Windows软限制策略哈希规则.doc

Windows软件限制策略哈希规则 Windows软件限制策略哈希规则 你们是如何禁止指定的程序运行的？是不是以下这两种方法呀？ 方法A：组策略（可指定运行或指定禁止运行） 组策略中的禁用程序功能 运行“gpedit.msc”命令打开组策略控制台，在里面展开“用户配置-管理模板-系统”， 右侧 “只运行许可的Windows应用程序” 以及 “不要运行指定的windows程序” 策略可以帮你很多。 用户试图运行未被允许的程序，一律弹出“……限制被取消。请与系统管理员联系。”的对话框。 方法B：镜像劫持 例如运行 QQ ，实际上启动 ctfmon，系统将没有任何提示。 你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。 reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe /v debugger /t reg_sz /d C:\WINDOWS\system32\ctfmon.exe /f 呵呵，如果你的答案是“Yes”，那么恭喜你，你在WIIN战队是高手！ 不过今天发现一个更好的方法。非原创的哟。就是使用散列规则。 A、开始--运行--spcpol.msc 打开“本地安全设置”，选择“软件限制策略”--“创建新的策略”，创建之后单击“其他规则”，右侧区域将显示规则内容（绝对不要更改其中原有规则，不信你自己收拾崩溃的系统） B、在右侧区域右击选择“新路径规则”，打开“新路径规则”对话框。 在“新路径规则”对话框的路径文本框中输入“?：\*.*”，安全级别设置为“不允许”，确定既可。 然后依次将下列目录的安全级别设置为“不允许” 1）?:\System Volume Information 2）C:\Documenrs and Settings\*\Local SettingS\Temporary Internet Files 3）?:\Recycled 4）?:\RECYCLER 5）C:\Windows\Downloaded Program Files 6）C:\Windows\system 7）C:\Windows\Tsaks 8）C:\Windows\Temp 9）C:\Windows\systme32\Com 10）C:\Windows\systme32\drivers 11）C:\Documenrs and Settings\*\Local SettingS\Temp 12）C:\Program Files\Common Files C、在右侧区域右击，选择“新散列规则”，单击“浏览”按钮，定位到“C:\Windows\systme32\net.exe”文件，选择打开，将安全级别设置为“不允许的”，并填入描述“net.exe”以便归类区分。 D、如不对系统进行设置和安全软件的绝对系统，可加上“C:\Windows\systme32\ rundll32.exe” 的散列规则，同样设置为“不允许的”。 E、如果真的要彻底全自动，考虑这样的思路进行： 1、用VBS或BAT，读取“禁止列表”，并写入变量，主要是程序全路径。 2、用VBS的sendkeys，模拟键盘操作GPEDIT.MSC添加这些变量。 3、vbs或bat复制本机的Registry.pol，并远程登陆覆盖目标机器的文件。 F、先在自己机器上手动配置好要限制的程序和路径（不允许的），或者指定路径下的程序运行（不受限的）。 然后选择“显示系统文件，显示所有文件”。 按目录复制出C:\WINDOWS\system32\GroupPolicy\gpt.ini C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol 最后复制出Registry.pol文件。 这样做比较适合批量Copy。如果其他机器上要配置，就将Registry.pol文件复制过去。如果要解除所有设置，将Registry.pol文件删除即可。 在服务器上配置好策略后，把Registry.pol和gpt.ini文件同步到客户机的相同目录里，再运行 gpupdate /force 刷新一下组策略就可以了。 老规矩，解释一下。 组策略中的路径规则很多人都有所了解，下面说说散列规则： 所谓的散列规则，简单的说就是提取一个文件的特征信息，如版本、Hash等，然后根据这些信息判断是否是同一个文件。 由于识别原理的关系，文件散列识别的优点是