瑞星卡卡安全论坛技术交流区入侵防御(HIPS) NTFS权限,组策略----------应用教程【图文】【090701更新】

«56789101112   10  /  12  页   跳转

NTFS权限,组策略----------应用教程【图文】【090701更新】

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

慢慢学学习中,要仔细研究一下。感谢
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

进来学习的。。。。


新人一个
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

悲剧、XP系统很多都做不了
掀起你的头盖骨来,让我看看你的眼~~
电信是个黑心厂商,一天劫持我几十遍
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

牛  !!!好好学习 学习。
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

好厉害。。。完全看不懂啊
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

不错,顶你了。
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

不错,顶你。
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

哦,谢谢
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

希望大家重视组策略和权限的应用,我们用好权限和组策略,就可以更好地配合杀毒软件,HIPS,防御未知病毒和已知病毒
这里我们以限制系统盘根目录的可执行文件为例子
当然了,如果你有U盘,移动硬盘,根据盘符添加“路径规则”就好了

HOME版,参看猫叔贴子http://bbs.ikaka.com/showtopic-8427987.aspx

开始之前,我们
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,值设成0x31000

这样我们就可以更好得使用组策略了(增加了几个限制类型)



要设置组策略,先了解下系统环境变量和通配符,以及优先级

环境变量
在C盘为系统盘的情况下:
%USERPROFILE%
表示 C:\Documents and Settings\当前用户名 这个文件夹
%ALLUSERSPROFILE%
表示 C:\Documents and Settings\All Users
%APPDATA%
表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%
表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%
表示C:\
%SYSTEMROOT%
表示 C:\WINDOWS
%WINDIR%
表示 C:\WINDOWS
%TEMP% 和 %TMP%
表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%
表示 C:\Program Files
%CommonProgramFiles%
表示 C:\Program Files\Common Files

通配符
?
---------------表示任意单个字符
*
---------------任意个字符(包括0个),但不包括斜杠
**或*?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹

这里是网上的例子:
*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。
*.vbs 匹配
具有此扩展名的任何应用程序。
C:\Application Files\*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录

路径规则优先级:
1.绝对路径 > 通配符相对路径
如 C:\Windows\explorer.exe > *\Windows\explorer.exe 

2.文件型规则 > 目录型规则     
如若a.exe在Windows目录中,那么  a.exe > C:\Windows
注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。
例如, *.* 就比 C:\WINDOWS 的优先级要高,如果要排除WINDOWS根目录下的程序,就需要这样做 C:\WINDOWS\*.*
而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。

3.环境变量 = 相应的实际路径 = 注册表键值路径
如 %ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.若两条规则路径等效,那么合成的结果是:从严处理,以最低的权限为准。
如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的” 结果为“C:\Windows\explorer.exe 不允许的

总的来说,就是路径越明显详细,该规则就越优先
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

希望大家重视组策略和权限的应用,我们用好权限和组策略,就可以更好地配合杀毒软件,HIPS,防御未知病毒和已知病毒
这里我们以限制系统盘根目录的可执行文件为例子
当然了,如果你有U盘,移动硬盘,根据盘符添加“路径规则”就好了

HOME版,参看猫叔贴子http://bbs.ikaka.com/showtopic-8427987.aspx

开始之前,我们
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,值设成0x31000

这样我们就可以更好得使用组策略了(增加了几个限制类型)



要设置组策略,先了解下系统环境变量和通配符,以及优先级

环境变量
在C盘为系统盘的情况下:
%USERPROFILE%
表示 C:\Documents and Settings\当前用户名 这个文件夹
%ALLUSERSPROFILE%
表示 C:\Documents and Settings\All Users
%APPDATA%
表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%
表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%
表示C:\
%SYSTEMROOT%
表示 C:\WINDOWS
%WINDIR%
表示 C:\WINDOWS
%TEMP% 和 %TMP%
表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%
表示 C:\Program Files
%CommonProgramFiles%
表示 C:\Program Files\Common Files

通配符
?
---------------表示任意单个字符
*
---------------任意个字符(包括0个),但不包括斜杠
**或*?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹

这里是网上的例子:
*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。
*.vbs 匹配
具有此扩展名的任何应用程序。
C:\Application Files\*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录

路径规则优先级:
1.绝对路径 > 通配符相对路径
如 C:\Windows\explorer.exe > *\Windows\explorer.exe 

2.文件型规则 > 目录型规则     
如若a.exe在Windows目录中,那么  a.exe > C:\Windows
注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。
例如, *.* 就比 C:\WINDOWS 的优先级要高,如果要排除WINDOWS根目录下的程序,就需要这样做 C:\WINDOWS\*.*
而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。

3.环境变量 = 相应的实际路径 = 注册表键值路径
如 %ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.若两条规则路径等效,那么合成的结果是:从严处理,以最低的权限为准。
如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的” 结果为“C:\Windows\explorer.exe 不允许的

总的来说,就是路径越明显详细,该规则就越优先
gototop
 
«56789101112   10  /  12  页   跳转
页面顶部
Powered by Discuz!NT