防範移動儲存裝置攜毒
將系統中可分配給移動裝置的碟符通通進行限制,例如 g:、h:、i:、j: 等。
使用規則:
?:\*.*
?:\autorun.inf 不允許的
注:使用時請將問號替換為相應的移動裝置碟符
根據需要,限制為:受限、不允許、不信任 即可。
其中,不允許 的安全度更高一些,並且不會對移動儲存裝置的正常操作有什麼影響。
根據需要準確限制目錄位置
例如我們需要限制 c: 盤下的程式資料夾下的程式執行,可能會建立如下規則:
c:\program files\*.* 不允許
在這條規則中,使用萬用字元來進行匹配,表面看來,這樣的規則是沒有任何問題的,但在某些特殊情況下,使用萬用字元則可能由於其不確定性引起誤傷。
需要注意的是,萬用字元不僅可以匹配到檔案,也可以匹配到資料夾。
例如,如果在此目錄下,不少使用者都存在這 ****.net 或 msxml *.* 這樣的目錄,如此的資料夾名稱,同樣可以和前文中編輯的規則相匹配,因此,在編輯軟體限制策略時,同樣要根據需要準確的限制目錄位置。
例如前文中的示例,只要將其修改為如下形式,就能很好的避免誤傷的情況發生。
c:\program files 不允許的
c:\program files\*\ 不受限的
ps:至此,本系列就完結了,其中參考了部分網路及期刊對於軟體限制策略應用例項的文章,通通感謝の。歡迎各位繼續關注本部落格其他文章!謝謝!
組策略管理 軟體限制策略(3)
本文將接著上篇文章組策略管理 軟體限制策略 2 繼續講解軟體限制策略。規則的許可權分配及繼承 作業系統對軟體執行進行層次劃分時,存在 子程序 父程序 的概念,若 b 程式是由 a 程式啟動執行的,則稱 a 為 b 的父程序,b 為 a 的子程序。在沒有軟體限制策略的情況下,如果程式 b 是由程式 a...
組策略中的軟體限制策略
軟體限制策略可以控制某個路路下的可執行檔案 包括指令碼 是否可以執行。相關的配置檔案 gpedit.msc在啟動和關閉的時候會讀取以下檔案 c windows system32 grouppolicy machine registry.pol 該檔案中儲存且只儲存軟體限制策略的配置內容。這個檔案基本...
利用組策略部署軟體
步驟過程 預備 msi mst zap檔案 利用工具箱下的轉換工具wininstall le將install.exe setup.exel轉換為.zap檔案 不可自動修復,只能重灌 布置 發布 指派 設定組策略,啟動 登入 啟用 維護 公升級 重新布置 刪除 啟動 登入時自動刪除 步驟 準備好win...