专业建设英文网站,电子商务公司网站模版,施工企业信用评价,企业建站程序哪个好编写软件限制规则 在前面几篇文章中讲了软件限制规则的基本概念#xff0c;现在就来学习如何编写自定义软件限制策略。 编写规则应遵循的原则 首先#xff0c;需要大家注意的是#xff0c;软件限制策略应本着方便、安全、实用的原则来编写。限制规则灵活方便#xff0c;自定… 编写软件限制规则 在前面几篇文章中讲了软件限制规则的基本概念现在就来学习如何编写自定义软件限制策略。 编写规则应遵循的原则 首先需要大家注意的是软件限制策略应本着方便、安全、实用的原则来编写。限制规则灵活方便自定义的限制规则不能对自己的日常管理、维护等有过多的限制并要留有充分的调整空间和变动余地这样即使出现问题也好进行解决在安全性方面需要综合考虑到用户系统面临的危险来源是哪些不仅要有普遍的防护措施还要针对其所处环境特点做好防护最后关于实用方面需要在策略规则编写时注意规则的严谨性和可操作性例如基于文件名辨别病毒就属于不严谨的不需要制作大而全的规则“库”需要的仅仅是几条实用、易用的规则。 编写方法 首先启动“组策略编辑器”(gpedit.msc)将树目录定位至 计算机配置 - Windows 配置 - 安全设置 - 软件限制策略 如果之前没有对“软件限制策略”进行过配置那么请右击树目录中的“软件限制策略”点击“创建软件限制策略” 创建之后软件限制策略可展开此目录下有两个子目录分别是安全级别与其他规则。 接下来请在“其他规则”上右击点选“新建路径规则”创建我们自定义的路径规则条目。如果你不清楚各种规则条目分类区别请查阅组策略管理——软件限制策略2。 新建路径规则 可以看到在路径规则编辑窗口中有两个设置按钮分别用来设置路径地址与安全级别在安全级别下有 5 个待选级别分别是不允许、不信任、受限、基本用户 与 不受限。 如果你不清楚不同安全级别之间的区别与限制程度请查阅组策略管理——软件限制策略1。 可见编辑规则条目非常简单例如限制用户使用 Windows Media Player 在路径中选择 Windows Media Player 主程序执行文件 64位 Win7%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe 32位 Win7%ProgramFiles%\Windows Media Player\wmplayer.exe 安全级别设置为 不允许添加描述“Windows Media Player” 创建完成 此时我们尝试启动 Windows Media Player检查是否该条目成功生效 这里还需要注意的一点是手工创建的规则在新添加或者进行修改后所需的生效时间可能根据不同的系统情况有所不同大多数情况下都会在 1、2 分钟内生效如果自定义规则长时间没有生效可以通过注销并重新登陆或者使用命令 gpupdate /force 来强制刷新规则文件。 系统默认规则 你可能还会注意到在“其他规则”中默认存在两条或者更多的规则条目这些条目都指向了系统中不同的位置我们在创建自定义规则时不仅不要对其进行修改同时还要考虑到他们的存在认识到他们对系统安全的影响。 * 不同的系统环境可能存在不同的条目 系统默认处于“不受限”安全级别下的路径规则 %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 系统默认规则的影响 %SystemRoot% 不受限 整个 Windows 目录不受限%SystemRoot%\*.exe 不受限 Windows 下的 *.exe 文件不受限%SystemRoot%\System32\*.exe 不受限 System32 下的 *.exe 文件不受限%ProgramFiles% 不受限 整个 ProgramFiles 目录不受限常见环境变量 此处假设系统盘为 C:\%USERPROFILE% 表示 C:\Documents and Settings\当前用户名 %HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\cmd.exe %APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT% 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 本文转自melvillo 51CTO博客原文链接http://blog.51cto.com/marui/347361如需转载请自行联系原作者
