组策略管理——软件限制策略(4)

编写软件限制规则

在前面几篇文章中讲了软件限制规则的基本概念,现在就来学习如何编写自定义软件限制策略。

编写规则应遵循的原则

首先,需要大家注意的是,软件限制策略应本着方便、安全、实用的原则来编写。限制规则灵活方便,自定义的限制规则不能对自己的日常管理、维护等有过多的限制,并要留有充分的调整空间和变动余地,这样,即使出现问题也好进行解决;在安全性方面,需要综合考虑到用户系统面临的危险来源是哪些,不仅要有普遍的防护措施,还要针对其所处环境特点做好防护;最后关于实用方面,需要在策略规则编写时注意规则的严谨性和可操作性,例如,基于文件名辨别病毒就属于不严谨的,不需要制作大而全的规则“库”,需要的仅仅是几条实用、易用的规则。

编写方法

首先,启动“组策略编辑器”(gpedit.msc),将树目录定位至

 计算机配置 -> Windows 配置 -> 安全设置 -> 软件限制策略

如果之前没有对“软件限制策略”进行过配置,那么,请右击树目录中的“软件限制策略”,点击“创建软件限制策略”:

创建之后,软件限制策略可展开,此目录下有两个子目录,分别是:安全级别与其他规则。

接下来,请在“其他规则”上右击点选“新建路径规则”,创建我们自定义的路径规则条目。如果你不清楚各种规则条目分类区别,请查阅组策略管理——软件限制策略(2)。

新建路径规则:

 

可以看到,在路径规则编辑窗口中有两个设置按钮,分别用来设置路径地址与安全级别,在安全级别下,有 5 个待选级别,分别是:不允许、不信任、受限、基本用户 与 不受限。

 

如果你不清楚不同安全级别之间的区别与限制程度,请查阅组策略管理——软件限制策略(1)。

可见,编辑规则条目非常简单,例如,限制用户使用 Windows Media Player:

在路径中选择 Windows Media Player 主程序执行文件:

(64位 Win7)%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe

(32位 Win7)%ProgramFiles%\Windows Media Player\wmplayer.exe

安全级别设置为 不允许,添加描述“Windows Media Player”:

创建完成:

此时,我们尝试启动 Windows Media Player,检查是否该条目成功生效:

这里还需要注意的一点是手工创建的规则在新添加或者进行修改后所需的生效时间可能根据不同的系统情况有所不同,大多数情况下都会在 1、2 分钟内生效,如果自定义规则长时间没有生效,可以通过注销并重新登陆或者使用命令 gpupdate /force 来强制刷新规则文件。

系统默认规则

你可能还会注意到,在“其他规则”中,默认存在两条或者更多的规则条目,这些条目都指向了系统中不同的位置,我们在创建自定义规则时,不仅不要对其进行修改,同时还要考虑到他们的存在,认识到他们对系统安全的影响。

* 不同的系统环境可能存在不同的条目

系统默认处于“不受限”安全级别下的路径规则:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe

系统默认规则的影响:

  • %SystemRoot% 不受限                   整个 Windows 目录不受限
  • %SystemRoot%\*.exe 不受限             Windows 下的 *.exe 文件不受限
  • %SystemRoot%\System32\*.exe 不受限   System32 下的 *.exe 文件不受限
  • %ProgramFiles%    不受限             整个 ProgramFiles 目录不受限
常见环境变量

此处假设系统盘为 C:\
%USERPROFILE%  表示 C:\Documents and Settings\当前用户名 
%HOMEPATH%    表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE%  表示 C:\Documents and Settings\All Users
%ComSpec%  表示 C:\WINDOWS\System32\cmd.exe 
%APPDATA%  表示 C:\Documents and Settings\当前用户名\Application Data 
%ALLAPPDATA%  表示 C:\Documents and Settings\All Users\Application Data 
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%   表示 C:
%SYSTEMROOT%  表示 C:\WINDOWS 
%WINDIR%      表示 C:\WINDOWS 
%TEMP% 和 %TMP%  表示 C:\Documents and Settings\当前用户名\Local Settings\Temp 
%ProgramFiles%  表示 C:\Program Files 
%CommonProgramFiles%  表示 C:\Program Files\Common Files





     本文转自melvillo 51CTO博客,原文链接:http://blog.51cto.com/marui/347361,如需转载请自行联系原作者



本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/286849.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

我使用 html 反向输出自己打自己(7)

作者简介 作者名:1_bit 简介:CSDN博客专家,2020年博客之星TOP5,蓝桥签约作者。15-16年曾在网上直播,带领一批程序小白走上程序员之路。欢迎各位小白加我咨询我相关信息,迷茫的你会找到答案。 目录 HTML基…

Castle.DynamicProxy拦截器

在asp.net mvc或asp.net miniapi中,有过滤器,可以在请求前或后增加一层,达到验证,过滤等作用,如果在Service的方法前后加一层呢?这里介绍一下Castle.DynamicProxy的用法。首先引入Castle.Core实现代码相对轻…

Android选项切换条SHSegmentControl

Android选项切换条SHSegmentControl SHSegmentControl是github上一个开源的选项切换条,其样式如图所示: SHSegmentControl在github上的项目主页地址:https://github.com/7heaven/SHSegmentControl SHSegmentControl…

从零开始编写自己的C#框架(14)——T4模板在逻辑层中的应用(三)

原本关于T4模板原想分5个章节详细解说的,不过因为最近比较忙,也不想将整个系列时间拉得太长,所以就将它们整合在一块了,可能会有很多细节没有讲到,希望大家自己对着代码与模板去研究。 本章代码量会比较大,…

