详细介绍XP系统组策略与软件控制策略(4)

　　举一个例子：

　　若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只剩下尸体了。

　　甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的机会。

　　这里，我们来看一下NTFS的权限(这里的权限是NTFS权限，与规则无关)。NTFS的所有权限如下：

　　遍历文件夹/运行文件 (遍历文件夹可以不管，主要是“运行文件”，若无此权限则不能启动文件，相当于AD的运行应用程序)

　　允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍历文件夹的权限(仅适用于文件夹)。

　　列出文件夹/读取数据

　　允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容，而不影响您对其设置权限的文件夹是否会列出(仅适用于文件夹)。

　　读取属性

　　允许或拒绝查看文件中数据的能力(仅适用于文件)。

　　读取扩展属性

　　允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。

　　创建文件/写入数据

　　“创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力(仅适用于文件)。

　　创建文件夹/追加数据

　　“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力(仅适用于文件)。

　　写入属性

　　允许或拒绝用户对文件末尾进行更改，而不更改、删除或覆盖现有数据的请求(仅适用于文件)。 即写操作

　　写入扩展属性

　　允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。

　　删除子文件夹和文件

　　允许或拒绝删除子文件夹和文件的能力，即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。

　　删除 (与上面的区别是，这里除了子目录及其文件，还包括了目录本身)

　　允许或拒绝用户删除子文件夹和文件的请求，即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。

　　读取权限(NTFS权限的查看)

　　允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。

　　更改权限(NTFS权限的修改)

　　允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。

　　取得所有权

　　允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。

　　在系统默认的NTFS权限下，基本用户对于windowsprogram files目录只有 遍历文件夹/运行文件 列出文件夹/读取属性 读取扩展属性 读取权限 这四项权限，对于documents and settings目录，仅对其所有的目录有完全控制的权限，其它目录只读?

　　我们的规则里面所说到的基本用户、受限用户，基本上等同于 NTFS 权限里的 USERS 组，但受限用户受到的限制更多，不管NTFS权限如何，其始终受到限制。

　　更多NTFS权限的设置，大家可以查阅NTFS相关的内容。

　　5、如何编写规则

　　关于规则编写，我们要遵循以下几个原则：要方便，不能对自己有过多的限制，这样，即使出现问题也好排队要安全，要考虑到你的系统中毒的来源有哪些，针对其做好防护。

　　基于文件名的病毒规则尽量少用，因为容易出现误阴，而且病毒的文件名随便可以改，我们做的又不是特征库。

　　下面介绍规则的具体编写方式

　　开始 -> 运行 -> gpedit.msc

　　在左边的窗口中依次展开计算机配置-> Windows设置->安全设置->软件限制策略

　　如果你之前没有进行过设置，那么在 软件限制策略 上点右键，选择创建新的策略然后在 其它规则 上右键点击，选择 新路径规则 既可以进行规则的创建了。

　　规则的设置很简单，就五个安全级别，根据你自己的需要设置即可。难点主要是规则的正确性和有效性，这个得靠多多实践来提升了。

　　另外提醒一下，大家在设置规则时，注意不要更改以下4条系统默认规则同时还要考虑它们的影响：

　　%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%路径不受限的

　　%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%*.exe 路径 不受限的

　　%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32*.exe 路径 不受限的

　　%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

　　ProgramFilesDir%路径不受限的

　　相当于规则：

　　%SystemRoot%不受限的整个Windows目录不受限

　　%SystemRoot%*.exe 不受限的 Windows下的exe文件不受限

　　%SystemRoot%System32*.exe 不受限的 System32下的exe文件不受限

　　%ProgramFiles%不受限的整个ProgramFiles目录不受限

　　这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器，会在一至两分钟内生效，不会立即生效，如果长时间不生效，我们可以通过注销，重新登陆来生效，也可以使用命令 gpupdate /force 来强制刷新。

　　组策略我们在生活中可能比较少接触，不过有时候还是需要用到的，多多了解这方面的知识是没有坏处的，大家耐心把整篇教程看完，一定会有你想得到的知识。