组策略软件策略规则

考虑到可能有些初学者不太理解，今天花了一下午时间，重新精简编辑了我自己的规则，以适合普通用户直接套用，并附带了详细的编写原理、注意事项等，希望借此抛砖引玉，使各位潜水的高手也能将自己的规则分享出来讨论，也希望初学者可以DIY出适合自己的规则。 

非常欢迎大家将自己的规则拿出来讨论，以使此规则不断进步和完善，成为传统安全软件有力的辅助和补充。好了，废话说了一大堆，下面进入正文： 

一、软件策略的作用 

首先说一下HIPS的3D 

AD——程序保护    保护应用程序不被恶意修改、删除、注入 

FD——文件保护    保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件 

RD——注册表保护    保护注册表关键位置不被恶意修改、读取、删除 

XP系统软件策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现 

因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。 

二、软件策略的优劣势 

1、优势 

优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是HIPS可以比拟的 

2、劣势 

劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行 

三、软件策略 规则编写实例 

我直接以一些最常见的例子来说明 

1、首先要学会系统通配符、环境变量的含义，以及软件策略规则的优先级 

关于这一点，大家可以看原帖 

http://bbs.ylmf.com/read.php?fid=10&tid=435857&u=379569 

2、如何阻止恶意程序运行 

首先要注意，恶意程序一般会藏身在什么地方 

？:\\  分区根目录 

C:\\WINDOWS    （后面讲解一律以系统在C盘为例） 

C:\\WINDOWS\\system32 

C:\\Documents and Settings\\Administrator 

C:\\Documents and Settings\\Administrator\\Application Data 

C:\\Documents and Settings\\All Users 

C:\\Documents and Settings\\All Users\\Application Data 

C:\\Documents and Settings\\Administrator\「开始」菜单\程序\启动 

C:\\Documents and Settings\\All Users\「开始」菜单\程序\启动 

C:\\Program Files 

C:\\Program Files\\Common Files 

注意： 

C:\\Documents and Settings\\Administrator 

C:\\Documents and Settings\\Administrator\\Application Data 

C:\\Documents and Settings\\All Users 

C:\\Documents and Settings\\All Users\\Application Data 

C:\\Documents and Settings\\Administrator\「开始」菜单\程序\启动 

C:\\Documents and Settings\\All Users\「开始」菜单\程序\启动 

C:\\Program Files 

C:\\Program Files\\Common Files 

这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了 

%ALLAPPDATA%\\*.*    不允许的 

%ALLUSERSPROFILE%\\*.*    不允许的 

%ALLUSERPROFILE%\「开始」菜单\程序\启动\\*.*    不允许的 

%APPDATA%\\*.*    不允许的 

%USERSPROFILE%\\*.* 

%USERPROFILE%\「开始」菜单\程序\启动\\*.*    不允许的 

%ProgramFiles%\\*.*    不允许的 

%CommonProgramFiles%\\*.*    不允许的 

那么对于 

C:\\WINDOWS      C:\\WINDOWS\\system32    这两个路径的规则怎么写呢？ 

C:\\WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行 

则其规则可以这样写： 

%SYSTEMROOT%\\*.*    不允许的    （首先禁止C:\\WINDOWS下运行可执行文件） 

C:\\WINDOWS\\explorer.exe    不受限的  

C:\\WINDOWS\\notepad.exe    不受限的  

C:\\WINDOWS\\amcap.exe      不受限的 

C:\\WINDOWS\\RTHDCPL.EXE    不受限的 

（然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:\\WINDOWS下，除了explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行） 

对于C:\\WINDOWS\\system32就不能像上面那样写规则了，在SYSTEM32下面很多系统必须的可执行文件，如果一个一个排除，那太累了。所以，对system32，我们只要对它的子文件作一些，并对系统关键进程进行保护 

子文件夹的 

%SYSTEMROOT%\\system32\\config\\**\\*.*      不允许的 

%SYSTEMROOT%\\system32\\drivers\\**\\*.*    不允许的 

%SYSTEMROOT%\\system32\\spool\\**\\*.*      不允许的 

当然你可以更多的子文件夹 

3、如何保护system32下的系统关键进程 

有些进程是系统启动时必须加载的，你不能阻止它的运行，但这些进程又常常被恶意软件仿冒，怎么办？其实很简单，这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出现在其他的路径中。那么我们可以这样应对： 