赶紧3分钟学完15分钟的内容我要出去玩(8)

作者简介 作者名:1_bit 简介:CSDN博客专家,2020年博客之星TOP5,蓝桥签约作者。15-16年曾在网上直播,带领一批程序小白走上程序员之路。欢迎各位小白加我咨询我相关信息,迷茫的你会找到答案。 目录 HTML基…

Hello Playwright:(5)查找元素

操作浏览器归根到底就是和页面进行交互,那么必不可少的操作就是查找页面上的元素。因此我们需要熟练掌握Locator 定位器。在上一节我们讲过,可以使用Page.Locator(selector, options)方法创建定位器,而如何定位到元素则取决于selector 选择器…

RxSwift 之官方文档

RxSwift 官方文档结构 Introduction:SubjectsTransforming ObservablesFiltering ObservablesCombining ObservablesError Handing OperatorsObservable Utility OperatorsConditional and Boolean OperatorsMathematical and Aggregate OperatorsConnectable Observable Opera…

2019年甘肃省普通高等学校高职(专科)升本科考试招生工作实施办法

2019年甘肃省普通高等学校高职(专科)升本科考试招生工作实施办法 2019年甘肃省普通高等学校高职(专科)升本科考试招生工作实施办法 根据教育部有关规定及要求,结合我省实际,为确保普通高等学校高职&#x…

HTML基础之bit哥的反客为主之道(9)

作者简介 作者名:1_bit 简介:CSDN博客专家,2020年博客之星TOP5,蓝桥签约作者。15-16年曾在网上直播,带领一批程序小白走上程序员之路。欢迎各位小白加我咨询我相关信息,迷茫的你会找到答案。 目录 HTML基…

Atom编辑Markdown文件保存后行尾的空格自动消失的问题解决

Markdown文件的行尾增加两个空格表示一行结束需要换行。 但保存文件后,行尾的空格自动消失,导致不换行。 解决方法: 1、【Edit】->【Preferences】->【Packages】->【whitespace】->【Settings】->【Keep Markdown Line Brea…

将Abp移植进.NET MAUI项目

前言写在.NET MAUI官宣正式发布之际,热烈庆祝MAUI正式发布!去年12月份做了MAUI混合开发框架的调研,想起来文章里给自己挖了个坑,要教大家如何把Abp移植进Maui项目。熟悉Abp的同学都知道,Abp 是一套强大的应用程序设计时…

采用ArcGIS 10.6制作漂亮的点阵世界地图,完美!!!

如下图所示,怎样制作完美漂亮的点阵世界地图呢?今天我就教大家吧! 其实,制作过程相当简单,主要的思路是通过世界地图范围去创建渔网(标注点),再选择范围内的标注点,符号化即可,怎么样,很简单吧,下面我们一步一步来实现吧。 1. 加载世界地图 打开ArcGIS软件,加载软…

懒办法1篇文10分钟快速入门MySQL增删查改

作者简介 作者名:1_bit 简介:CSDN博客专家,2020年博客之星TOP5,InfoQ签约作者,蓝桥签约作者。15-16年曾在网上直播,带领一批程序小白走上程序员之路。欢迎各位小白加我咨询我相关信息,迷茫的你…

大话领域驱动设计——领域层

概述在DDD中,业务逻辑主要分布在领域层和应用层两层,他们包含不同的业务逻辑。这一篇,我们先对领域层做详细的讲解分析。领域层实现了领域或系统的,与用户界面上的用户交互(用例)无关的核心业务逻辑。总览领…

【北斗】北斗卫星导航系统(BDS)介绍

一、概述 北斗卫星导航系统(以下简称北斗系统)是中国着眼于国家安全和经济社会发展需要,自主建设运行的全球卫星导航系统,是为全球用户提供全天候、全天时、高精度的定位、导航和授时服务的国家重要时空基础设施。 北斗系统提供服务以来,已在交通运输、农林渔业、水文监…

正则验证金额大于等于0,并且只到小数点后2位

2019独角兽企业重金招聘Python工程师标准>>> ^(([0-9]|([1-9][0-9]{0,9}))((\.[0-9]{1,2})?))$ 转载于:https://my.oschina.net/u/934148/blog/528688

我结婚了,我要用什么做个邀请函呢?【iVX无代码YYDS 06】

作者简介 作者名:1_bit 简介:CSDN博客专家,2020年博客之星TOP5,InfoQ签约作者、CSDN新星导师,华为云享专家。15-16年曾在网上直播,带领一批程序小白走上程序员之路。欢迎各位小白加我咨询我相关信息&#…

《微软云计算Microsoft Azure部署与管理指南》即将上市!!!

大家好,本人新作《微软云计算Microsoft Azure部署与管理指南》即将与广大读者见面,由电子工业出版社出版。希望大家能关注此书,并推荐给身边的好友和技术人员。 众所周知,Microsoft Azure是专业的国际化公有云平台, 是微软研发的公…

如何解决分布式日志exceptionless的写入瓶颈

我们都知道在分布式日志当中,exceptionless客户端是把日志写到Elasticsearch数据库,就像我们把数据写入到关系数据库一样;既然是写入,那么在短时间大数据量的情况下,写入就会涉及到效率的问题;首先我们看下…

iVX 基础

1.1 iVX 线上集成环境进入 点击 连接 或通过浏览器输入网址 https://editor.ivx.cn/ 进入线上集成开发环境。 进入 在线集成开发环境 后,可点击右上角 登录/注册 进行帐号登录或者注册。登录账户 后在进行项目开发时会自动保存项目开发进度。 [外链图片转存失败…