这里,我们再顺便介绍一下环境变量和通配符。
在路径规则里,允许使用诸如“%windir%”“%userprofile%”之类的环境变量。一般情况下,我们的系统是在C盘,但也有些人基于其它一些原因如要安装双系统等,将系统安装在其它比如D盘下面,这时我们平常用到的一些路径比如“C:windows”就会无效,为了防止这种情况,我们就可以使用系统变量,像“%windir%”,系统会自动为我们匹配其目录。我们在创建规则的时候也可以使用这些环境变量,以适用于不同的系统。下面列出的是一些常使用的环境变量,更多的环境变量你可以运行 CMD 然后运行 SET 命令进行查看。
ALLUSERSPROFILE = C:Documents and SettingsAll Users
APPDATA = C:Documents and SettingsAdministratorApplication Data
CommonProgramFiles = C:Program FilesCommon Files
ComSpec = C:WINDOWSsystem32cmd.exe
HOMEDRIVE = C:
HOMEPATH = Documents and SettingsAdministrator
ProgramFiles = C:Program Files
SystemDrive = C:
SystemRoot = C:WINDOWS
TEMP = C:Documents and Settings当前用户名Local SettingsTemp
TMP = C:WindowsTemp
USERPROFILE = C:Documents and SettingsAdministrator
WINDIR = C:WINDOWS
同样,路径规则也支持使用通配符,对DOS熟悉的筒子应该知道这个东西,就是“?”和“*”。
? :包括1个或0个字符* :包括任意个字符(包括0个),但不包括斜杠
对于通配符,其实网上很多教程上的做法是有误的。
例如有一条:%USERPROFILE%Local Settings***.* 不允许的这条规则本意是 阻止所有被指派的文件从 Local Settings 目录(包括其子目录)启动,但是经过验证发现,“**”和“*”是完全等效的,并且“*”不包括“”。那么这条规则的实际意思就是“阻止所有被指派的文件从 Local Settings 的一级目录运行”,不包括 Local Settings 目录本身,也不包括二级及其下的所有子目录。我们来看看 Local Settings 目录下的一级目录有哪些呢?默认情况下是:Temp、Temporary Internet Files、Application Data、History,那么这条规则里就包括有 禁止TEMP目录下的所有被指派的文件运行 的意思,其根本结果就是会造成很多软件无法安装。因为有些软件在安装时会先行解压到TEMP目录。
影响最大(简直可以列入本年度十大最错误的做法中了)的一条:?:autorun.inf “不允许的”
相信对 软件限制策略 有研究的筒子都见过这条规则吧,这条规则的本意是阻止所有盘根目录下的 autorun.inf 文件运行,以阻止U盘病毒的运行。它也确实达到了它的目的, autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答案是否定的,病毒还是会被正常运行。
为什么呢?我们来了解一下系统是怎么处理 autorun.inf 文件的。
首先,svchost.exe 读取 autorun.inf,然后 explorer.exe 读取 autorun.inf,再然后 explorer.exe 将 autorun.inf 里的相关内容写入注册表中 MountPoints2 这个键值。只要 explorer.exe 成功写入注册表,那么这个 autorun.inf 文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。
那么我们的软件限制策略中,将 autorun.inf 设为“不允许的”这一做法在这个过程中起到什么作用?
很遗憾地告诉你:没有任何作用。
真要说它起到的作用,仅仅是阻止你打开 autorun.inf 这个文件而已。所以,对于 autorun.inf 的所有策略,都是无效的。
真要想防止U盘病毒的运行,策略的设置只有一种方法:?:*.* 不允许 意思就是阻止所有盘下面的被指派文件运行。当然,如果你只想阻止U盘下的文件运行的话,那就将规则里的“?”改为具体的盘符即可。当然还有其它很多办法来防止U盘病毒的,这个我会在文后附上其它解决方法的,欢迎筒子们进行验证。让我们去伪存真,找到最好的解决办法吧:)
4、规则的权限分配及继承
这里的讲解的一个前提是:假设你的用户类型是管理员。
在没有软件限制策略的情况下,如果程序a启动程序b,那么a是b的父进程,b继承a的权限
现在把a设为基本用户,b不做限制(把b设为不受限或者不对b设置规则效果是一样的)然后由a启动b,那么b的权限继承于a,也是基本用户,即:
a(基本用户)-> b(不受限的)= b(基本用户)
若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即
a(不受限的)-> b(基本用户)= b(基本用户)
可以看到,一个程序所能获得的最终权限取决于:父进程权限 和 规则限定的权限 的最低等级,也就是我们所说的最低权限原则
