|
3���、軟件限制策略 的優(yōu)先權
一個特定的程序可以有多個不同的規(guī)則適用����,為此��,可以按下列優(yōu)先權順序來使用這些規(guī)則�。優(yōu)先權按從高到低的順序排列如下:
散列規(guī)則 > 證書規(guī)則 > 路徑規(guī)則 > Internet 區(qū)域規(guī)則
如果存在多個路徑規(guī)則沖突,則最具限制性的規(guī)則占有優(yōu)先權��������?偟脑瓌t就是:規(guī)則越匹配越優(yōu)先�。
例如:
C:\Windows\System32\Taskmgr.exe
C:\Windows\System32\*.exe
*.exe
C:\Windows\System32\
C:\Windows\
本例是按優(yōu)先權從高到低排列的�。從這里我們可以看出:
絕對路徑 > 通配符路徑
文件名規(guī)則 > 目錄規(guī)則
對于同樣是目錄規(guī)則的,則目錄數(shù)匹配越多就越優(yōu)先����。
如果同時存在兩個相似的規(guī)則����,則最具限制性的規(guī)則優(yōu)先權最高。例如�,如果 C:\Windows\ 上有一個路徑規(guī)則,其安全級別為“不允許的”���,而 %windir% 上也有一個路徑規(guī)則�����,其安全級別為“不受限制的”���,則會采用最具限制性的規(guī)則��,即“不允許的”�����。
這里����,我們再順便介紹一下環(huán)境變量和通配符����。
在路徑規(guī)則里,允許使用諸如“%windir%”“%userprofile%”之類的環(huán)境變量����。一般情況下,我們的系統(tǒng)是在C盤��,但也有些人基于其它一些原因如要安裝雙系統(tǒng)等,將系統(tǒng)安裝在其它比如D盤下面��,這時我們平常用到的一些路徑比如“C:\windows\”就會無效�,為了防止這種情況,我們就可以使用系統(tǒng)變量���,像“%windir%”���,系統(tǒng)會自動為我們匹配其目錄。我們在創(chuàng)建規(guī)則的時候也可以使用這些環(huán)境變量����,以適用于不同的系統(tǒng)。下面列出的是一些常使用的環(huán)境變量�,更多的環(huán)境變量你可以運行 CMD 然后運行 SET 命令進行查看。
ALLUSERSPROFILE = C:\Documents and Settings\All Users
APPDATA = C:\Documents and Settings\Administrator\Application Data
CommonProgramFiles = C:\Program Files\Common Files
ComSpec = C:\WINDOWS\system32\cmd.exe
HOMEDRIVE = C:
HOMEPATH = \Documents and Settings\Administrator
ProgramFiles = C:\Program Files
SystemDrive = C:
SystemRoot = C:\WINDOWS
TEMP = C:\Documents and Settings\當前用戶名\Local Settings\Temp
TMP = C:\Windows\Temp
USERPROFILE = C:\Documents and Settings\Administrator
WINDIR = C:\WINDOWS
同樣�����,路徑規(guī)則也支持使用通配符��,對DOS熟悉的筒子應該知道這個東西���,就是“?”和“*”。
? :包括1個或0個字符
* :包括任意個字符(包括0個),但不包括斜杠
對于通配符��,其實網(wǎng)上很多教程上的做法是有誤的��。
例如有一條:%USERPROFILE%\Local Settings\**\*.* 不允許的
這條規(guī)則本意是 阻止所有被指派的文件從 Local Settings 目錄(包括其子目錄)啟動��,但是經(jīng)過驗證發(fā)現(xiàn)�����,“**”和“*”是完全等效的����,并且“*”不包括“\”。那么這條規(guī)則的實際意思就是“阻止所有被指派的文件從 Local Settings 的一級目錄運行”����,不包括 Local Settings 目錄本身,也不包括二級及其下的所有子目錄����。我們來看看 Local Settings 目錄下的一級目錄有哪些呢?默認情況下是:Temp����、Temporary Internet Files���、Application Data、History���,那么這條規(guī)則里就包括有 禁止TEMP目錄下的所有被指派的文件運行 的意思����,其根本結果就是會造成很多軟件無法安裝����。因為有些軟件在安裝時會先行解壓到TEMP目錄。
影響最大(簡直可以列入本年度十大最錯誤的做法中了)的一條:?:\autorun.inf “不允許的”
相信對 軟件限制策略 有研究的筒子都見過這條規(guī)則吧��,這條規(guī)則的本意是阻止所有盤根目錄下的 autorun.inf 文件運行�����,以阻止U盤病毒的運行�����。它也確實達到了它的目的��, autorun.inf 文件雙擊的時候被阻止了����。但病毒被阻止了嗎?答案是否定的�,病毒還是會被正常運行。
為什么呢�����?我們來了解一下系統(tǒng)是怎么處理 autorun.inf 文件的�。
首先,svchost.exe 讀取 autorun.inf���,然后 explorer.exe 讀取 autorun.inf����,再然后 explorer.exe 將 autorun.inf 里的相關內(nèi)容寫入注冊表中 MountPoints2 這個鍵值��。只要 explorer.exe 成功寫入注冊表�,那么這個 autorun.inf 文件的使命就完成了,U盤里的病毒就等著你去雙擊U盤了���。
那么我們的軟件限制策略中�����,將 autorun.inf 設為”不允許的”這一做法在這個過程中起到什么作用�����?
很遺憾地告訴你:沒有任何作用���。
真要說它起到的作用�����,僅僅是阻止你打開 autorun.inf 這個文件而已�����。所以��,對于 autorun.inf 的所有策略�����,都是無效的�����。
真要想防止U盤病毒的運行���,策略的設置只有一種方法:
?:\*.* 不允許 意思就是阻止所有盤下面的被指派文件運行����。當然��,如果你只想阻止U盤下的文件運行的話����,那就將規(guī)則里的“���?”改為具體的盤符即可����。當然還有其它很多辦法來防止U盤病毒的��,這個我會在文后附上其它解決方法的�����,歡迎筒子們進行驗證��。讓我們?nèi)未嬲����,找到最好的解決辦法吧:)
出處:藍色理想
責任編輯:bluehearts
上一頁 Windows組策略之軟件限制策略 [2] 下一頁 Windows組策略之軟件限制策略 [4]
◎進入論壇計算機技術版塊參加討論
|
第 1 頁 
第 3 頁 Windows組策略之軟件限制策略 [3]
