利用组策略与系统权限完成“七寸”效果.docVIP

“七寸”其实就是所谓的“打蛇打七寸”，以击中要害为目的，而最大限度的不干扰其他操作，所以，如果要完成“七寸”的效果，就不能用全局规则的想法来考虑，而只能以point-to-point的模式来进行管制，诚然，组策略对于交互式的HIPS操作来说，可比性各有千秋，HIPS的API函数挂钩是一个一个的完成，胜在细致、直观，但是总会有漏掉的；而组策略的一个安全等级相当于一个现成的HIPS规则，这显然要比HIPS一个一个的HOOK高效得多，毕竟这是微软给我们提供好的，虽然也不能所每个安全等级都能面面俱到，但至少它胜在方便，上手简单。 既然不能用全局规则的思路来编，那么就从系统目录一个一个来讲，至于其他盘符目录，可以在熟悉的条件下自己添加，这里仅举出系统盘策略。 在XP系统，系统盘下无非就几个目录而已，Documents and Settings，Program Files，WINDOWS，一些Windows Installer软件的安装还会创建一个Config.Msi目录。 关于优先级和通配符，这里再赘述一遍，因为它很重要： ：任意个字符（包括0个），但不包括斜杠。 ：1个或0个字符。 优先级总的原则是：规则越匹配越优先。 ①.绝对路径 通配符全路径 如 CWindowsexplorer.exe Windowsexplorer.exe ②.文件名规则 目录型规则 如若a.exe在Windows目录中，那么 a.exe CWindows ③.环境变量 = 相应的实际路径 = 注册表键值路径 如 %ProgramFiles% = CProgram Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir% ④.对于同是目录规则，则能匹配的目录级数越多的规则越优先；对于同是文件名规则，优先级均相同。 ⑤.若规则的优先级相同，按最受限制的规则为准。 举例： 绝对路径(如CWindowssystem32cmd.exe) 通配符全路径(如Windowscmd.exe) 文件名规则(如cmd.exe) = 通配符文件名规则(如.) 部分绝对路径(不包含文件名，如 CWindowssystem32 ) = 部分通配符路径（不包含文件名，如Csystem32 ） CWindows = 一、Documents and Settings 于是我们来一步一步排除，在环境变量未修改的前提下，首先需要排除的是三个用户程序目录，一些软件在安装完毕后会在这三个目录下创建相关文件： %APPDATA% 不受限 %APPDATA%Local SettingsApplication Data 不受限 %ALLUSERSPROFILE%Application Data 不受限 然后在排除文档目录 %USERPROFILE%My Documents 基本用户 %ALLUSERSPROFILE%Documents 基本用户 接着排除临时文件目录 %Temp% 不受限 %Tmp% 不受限 最后在排除桌面目录 %USERPROFILE%桌面 受限的 %ALLUSERSPROFILE%桌面 受限的 附加 .lnk 不受限 排除完毕后，就可以放心的加上一条禁止规则 Documents and Settings，因为上面的这几个目录是我们常用到的，除了这几个目录，其他位置运行的文件基本都不是什么好东西。 二、Program Files 第一个目录搞定，慢慢接着往下来。 Program Files目录相对来讲也很简单，受限禁止Program Files根目录运行程序，然后排除下一级目录： %ProgramFiles% 不允许 %ProgramFiles% 不受限 然后把系统程序降权，重点是联网的： %ProgramFiles%Internet Explorer 基本用户 %ProgramFiles%NetMeeting 基本用户 %ProgramFiles%Outlook Express 基本用户 %ProgramFiles%Windows Media Player 基本用户 %ProgramFiles%Windows NT 基本用户 关于一些其他程序的降权，可以参考我之前发的一个帖子： thread-720738-1-1.html 禁止一些存放软件用到的公用库目录，放心大胆的禁： %CommonProgramFiles%. %CommonProgramFiles%DESIGNER %CommonProgramFiles%Microsoft Shared %CommonProgramFiles%MSSoap %CommonProgramFiles%ODBC %CommonProgra