件了



注意：
1. 不要使用“拒絕”，不然管理員權(quán)限下的程序也會(huì)受影響
2. everyone組的權(quán)限適用于任何人、任何程序，故everyone組的權(quán)限不能太高，至少要低于Users組


其實(shí)利用NTFS權(quán)限還可以實(shí)現(xiàn)很多功能
又例如，如果想保護(hù)某些文件不被修改或刪除，可以取消Users的刪除和寫入權(quán)限，從而限制基本用戶，達(dá)到保護(hù)重要文件的效果
當(dāng)然，也可以防止基本用戶運(yùn)行指定的程序

以下為微軟建議進(jìn)行限制的程序：
regedit.exe

arp.exe

at.exe

attrib.exe

cacls.exe

debug.exe

edlin.exe

eventcreate.exe

eventtriggers.exe

ftp.exe

nbtstat.exe

net.exe

net1.exe

netsh.exe

netstat.exe

nslookup.exe

ntbackup.exe

rcp.exe

reg.exe

regedt32.exe

regini.exe

regsvr32.exe

rexec.exe

route.exe

rsh.exe

sc.exe

secedit.exe

subst.exe

systeminfo.exe

telnet.exe

tftp.exe

tlntsvr.exe


RD部分：注冊(cè)表權(quán)限。由于微軟默認(rèn)的注冊(cè)表權(quán)限分配已經(jīng)做得很好了，不需要作什么改動(dòng)，所以這里就直接略過了


三.關(guān)于組策略規(guī)則的設(shè)置：

規(guī)則要顧及方便性，因此不能對(duì)自己有過多的限制，或者最低限度地，即使出現(xiàn)限制的情況，也能方便地進(jìn)行排除
規(guī)則要顧及安全性，首先要考慮的對(duì)象就是瀏覽器等上網(wǎng)類軟件和可移動(dòng)設(shè)備所帶來的威脅。沒有這種防外能力的規(guī)則都是不完整或者不合格的
基于文件名防病毒、防流氓的規(guī)則不宜多設(shè)，甚至可以舍棄。
一是容易誤阻，二是病毒名字可以隨便改，特征庫(kù)式的黑名單只會(huì)跟殺軟的病毒庫(kù)一樣滯后。

于是，我們有兩種方案：
如果想限制少一點(diǎn)的，可以只設(shè)防“入口”規(guī)則，主要面向U盤和瀏覽器
如果想安全系數(shù)更高、全面一點(diǎn)的，可以考慮全局規(guī)則+白名單

具體內(nèi)容見二樓
待續(xù).....
最后布置幾道作業(yè) ，看看大家對(duì)上面的內(nèi)容消化得如何


1. 在規(guī)則“F:\\**\\*\\*.*  不允許”下，下面那些文件不能被打開？
A:F:\\a.exe
B.F:\\Folder.1\\b.exe
C.F:\\Folder1\\Folder.2\\C.txt
D.F:\\Folder1\\Folder.2\\Folder.3\\d.exe

2. 在以管理員身份登陸的情況下，建立規(guī)則如下：
%Temp%                                                                                        受限的
%USERPROFILE%\\Local Settings\\Temporary Internet Files                         不允許的
%ProgramFiles%\\Internet Explorer\\iexplore.exe                                                 基本用戶
%HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Desktop%  不受限的
在這四條規(guī)則下，假設(shè)這樣的情況：
iexplore.exe 下載一個(gè)test.exe到Temporary Internet Files目錄，然后復(fù)制到Temp目錄，再?gòu)腡emp目錄中運(yùn)行test.exe，（復(fù)制和運(yùn)行的操作都是IE在做），然后由text.exe釋放test2.exe到桌面，并運(yùn)行test2.exe。
那么test2.exe的訪問令牌為：
A.不受限的        B.不允許的      C.基本用戶       D.受限的

3. 試說出 F:\\win* 和 F:\\win*\\ 的區(qū)別

4. 若想限制QQ的行為，例如右下方彈出的廣告，并不允許QQ調(diào)用瀏覽器，可以怎么做？

答對(duì)兩題即及格。不過貌似還是有些難度

wuyy

果然很多內(nèi)容，有些暈