希望大家重视组策略和权限的应用,我们用好权限和组策略,就可以更好地配合杀毒软件,HIPS,防御未知病毒和已知病毒
这里我们以限制系统盘根目录的可执行文件为例子
当然了,如果你有U盘,移动硬盘,根据盘符添加“路径规则”就好了
HOME版,参看猫叔贴子
http://bbs.ikaka.com/showtopic-8427987.aspx开始之前,我们
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,值设成0x31000
这样我们就可以更好得使用组策略了(增加了几个限制类型)
要设置组策略,先了解下系统环境变量和通配符,以及优先级
环境变量
在C盘为系统盘的情况下:
%USERPROFILE%
表示 C:\Documents and Settings\当前用户名 这个文件夹
%ALLUSERSPROFILE%
表示 C:\Documents and Settings\All Users
%APPDATA%
表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%
表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%
表示C:\
%SYSTEMROOT%
表示 C:\WINDOWS
%WINDIR%
表示 C:\WINDOWS
%TEMP% 和 %TMP%
表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%
表示 C:\Program Files
%CommonProgramFiles%
表示 C:\Program Files\Common Files
通配符
?
---------------表示任意单个字符
*
---------------任意个字符(包括0个),但不包括斜杠
**或*?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹
这里是网上的例子:
*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。
*.vbs 匹配
具有此扩展名的任何应用程序。
C:\Application Files\*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录
路径规则优先级:
1.绝对路径 > 通配符相对路径
如 C:\Windows\explorer.exe > *\Windows\explorer.exe
2.文件型规则 > 目录型规则
如若a.exe在Windows目录中,那么 a.exe > C:\Windows
注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。
例如, *.* 就比 C:\WINDOWS 的优先级要高,如果要排除WINDOWS根目录下的程序,就需要这样做 C:\WINDOWS\*.*
而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。
3.环境变量 = 相应的实际路径 = 注册表键值路径
如 %ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
4.若两条规则路径等效,那么合成的结果是:从严处理,以最低的权限为准。
如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的” 结果为“C:\Windows\explorer.exe 不允许的
总的来说,就是路径越明显详细,该规则就越优先