Ejemplo de escritura de reglas de política de restricción de software en la Política de grupo de Windows (1)

Para la Política de grupo de Windows, quizás todos estén usando más funciones en "Plantillas administrativas". Para la "estrategia de restricción de software" creo que no muchos amigos lo han usado.

Si la estrategia de restricción de software es buena, creo que se puede comparar con algún software HIPS. Si combina los permisos NTFS y los permisos de registro, puede implementar completamente la configuración de seguridad completa del sistema. Al mismo tiempo, debido a que esta es una función integrada del sistema, se integra perfectamente con el sistema y no ocupa recursos adicionales de CPU y memoria. El fenómeno de la incompatibilidad, ya que se encuentra en la parte inferior del sistema, su capacidad de intercepción no es comparable con otro software. El inconveniente es que su configuración no es flexible e inteligente, y no se lo preguntará al usuario. Echemos un vistazo completo a la estrategia de restricción de software.

Esta serie de artículos se centrará en los siguientes aspectos:

· Descripción general
· Reglas adicionales y niveles de seguridad
· Prioridad de la política de restricción de software
· Asignación de reglas y herencia
· Cómo escribir una regla
· Regla de ejemplo

Hoy presentamos un ejemplo de cómo escribir una regla de política de restricción de software en la Política de grupo de Windows.

Reglas del directorio raíz

Si queremos restringir la ejecución de programas en un directorio, generalmente se crea como:

C: \\ Archivos de programa \\ *. * No permitido < Br>

Esta regla parece no ser un problema, pero en casos especiales puede causar lesiones accidentales, ya que el comodín puede coincidir con el archivo o coincidir con la carpeta. Si hay un directorio como SiteMapBuilder.NET bajo este directorio
(como C: \\ Archivos de programa \\ SiteMapBuilder.NET \\ Site Map Builder.NET), también puede coincidir con las reglas, lo que puede resultar en una lesión accidental. La solución es gobernar las reglas. Modificado:

C: \\ Archivos de programa no permitidos
C: \\ Archivos de programa \\ * \\ Unrestricted

Esto elimina los subdirectorios y por lo tanto no causa lesiones accidentales.

Reglas para la seguridad de Internet

A menudo nos envenenamos cuando navegamos por la Web. Cuando navegamos por la Web, el virus se descargará automáticamente en la carpeta de caché de la web a través de la vulnerabilidad del navegador. Luego, copie su propio
en una ubicación sensible al sistema, como los archivos de programa de Windows System32, etc., y luego ejecute. Así que simplemente limitar la carpeta de caché del navegador no es suficiente. Una precaución más práctica es evitar que IE cree archivos en ubicaciones sensibles. Sobre esta base, podemos crear las siguientes reglas:

% Archivos de programa% \\ Internet Explorer \\ iexplore.exe Usuario básico
% UserProfile% \\ Configuración local \\ Archivos temporales de Internet \\ ** No permitido
% UserProfile% \\ Configuración local \\ Archivos temporales de Internet \\ * No permitido
% UserProfile% \\ Configuración local \\ Archivos temporales de Internet \\ No permitido
% UserProfile% \\ Configuración local \\ Archivos temporales de Internet no permitidos

Si está usando un navegador diferente, configúrelo como "Usuario básico" también.

Reglas del disco de U

Más prácticas:

Letra de unidad U: \\ * Se puede restringir la desconfianza no permitida

Establezca un nivel de seguridad más alto, y no hay límite para el funcionamiento normal de la unidad flash USB.

Política de restricción de CMD

% Comspec% Usuario básico

Se debe tener en cuenta que el sistema maneja los archivos de CMD y de proceso por lotes por separado, incluso si no se permite CMD. , todavía puede ejecutar el procesamiento por lotes

Para algunos sistemas, rara vez lo usamos, pero existen restricciones para los programas que tienen amenazas potenciales. Por ejemplo, ftp.exe, tftp.exe, telnet.exe, net.exe, net1.exe, debug.exe, at.exe, arp.exe, wscript.exe, cscript.exe, etc., se pueden configurar para que estén sujetos a Limitado o directamente establecido en no permitido.

Los procesos del sistema que prohíben el camuflaje

svchost.exe no está permitido
C: \\ Windows \\ System32 \\ Svchost.exe sin restricciones

Si está interesado Con un espíritu, también puede hacer una lista blanca de todos los procesos del sistema, por lo que la seguridad puede ser mayor.

Otras reglas son gratis para jugar.

Copia de seguridad de las políticas

Por último, mencione la copia de seguridad de la política. No puedo hacer esto tan duro para terminar de nuevo el siguiente sistema de rehacer, eh, eh, la copia de seguridad es muy simple, podemos realizar una copia de seguridad mediante la exportación del registro (no se recomienda, no se presentará).
También puede hacer una copia de seguridad haciendo una copia de seguridad directamente del archivo, abra C: \\ WINDOWS \\ system32 \\ GroupPolicy \\ Machine, hay un archivo Registry.pol en este directorio, sí, lo es. Realice una copia de seguridad, rehaga el sistema y COPY directamente, también puede compartir su estrategia con más personas. Una cosa a tener en cuenta aquí es que si la carpeta de la Máquina no está disponible, no debe crearse manualmente. De lo contrario, se puede utilizar. Puede usar el método de creación de una política que introdujimos anteriormente. Después de crearla, se generará esta carpeta o puede hacer una copia de seguridad. Copia de seguridad de esta carpeta directamente. No recuerdes construirlo manualmente. Si no desea utilizar estas estrategias, es fácil cambiar el nombre o eliminar el archivo Registry.pol.