组策略之软件限制策略—完全教程样稿.doc

组策略工具是系统自带一款强大管理软件，却往往被人所忽略，我现在介绍一下它其它用户用你装QQ，游戏啊之类，一个小小功效，让它来帮我们严禁指定程序运行。
比如你不想让设置适当，还能够预防病毒呢。
点击“开始”→“运行” 后回车，就打开了“组策略”
点选左边“windows设置”→“安全设置”→“软件限制策略”→“其它规则” 然后在右边窗口中右击，选择“新路径规则”
[attachment=30628]
[attachment=30629]
把要限制软件地址添加进来即可。
知道了原理,破解网吧限制你也就会了吧?在网吧电脑上, 只要打开组策略,把里面限制路径晴空就能够无所限制,任你访问了.
禁用指定文件类型
-08-04 信息起源：瑞安无偿信息网
视力保护色： 【大 中 小】【打印本页】【关闭窗口】
在日常工作中，系统中很多文件全部可能给系统带来威胁，比如SHS、MSI、BAT、CMD、COM、EXE等程序文件类型。其实我们完全能够利用系统组策略功效，来禁用这些危险文件类型。
　　这么操作不仅能够确保系统安全，而且不会影响系统正常运行。这里假设我们要禁用批处理格式BAT文件，不让系统运行BAT格式文件，具体策略组设置方法以下：
　　第一步：首先点击开始菜单中“运行”命令，输入“”打开组策略。接着点击“计算机配置→Windows设置→安全设置→软件限制策略”，然后在弹出右键菜单上选择“创建软件限制策略”，即可生成“安全等级”、“其它规则”、“强制”、“指派文件类型”、“受信任出版商”等选项。
　　第二步：双击“指派文件类型”选项，在弹出“指派文件类型属性”窗口，将“指定文件类型”列表中将其它文件全部删除，只留下BAT文件类型。假如还有其它文件类型要禁用，能够再次打开这个窗口，在
“文件扩展名”空白栏里输入要禁用文件类型，将它添加上去。
　　第三步：双击“安全等级”中“不许可”选项，在弹出“不许可属性”窗口中，点击“设为默认值”按钮。然后注销系统或重新开启系统，此策略即可生效。以后再运行BAT文件时，系统就会出现提醒“因为一个软件限制策略阻止，Windows无法打开此程序”。
　　为了避免“软件限制策略”将系统管理员也限制，我们能够双击“强制”选项，在弹出窗口选择“除当地管理员以外全部用户”。假如用是文件类型限制策略，此选项能够确保管理员有权运行被限制文件类型，而其它用户无权运行。
　　第四步：假如用户要取消此软件限制策略话，双击“安全等级”中“不受限”选项，在弹出“不受限属性”窗口中，点击“设为默认值”按钮即可。
　　其实用户鼠标右键点击“软件限制策略→其它规则”，就会看到它能够建立新证书规则、新散列规则、新Internet区域规则、新路径规则等策略，利用这些规则我们能够让系统愈加安全。
比如利用“新路径规则”能够为电子邮件程序用来运行附件文件夹创建路径规则，并将安全等级设置为“不许可”，以预防电子邮件病毒。
理论部分：



（配合访问控制，如NTFS权限），软件限制策略精髓在于权限，布署策略同时，往往也需要学会设置权限
规则部分：
（也就是怎样写规则）

其中，1、2、3点是基础，大家写出无效或错误规则出来全部是因为对这些内容没有搞清楚；第4点可能有
点难，但假如想让策略有愈加好防护效果而且不影响平时正常使用话，这点很关键。
假如使用规则后发觉有软件工作不正常，请参考这部分内容，注意调整NTFS权限
理论部分
软件限制策略包含证书规则、散列规则、Internet 区域规则和路径规则。我们关键用到是散列规则和路径规则，其中灵活性最好就是路径规则了，所以通常我们谈到策略规则，若没有尤其说明，则直接指路径规则。
或有些人问：为何不用散列规则？散列规则能够防病毒替换白名单中程序，安全性不是愈加好么？
一是因为散列规则不能通用，二是即使用了也意义不大 —— 防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了
、通配符和优先级
相关环境变量（假定系统盘为 C盘）
%USERPROFILE%  表示 C:\Documents and Settings\目前用户名
%HOMEPATH%