C:\\WINDOWS\\system32\\csrss.exe      不受限的 

C:\\WINDOWS\\system32\\ctfmon.exe    不受限的 

C:\\WINDOWS\\system32\\lsass.exe      不受限的 

C:\\WINDOWS\\system32\\rundll32.exe    不受限的 

C:\\WINDOWS\\system32\\services.exe  不受限的 

C:\\WINDOWS\\system32\\smss.exe    不受限的 

C:\\WINDOWS\\system32\\spoolsv.exe    不受限的 

C:\\WINDOWS\\system32\\svchost.exe      不受限的 

C:\\WINDOWS\\system32\\winlogon.exe    不受限的 

先完全允许正常路径下这些进程，再屏蔽掉其他路径下仿冒进程 

csrss.*      不允许的  （.*  表示任意后缀名，这样就涵盖了  bat  com  等等可执行的后缀） 

ctfm?n.*  不允许的 

lass.*      不允许的 

lssas.*      不允许的 

rund*.*        不允许的 

services.*      不允许的 

smss.*      不允许的 

sp?sv.*      不允许的 

sh?st.*      不允许的 

s?vch?st.*    不允许的 

wing?n.*    不允许的 

4、如何保护上网的安全 

在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件策略进行封堵 

%SYSTEMROOT%\asks\\**\\*.*    不允许的    （这个是计划任务，病毒藏身地之一） 

%SYSTEMROOT%\\Temp\\**\\*.*    不允许的 

%USERPROFILE%\\Cookies\\*.*    不允许的 

%USERPROFILE%\\Local Settings\\**\\*.*    不允许的  （这个是IE缓存、历史记录、临时文件所在位置） 

另外可以免疫一些常见的流氓软件 

3721.*    不允许的 

IC.*    不允许的 

*Bar.*    不允许的 

等等，不赘述，大家可以自己添加 

注意，*.* 这个格式只会阻止可执行文件，而不会阻止等等文件 

另外演示两条禁止从回收站和备份文件夹执行文件的规则 

?:\\Recycler\\**\\*.*    不允许的 

?:\\System Volume Information\\**\\*.*    不允许的 

5、如何防止U盘病毒的入侵 

这个简单，两条规则就可以彻底搞定 

?:\\autorun.inf      不允许的 

?:\\*.*          不允许的 

6、预防双后缀名的典型恶意软件 

许多恶意软件，他有双后缀，比如

由于很多人默认不显示后缀名，所以你看到的文件名是

对于这类恶意，我本来想以一条规则彻底免疫 

*.*.*  不允许的 

可是这样做了之后，却发现我的ACDSee 3.1 无法运行 

于是改成 

*.*.bat    不允许的 

*.*.cmd    不允许的 

*.*.com      不允许的 

*.*.exe  不允许的 

*.*.pif    不允许的 

这样5条规则，ACDSEE没有问题了。我现在还没搞清楚，我的ACDSEE并没有双后缀，为何不能运行 

7、其他规则 

注意  %USERPROFILE%\\Local Settings\\**\\*.*  这条规则设置后，禁止了从临时文件夹执行文件，那么一些自解压的单文件就无法运行了，因为这类文件是首先解压到临时文件夹，然后从临时文件夹运行的。如果你的电脑中有自解压的单文件，那么，删除这条规则，增加3条： 

%USERPROFILE%\\Local Settings\\Application Data\\**\\*.*      不允许的 

%USERPROFILE%\\Local Settings\\History\\**\\*.*          不允许的 

%USERPROFILE%\\Local Settings\\Temporary Internet Files\\**\\*.*      不允许的 

威金的预防，很简单两条 

logo?.*        不允许的 

_desktop.ini          不允许的 

小浩病毒的预防 

xiaohao.exe      不允许的 

禁止conimi.exe进程 

c?nime.*    不允许的 

禁止QQ自动更新 

QQUpdateCenter.exe    不允许的 

TIMPlatform.exe      不允许的 

禁止遨游自动更新 

maxupdate.exe    不允许的 

禁止小红伞C版的广告 

avnotify.exe      不允许的 

……………………………… 

就不一一列举了 

大家根据自己的实际情况来设置吧 

最后附上我自己精简后的规则，比较大众化，下载解压后直接运行即可 

运行前，先备份C:\\WINDOWS\\system32\\GroupPolicy\\Machine\\Registry.pol  这个文件 

如果导入规则出现不良反应，可以用原文件替换回去 

有兴趣的朋友可以深入研究，不良反应究竟是触发了哪一条规则，如何设置能达到最佳效果 

转载请注明出处及作者，本人保留追究侵权责任的权利

占楼说明  

附带啰嗦一句，现在很多病毒采用劫持IFEO的方法，致使杀毒软件无法启动。解决方法如下：

打开注册表编辑器，找到

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options

右击——权限，取消所有用户的写入、修改权限，仅保留读取和删除权限

规则导入完成之后，利用NTFS格式的安全设定，设置Registry.pol 的权限，取消所有用户的修改、写入和删除权限，这样恶意软件便不能修改或删除这个规则了

同理，可以利用NTFS的权限设置，保护任意文件不被修改和删除，和软件策略相辅相成，达到HIPS的FD功能。

这个是FAT格式无法享有的优越性

11月5号

今天将规则包作了一些更新，使之更严密，且不影响正常的使用

规则的每一条都添加了注释

各位可以根据自己的实际情况进行修改

BS 某些以为我抄袭他的人 

  我以100K左右的规则包，实现了他200多K规则包的功能，甚至比他更严密，引起嫉妒了 

此规则依然没有对%TEMP%  %TMP% 这两个临时文件变量做出

仍然是考虑到自解压文件的问题

[ 此贴被尐小三~γ在2007-11-05 10:34重新编辑 ]