使用群組原則中的軟體限制原則保護上網安全及ꠠ…

看板AntiVirus (防毒)作者miamodo (老鷹之歌)時間17年前 (2008/05/23 20:37)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

使用群組原則（組策略）中的軟體限制原則（軟件限制略策），保護上網安全及防範隨身碟病毒：（windows 2000沒有軟體限制原則及windows xp home沒有群組原則）一、雖想寫"引用"，不如說是抄抄自rappar『關於軟體限制策略以及許可權的研究』的部分內容（內容使用簡轉繁，用語有些不同）首先，我們打開組策略中一個隱藏開關，開啟"基本用戶"和"受限的"許可權類型。具體做法：打開註冊表編輯器，展開至 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 新建一個DOWRD，命名為Levels，其值可以為 0x10000 //增加受限的 0x20000 //增加基本用戶 0x30000 //增加受限的，基本用戶 0x31000 //增加受限的，基本用戶，不信任的（不信任和不允許差不了多少）建議設成0x30000或0x31000。．．．．．．．．．．．．．．．推薦的設置： 1.首先，流覽器是一定要加入限制的，假設你使用流覽器是IE，那麼建立路徑規則 %Programfiles%\internet explorer\iexplore.exe "基本用戶" 這樣足以防絕大部分的網馬了。如果使用的是其他的流覽器，也為其設置相應的規則。 2.加入U盤規則，例如 ?:\*.* 、?:\* "不允許的"－＞U盤就是隨身碟採取哪種形式可以自行決定，也可以把第一個 ? 改成你的U盤的實際盤符 3.防範危險的雙尾碼格式的程式啟動，建立如下規則 *.jpg.exe、*.bmp.exe、*.xls*.exe、*.ppt*.exe、*.rar.exe、*.doc*.exe、 *.mdb.exe、*.txt.exe、*.gif.exe、*.htm.exe、*.rm*.exe、*.wm?.exe、*.mp3.exe 等等，全部設為"不允許的" 全文網址：http://bbs.kafan.cn/viewthread.php?tid=203063&extra=page%3D1 二、再抄一次，設定IE為基本使用者，更明確的具體做法： http://sysadm.ntpu.edu.tw/safer.html。按開始->執行->secpol.msc，也可以開啟本機安全性設定。三、又抄一次，有關數值資料： http://msdn.microsoft.com/en-us/library/ms722425(VS.85).aspx SAFER_LEVELID_CONSTRAINED（0x10000）：受限制的 Software cannot access certain resources, such as cryptographic keys and credentials, regardless of the user rights of the user. 軟體無法存取某些資源，例如密碼編譯金鑰和認證，不管使用者的存取權限為何。 ----- SAFER_LEVELID_DISALLOWED（0x00000）：不允許的 Software will not run, regardless of the user rights of the user. 不管使用者的存取權限為何，軟體都將不執行 ----- SAFER_LEVELID_FULLYTRUSTED（0x40000）：沒有限制 Software user rights are determined by the user rights of the user. 軟體存取權限由使用者存取權限決定。 ----- SAFER_LEVELID_NORMALUSER（0x20000）：基本使用者 Allows programs to execute as a user that does not have Administrator or Power User user rights. Software can access resources accessible by normal users. 允許沒有 Administrator 或 Power User 存取權限的使用者執行應用程式，但仍能存取一般使用者能存取的資源。 ----- SAFER_LEVELID_UNTRUSTED（0x01000）：未受信任的 Allows programs to execute with access only to resources granted to open well-known groups, blocking access to Administrator and Power User privileges and personally granted rights. 允許程式只能在資源得到授權時，才能執行開啟知名的群組、防止存取 Administrator 和 Power User 的特殊權限，並依個人授與權限。 ───────────────────────────────── 四、終於沒有抄了： 1.有關防範隨身碟病毒部分，有人稱可100％防，但個人所知似非如此。 2.rappar另有一篇大作，組策略之軟體限制策略--完全教程與規則示例（規則已發佈），有興趣的，請自已找吧。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.112.20.6