2024年11月全面了解Windows软件限制策略(4)

发布时间:

  ⑴创建文件夹/追加数据

  ⑵“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力(仅适用于文件)。

  ⑶允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请求(仅适用于文件)。 即写操作

  ⑷允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。

  ⑸删除子文件夹和文件

  ⑹允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。

  ⑺删除 (与上面的区别是,这里除了子目录及其文件,还包括了目录本身)

  ⑻允许或拒绝用户删除子文件夹和文件的请求,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。

  ⑼读取权限(NTFS权限的查看)

  ⑽允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。

  ⑾更改权限(NTFS权限的修改)

  ⑿允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。

  ⒀允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,而不论用于保护该文件或文件夹的现有权限如何。

  ⒁在系统默认的NTFS权限下,基本用户对于windowsprogram files目录只有 遍历文件夹/运行文件列出文件夹/读取属性读取扩展属性读取权限 这四项权限,对于documents and settings目录,仅对其所有的目录有完全控制的权限,其它目录只读?

  ⒂我们的规则里面所说到的基本用户、受限用户,基本上等同于 NTFS 权限里的 USERS 组,但受限用户受到的限制更多,不管NTFS权限如何,其始终受到限制。

  ⒃更多NTFS权限的设置,大家可以查阅NTFS相关的内容。

  ⒄关于规则编写,我们要遵循以下几个原则:要方便,不能对自己有过多的限制,这样,即使出现问题也好排队要安全,要考虑到你的系统中毒的来源有哪些,针对其做好防护。

  ⒅基于文件名的病毒规则尽量少用,因为容易出现误阴,而且病毒的文件名随便可以改,我们做的又不是特征库。

  ⒆下面介绍规则的具体编写方式

  ⒇开始 -> 运行 -> gpedit.msc

  ⒈在左边的窗口中依次展开计算机配置-> Windows设置->安全设置->软件限制策略

  ⒉如果你之前没有进行过设置,那么在 软件限制策略 上点右键,选择创建新的策略然后在 其它规则 上右键点击,选择 新路径规则 既可以进行规则的创建了。

  ⒊规则的设置很简单,就五个安全级别,根据你自己的需要设置即可。难点主要是规则的正确性和有效性,这个得靠多多实践来提升了。

  ⒋另外提醒一下,大家在设置规则时,注意不要更改以下条系统默认规则同时还要考虑它们的影响:

  ⒌%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%路径不受限的

  ⒍%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%*.exe 路径 不受限的

  ⒎%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System*.exe 路径 不受限的

  ⒏%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

  ⒐ProgramFilesDir%路径不受限的

  ⒑%SystemRoot%不受限的整个Windows目录不受限

  ⒒%SystemRoot%*.exe 不受限的 Windows下的exe文件不受限

  ⒓%SystemRoot%System*.exe 不受限的 System下的exe文件不受限

  ⒔%ProgramFiles%不受限的整个ProgramFiles目录不受限

  ⒕这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器,会在一至两分钟内生效,不会立即生效,如果长时间不生效,我们可以通过注销,重新登陆来生效,也可以使用命令 gpupdate /force 来强制刷新。

  ⒖对于Windows的组策略,也许大家使用的更多的只是 管理模板 里的各项功能。对于 软件限制策略 相信用过的筒子们不是很多,所以大家都好好学习下本教程吧,对你会有点好处的.