叶陵君 - 2008-8-5 15:28:00
在第一层目录下,无法执行任何文件。(除TXT,RAR,文件夹)
所以这里我们不但可以阻止autorun.inf ,还可以阻止desktop.ini,folder.htt 还有其他可执行脚本的运行。正常系统根目录下是不需要这些东西的,所以我们可以大胆排除。
:default3: 现在开始,第一步建基本用户,天剑兄说过了,我这里在重复下.
基本用户 、受限的、不信任的 这三个安全等级是要手动打开的
具体做法:
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,其值可以为
0x10000 //增加受限的
0x20000 //增加基本用户
0x30000 //增加受限的,基本用户
0x31000 //增加受限的,基本用户,不信任的
设成0x31000(即4131000)即可
建完上面的,
继续我们防U盘之路,在运行处输入 GPEDIT.MSC (怕写错的朋友直接复制过去,大小写任意)
附件: 您所在的用户组无法下载或查看附件
依次打开 计算机配置---windows设置---安全设置---软件限制策略--双击它(点不开,就在右边窗口新建策略)
附件: 您所在的用户组无法下载或查看附件
添加新路径规则,如图设置
附件: 您所在的用户组无法下载或查看附件
现在 说说IE的防毒 策略
一些浏览器不支持 至今不知道是什么原因,如果设置后打不开浏览器就把该条策略删除吧,或者换一个浏览器
参照我的浏览器规则
附件: 您所在的用户组无法下载或查看附件
我的是世界之窗,其他浏览器同理配置,这里在附上一个IE的吧
C:\Program Files\Internet Explorer\IEXPLORE.EXE
附图
附件: 您所在的用户组无法下载或查看附件
要设置为基本用户才有效。
还想继续加强安全的,可以参照以下配置
*\Documents and Settings 不允许的 程序一般不会从Documents and Settings中启动
%APPDATA% 不允许的 当前用户的Application Data根目录限制
%APPDATA%\*\ 不受限的 允许程序从Application Data的子目录启动
%SystemDrive%\*.* 不允许的 禁止程序从系统盘根目录启动 (U盘那条已经包含这条了)
%Temp% 不允许的 不允许程序从Temp目录启动,安装软件时在暂停这条规则。
以上几条如果对你执行一些程序不便请删除规则。
U盘规则还可以设置 成 相应U盘驱动器号 下不允许执行程序或脚本 如 i:\* 不允许
分享到此结束。有什么补充的,谢谢回帖交流、。 修正了下%temp%规则
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)
所以这里我们不但可以阻止autorun.inf ,还可以阻止desktop.ini,folder.htt 还有其他可执行脚本的运行。正常系统根目录下是不需要这些东西的,所以我们可以大胆排除。
:default3: 现在开始,第一步建基本用户,天剑兄说过了,我这里在重复下.
基本用户 、受限的、不信任的 这三个安全等级是要手动打开的
具体做法:
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,其值可以为
0x10000 //增加受限的
0x20000 //增加基本用户
0x30000 //增加受限的,基本用户
0x31000 //增加受限的,基本用户,不信任的
设成0x31000(即4131000)即可
建完上面的,
继续我们防U盘之路,在运行处输入 GPEDIT.MSC (怕写错的朋友直接复制过去,大小写任意)
附件: 您所在的用户组无法下载或查看附件依次打开 计算机配置---windows设置---安全设置---软件限制策略--双击它(点不开,就在右边窗口新建策略)
附件: 您所在的用户组无法下载或查看附件添加新路径规则,如图设置
附件: 您所在的用户组无法下载或查看附件现在 说说IE的防毒 策略
一些浏览器不支持 至今不知道是什么原因,如果设置后打不开浏览器就把该条策略删除吧,或者换一个浏览器
参照我的浏览器规则
附件: 您所在的用户组无法下载或查看附件我的是世界之窗,其他浏览器同理配置,这里在附上一个IE的吧
C:\Program Files\Internet Explorer\IEXPLORE.EXE
附图
附件: 您所在的用户组无法下载或查看附件要设置为基本用户才有效。
还想继续加强安全的,可以参照以下配置
*\Documents and Settings 不允许的 程序一般不会从Documents and Settings中启动
%APPDATA% 不允许的 当前用户的Application Data根目录限制
%APPDATA%\*\ 不受限的 允许程序从Application Data的子目录启动
%SystemDrive%\*.* 不允许的 禁止程序从系统盘根目录启动 (U盘那条已经包含这条了)
%Temp% 不允许的 不允许程序从Temp目录启动,安装软件时在暂停这条规则。
以上几条如果对你执行一些程序不便请删除规则。
U盘规则还可以设置 成 相应U盘驱动器号 下不允许执行程序或脚本 如 i:\* 不允许
分享到此结束。有什么补充的,谢谢回帖交流、。 修正了下%temp%规则
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)