如何将软件限制策略发挥大作用

如何将软件限制策略发挥大作用根本在于规则设置，当然首先增加权限用户。它的方法是：当然基本用户 、受限的、不信任的 这三个安全等级是要手动打开的，开注册表编辑器，展开HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers新建一个DOWRD，命名为Levels，其值可以为设成0x31000（即4131000）即可，这样每条规则下多了基本用户 、受限的、不信任的权限。然后增加和删除文件类型：加dat 删除lnk.

 

     接着我们来写规则。首先，写系统盘的规则这个容易。新建散列规则找到系统盘根目录的文件NTDETECT.COM设置为不受限，然后加一路径规则NTDETECT.COM不允许，再加路径规则C：\ *.*不允许。第二我们写的windows根目录规则，把windows根目录下所有的*.exe *.dat  *.bat *.com  先写散列规则不受限再写,路径规则不允许如regedit.*（注意摄像程序不要加路径不允许），把以下windows根目录下的文件夹设为路径不允许：C:\WINDOWS\Config  C:\WINDOWS\Downloaded Program Files C:\WINDOWS\SoftwareDistribution\Download  C:\WINDOWS\system C:\WINDOWS\Tasks C:\WINDOWS\temp ，好windws根目录下规则做好。第三，我们写system32的规则，把常用的system32根目录下文件做散列不受限再做不允许这些文件是csrss.exe ctfmon.exe lsass.exe smss.exe services.exe svchost.exe  taskmgr.exe runas .exe  RUNDLL.EXE  userinit.exe winlogon.exe user.exe ，system32根目录下有些文件需要限制arp.exe at.exe attrib.exe cacls.exe net.exe 把他们设为散列不允许路径不允许，再把system32根目录下的com文件设为散列基本用户路径不允许，C:\WINDOWS\system32\wbem 下 wmiprvse.exe wmiapsrv.exe 散列不受限路径不允许再C:\WINDOWS\system32\wbem\*.*   路径  ，  C:\WINDOWS\system32下文件夹设为不允许drivers不允许。

 

第四做以下规则

 

*.*.*.* 路径 不允许的  

*.3qp.* 路径 不允许的  

*.asf.* 路径 不允许的  

*.avi.* 路径 不允许的  

*.bmp.* 路径 不允许的  

*.doc.* 路径 不允许的  

*.exe.* 路径 不允许的  

*.iso.* 路径 不允许的  

*.jpg.* 路径 不允许的  

*.mp3.* 路径 不允许的  

*.mp4.* 路径 不允许的  

*.mpeg.* 路径 不允许的  

*.mpg.* 路径 不允许的  

*.pif 路径 不允许的  

*.ppt.* 路径 不允许的  

*.qsed.* 路径 不允许的  

*.rar.* 路径 不允许的

*.rm.* 路径 不允许的  

*.rmvb.* 路径 不允许的  

*.torrent.* 路径 不允许的  

*.txt.* 路径 不允许的  

*.wav.* 路径 不允许的  

*.wm.* 路径 不允许的  

*.wm?.* 路径 不允许的  

*.zip.* 路径 不允许的

 

  第五做以下规则：

 

?:\RECYCLER 路径 不允许的  

?:\System Volume Information 路径 不允许的

 

C:\*.* 路径 不允许的  2009-5-13  10:26:47

C:\Documents and Settings\**\「开始」菜单\程序\启动 路径 不允许的  2009-5-13  8:10:50

C:\Documents and Settings\**\Application Data\*.* 路径 不允许的  2009-6-23  9:33:50

C:\Documents and Settings\**\Cookies 路径 不允许的  2009-5-13  8:21:23

C:\Documents and Settings\**\Favorites 路径 不允许的  2009-5-13  8:21:44

C:\Documents and Settings\**\Local Settings\History 路径 不允许的  2009-5-13  8:22:04

C:\Documents and Settings\**\Local Settings\Temp 路径 不允许的  2009-7-5  8:50:58

C:\Documents and Settings\**\Local Settings\Temporary Internet Files 路径 不允许的  2009-5-22  14:08:58

C:\Documents and Settings\**\桌面 路径 不允许的  2009-5-13  8:23:03

C:\Documents and Settings\*.* 路径 不允许的  2009-5-13  8:24:16

C:\Program Files\*.* 路径 不允许的  2009-5-13  8:34:08。

 

一个免费的hips做好了，重启。当然要加强保护软件限制策略，方法为C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol文件安全权限设为只读，打开注册表编辑器HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer权限设为只读。