精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 8364|回复: 12

[原创] 如何将软件限制策略发挥大作用

[复制链接]
发表于 2009-7-5 16:52 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
如何将软件限制策略发挥大作用
     如何将软件限制策略发挥大作用根本在于规则设置,当然首先增加权限用户。它的方法是:当然基本用户 、受限的、不信任的 这三个安全等级是要手动打开的,开注册表编辑器,展开HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers新建一个DOWRD,命名为Levels,其值可以为设成0x31000(即4131000)即可,这样每条规则下多了基本用户 、受限的、不信任的权限。然后增加和删除文件类型:加dat 删除lnk.
     接着我们来写规则。首先,写系统盘的规则这个容易。新建散列规则找到系统盘根目录的文件NTDETECT.COM设置为不受限,然后加一路径规则NTDETECT.COM不允许,再加路径规则C:\ *.*不允许。第二我们写的windows根目录规则,把windows根目录下所有的*.exe *.dat  *.bat *.com  先写散列规则不受限再写,路径规则不允许如regedit.*(注意摄像程序不要加路径不允许),把以下windows根目录下的文件夹设为路径不允许:C:\WINDOWS\Config  C:\WINDOWS\Downloaded Program Files C:\WINDOWS\SoftwareDistribution\Download  C:\WINDOWS\system C:\WINDOWS\Tasks C:\WINDOWS\temp ,好windws根目录下规则做好。第三,我们写system32的规则,把常用的system32根目录下文件做散列不受限再做不允许这些文件是csrss.exe ctfmon.exe lsass.exe smss.exe services.exe svchost.exe  taskmgr.exe runas .exe  RUNDLL.EXE  userinit.exe winlogon.exe user.exe ,system32根目录下有些文件需要限制arp.exe at.exe attrib.exe cacls.exe net.exe 把他们设为散列不允许路径不允许,再把system32根目录下的com文件设为散列基本用户路径不允许,C:\WINDOWS\system32\wbem 下 wmiprvse.exe wmiapsrv.exe 散列不受限路径不允许再C:\WINDOWS\system32\wbem\*.*   路径  ,  C:\WINDOWS\system32下文件夹设为不允许drivers不允许。
第四做以下规则
*.*.*.* 路径 不允许的  
*.3qp.* 路径 不允许的  
*.asf.* 路径 不允许的  
*.avi.* 路径 不允许的  
*.bmp.* 路径 不允许的  
*.doc.* 路径 不允许的  
*.exe.* 路径 不允许的  
*.iso.* 路径 不允许的  
*.jpg.* 路径 不允许的  
*.mp3.* 路径 不允许的  
*.mp4.* 路径 不允许的  
*.mpeg.* 路径 不允许的  
*.mpg.* 路径 不允许的  
*.pif 路径 不允许的  
*.ppt.* 路径 不允许的  
*.qsed.* 路径 不允许的  
*.rar.* 路径 不允许的
*.rm.* 路径 不允许的  
*.rmvb.* 路径 不允许的  
*.torrent.* 路径 不允许的  
*.txt.* 路径 不允许的  
*.wav.* 路径 不允许的  
*.wm.* 路径 不允许的  
*.wm?.* 路径 不允许的  
*.zip.* 路径 不允许的
  第五做以下规则:
?:\RECYCLER 路径 不允许的  
?:\System Volume Information 路径 不允许的
C:\*.* 路径 不允许的  2009-5-13  10:26:47
C:\Documents and Settings\**\「开始」菜单\程序\启动 路径 不允许的  2009-5-13  8:10:50
C:\Documents and Settings\**\Application Data\*.* 路径 不允许的  2009-6-23  9:33:50
C:\Documents and Settings\**\Cookies 路径 不允许的  2009-5-13  8:21:23
C:\Documents and Settings\**\Favorites 路径 不允许的  2009-5-13  8:21:44
C:\Documents and Settings\**\Local Settings\History 路径 不允许的  2009-5-13  8:22:04
C:\Documents and Settings\**\Local Settings\Temp 路径 不允许的  2009-7-5  8:50:58
C:\Documents and Settings\**\Local Settings\Temporary Internet Files 路径 不允许的  2009-5-22  14:08:58
C:\Documents and Settings\**\桌面 路径 不允许的  2009-5-13  8:23:03
C:\Documents and Settings\*.* 路径 不允许的  2009-5-13  8:24:16
C:\Program Files\*.* 路径 不允许的  2009-5-13  8:34:08。

一个免费的hips做好了,重启。当然要加强保护软件限制策略,方法为C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol文件安全权限设为只读,打开注册表编辑器HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer权限设为只读。
 楼主| 发表于 2009-7-5 16:53 | 显示全部楼层
沙发,自己做
回复 支持 反对

使用道具 举报

发表于 2009-7-5 18:18 | 显示全部楼层
高手,,在下五体投地。
回复 支持 反对

使用道具 举报

发表于 2009-7-9 17:04 | 显示全部楼层
学习了
回复 支持 反对

使用道具 举报

发表于 2009-7-10 10:13 | 显示全部楼层
感觉没什么用。 具体啥用
回复 支持 反对

使用道具 举报

发表于 2009-10-5 12:35 | 显示全部楼层
本帖最后由 zhangjiwei 于 2009-10-6 09:50 编辑

#l%*47好东西.都在后面啊.唉..没人顶的..我顶下

汗..你这条算什么  0.0
C:\Documents and Settings\**\桌面
回复 支持 反对

使用道具 举报

发表于 2011-1-24 18:04 | 显示全部楼层
学习了!
回复 支持 反对

使用道具 举报

发表于 2011-1-26 14:49 | 显示全部楼层
进来学习一下。
回复 支持 反对

使用道具 举报

发表于 2011-2-7 11:05 | 显示全部楼层
先顶下,软件策略还是蛮有用的
回复 支持 反对

使用道具 举报

发表于 2011-3-21 08:38 | 显示全部楼层
学习下
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )

GMT+8, 2017-9-20 17:18 , Processed in 0.123787 second(s), 23 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表