對於Windows的組策略,也許大家使用的更多的只是“管理模板”裡的各項功能。對於“軟件限制策略”相信用過的朋友們不是很多。
軟件限制策略如果用的好的話,相信可以和某些HIPS類軟件相類比了。如果再結合NTFS權限和注冊表權限,完全可以實現系統的全方位的安全配置,同時由於這是系統內置的功能,與系統無縫結合,不會占用額外的CPU及內存資源,更不會有不兼容的現象,由於其位於系統的最底層,其攔截能力也是其它軟件所無法比擬的,不足之處則是其設置不夠靈活和智能,不會詢問用戶。下面我們就來全面的了解一下軟件限制策略。
本系列文章將從以下幾方面為重點來進行講解:
·概述
·附加規則和安全級別
·軟件限制策略的優先權
·規則的權限分配及繼承
·如何編寫規則
·示例規則
今天我們介紹Windows的組策略中軟件限制策略規則編寫示例。
根目錄規則
如果我們要限制某個目錄下的程序運行,一般是創建諸如:
C:\Program Files\*.* 不允許
這樣的規則,看起來是沒有問題的,但在特殊情況下則可能引起誤傷,因為通配符即可以匹配到文件,也可以匹配到文件夾。如果此目錄
下存在如 SiteMapBuilder.NET 這樣的目錄(如C:\Program Files\SiteMapBuilder.NET\Site Map Builder.NET),同樣可以和規則匹配,從而造成誤傷,解決方法是對規則進行修改:
C:\Program Files 不允許的
C:\Program Files\*\ 不受限的
這樣就排除了子目錄,從而不會造成誤傷。
上網安全的規則
我們很多時候中毒,都是在浏覽網頁時中的毒,在我們浏覽網頁時,病毒會通過浏覽器漏洞自動下載到網頁緩存文件夾中,然後再將自身
復制到系統敏感位置,比如 windows system32 program files等等目錄下,然後運行。所以單純的對浏覽器緩存文件夾進行限制是不夠的。比較實用的防范方法就是禁止IE浏覽器在系統敏感位置創建文件,基於此,我們可以創建如下規則:
%ProgramFiles%\Internet Explorer\iexplore.exe 基本用戶
%UserProfile%\Local Settings\Temporary Internet Files\** 不允許的
%UserProfile%\Local Settings\Temporary Internet Files\* 不允許的
%UserProfile%\Local Settings\Temporary Internet Files\ 不允許的
%UserProfile%\Local Settings\Temporary Internet Files 不允許的
如果你使用的是其它浏覽器,同樣將其設置為“基本用戶”即可。
U盤規則
比較實際的作法:
U盤符:\* 不允許的 不信任的 受限的 都可以
不過設為不允許的安全度更高,也不會對U盤的正常操作有什麼限制。
CMD限制策略
%Comspec% 基本用戶
這裡要注意的是系統對於CMD和批處理文件是分開處理的,即使對CMD設置了不允許,仍然可以運行批處理
對於一些系統中平時我們極少用,但存在潛在威脅的程序我們也要進行限制。比如ftp.exe、 tftp.exe、 telnet.exe、 net.exe 、net1.exe 、debug.exe 、at.exe、 arp.exe 、wscript.exe、 cscript.exe等等,都可以將其設置為受限的或者直接設成不允許的。
禁止偽裝的系統進程
svchost.exe 不允許的
C:\Windows\System32\Svchost.exe 不受限的
如果你有興趣,有精神,還可以為系統的所有進程做一個白名單,這樣安全性可能會更高。
其它規則大家可以自由發揮。
策略的備份
最後提一下策略的備份。不能這麼辛苦做完下次重做系統再來一次吧,呵呵,備份很簡單,我們可以通過導出注冊表來備份(不提倡,也就不介紹了)。
也可以通過直接備份文件來備份,打開 C:\WINDOWS\system32\GroupPolicy\Machine ,在這個目錄下有一個 Registry.pol 文件,對,就是它了。備份它,重做系統後直接COPY過來就可以了,當然你也可以將你的策略分享給更多人使用。這裡有一點要注意的,就是這個Machine文件夾如果沒有,千萬不能手動建立,否則無效,可以使用我們前面介紹過的創建策略的方法,創建以後就會生成這個文件夾,也可以你在備份的時候直接備份這個文件夾。千萬要記得不能手動建立。如果你不想使用這些策略了,很簡單,將 Registry.pol 文件改名或者刪除即可。
