瑞星卡卡安全论坛

受限的不能启动任何程序。用任务管理器安装程序当然可以安装，因为任务管理器并没有受限。其父进程是winlogon.

总体来说，软件限制策略的五个级别中受限的和不信任的基本没有什么意义。不信任的几乎等同于不允许的。设为受限的还能正常运行的程序不多。:default1: 我只是将祖玛设为受限，将世界之窗的快捷方式复制二份分别放入受限的和基本用户二个文件夹中。受限的世界之窗大体能用。火狐也大体能用，但是鼠标光标变成双箭头形状，很让人感到别扭。

大家可以试试，将services,winlogon,lsass.csrss,smss设为不允许，重启看看这些进程受影响吗？告诉你不会受影响的。这些进程是在组策略加载之前加载的。

对于第三方软件启动程序,其实就是一个规避,
第三方软件可以自己设置启动哪些,自己通常不会故意往里放恶意程序
?:\*.* 此条也使用了,分那么细是有些浪费
不过我遇到过这样一个情况:看杂志光盘无法自动运行的时候,还需要删除此类规则
或者直接进光盘打开网页

支持！！

一剑哥：我在策略组中设了一个路径规制是禁止U盘中的任意程序运行的。
我的电脑中U盘是H盘
规则是这样写的H:\*.*
但是确定后，插入U盘点击上面的程序，程序可以运行，策略组没有禁止。这是这么了？

你在强制那里,选一下包括管理员看看

对于U盘，直接H:\不允许的就可以了。这样连其子目录里的程序都不可以运行。

不错不错

对菜鸟来说太难了，LZ的桌面太帅了，破法者啊

学了不少 东西 谢谢!

处女贴,放此留念,以后学习:default5:

:default6: :default6: xiexiela

学习了

厉害啊

要慢慢研究下:default7:

安全与方便真是矛盾的啊，这样虽然安全了，但是做什么都不方便了，除非保持系统不变化才行:default11:

顶起  好帖子:default7:

好啊.顶

哇，好详细啊，慢慢学习

:kaka12: 感谢天云大师的无私奉献，学习并收藏了！

恩.这个在实际应用中很有用处的.

不错 谢谢了

没有想到的  很多时候 我们只是在使用最基础的东西

能否转载?:kaka2:

好厉害

应用程序权限的继承 （父子进程的权限继承）

IE浏览器的组策略设置
（与NTFS文件权限不同）:
这里的讲解默认了一个前提：假设你的用户类型是管理员。

在还没有软件限制策略的情况下，
如果a启动b，那么a是b的父进程，b继承a的权限

现在把a设为基本用户，b不做限制（不对b设置规则）

然后由a启动b，那么b的权限继承于a，也是基本用户，即:
a（基本用户）---> b（不受限的） = b（基本用户）

若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即
a（不受限的）---> b（基本用户） = b（基本用户）

这就是说，一个程序所能获得的最终权限取决于：父进程权限和它自己的最低权限等级
特别注意，复制、创建文件等操作不会构成权限的继承（仅限进程之间的启动）


若我们把IE设成基本用户等级启动，
路径规则为：
C:\Program Files\Internet Explorer\iexplore.exe 受限的
那么由IE执行的任何程序的权限都将低于基本用户级。所以就可以达到防范网马的效果——即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只有尸体没机会运行。（理论上)
关于浏览器 见此处http://bbs.ikaka.com/showtopic-8528742-3.aspx#9281804



配合下列规则
*\Documents and Settings  不允许的
程序一般不会从Documents and Settings中启动
%APPDATA%                不允许的
当前用户的Application Data根目录限制
%APPDATA%\*\              不受限的
允许程序从Application Data的子目录启动
%Temp%                      不受限的
允许程序从Temp目录启动，安装软件必须
%TMP%                      不受限的     
允许程序从Temp目录启动，安装软件必须

好东西，可恨的是水印挡了一些字母……

学习下

这个帖子太实用了，一定要收藏