知识库
手动防毒:组策略编写软件限制策略规则(2)
时间 / 2011年11月28日 信息来源 / 本站原创 作者 / 佚名 点击 / 次
规则的设置很简单,就五个安全级别,根据你自己的需要设置即可。难点主要是规则的正确性和有效性,这个得靠多多实践来提升了。
另外提醒一下,大家在设置规则时,注意不要更改以下4条系统默认规则同时还要考虑它们的影响:
· %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径 不受限的
·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 路径 不受限的
·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 路径 不受限的
·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ProgramFilesDir% 路径 不受限的
相当于规则:
·%SystemRoot% 不受限的 整个Windows目录不受限
·%SystemRoot%\*.exe 不受限的 Windows下的exe文件不受限
·%SystemRoot%\System32\*.exe 不受限的 System32下的exe文件不受限
·%ProgramFiles% 不受限的 整个ProgramFiles目录不受限
这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器,会在一至两分钟内生效,不会立即生效,如果长时间不生效,我们可以通过注销,重新登陆来生效,也可以使用命令 gpupdate /force 来强制刷新。
实例演示组策略软件限制编写 根目录规则
如果我们要限制某个目录下的程序运行,一般是创建诸如:
C:\Program Files\*.* 不允许
这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录
下存在如 SiteMapBuilder.NET 这样的目录(如C:\Program Files\SiteMapBuilder.NET\Site Map Builder.NET),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:
C:\Program Files 不允许的
C:\Program Files\*\ 不受限的
这样就排除了子目录,从而不会造成误伤。
另外提醒一下,大家在设置规则时,注意不要更改以下4条系统默认规则同时还要考虑它们的影响:
· %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径 不受限的
·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 路径 不受限的
·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 路径 不受限的
·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ProgramFilesDir% 路径 不受限的
相当于规则:
·%SystemRoot% 不受限的 整个Windows目录不受限
·%SystemRoot%\*.exe 不受限的 Windows下的exe文件不受限
·%SystemRoot%\System32\*.exe 不受限的 System32下的exe文件不受限
·%ProgramFiles% 不受限的 整个ProgramFiles目录不受限
这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器,会在一至两分钟内生效,不会立即生效,如果长时间不生效,我们可以通过注销,重新登陆来生效,也可以使用命令 gpupdate /force 来强制刷新。
实例演示组策略软件限制编写 根目录规则
如果我们要限制某个目录下的程序运行,一般是创建诸如:
C:\Program Files\*.* 不允许
这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录
下存在如 SiteMapBuilder.NET 这样的目录(如C:\Program Files\SiteMapBuilder.NET\Site Map Builder.NET),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:
C:\Program Files 不允许的
C:\Program Files\*\ 不受限的
这样就排除了子目录,从而不会造成误伤。
本文关键词 / 手动,防毒,策略,编写,软件,限制,规则