使用群组原则（组策略）中的软体限制原则（软件限制略策），保护上网安全及防范随身 碟病毒：（windows 2000没有软体限制原则及windows xp home没有群组原则） 一、虽想写"引用"，不如说是抄 抄自rappar『关於软体限制策略以及许可权的研究』的部分内容（内容使用简转繁，用语 有些不同） 首先，我们打开组策略中一个隐藏开关，开启"基本用户"和"受限的"许可权类型。 具体做法：打开注册表编辑器，展开至 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 新建一个DOWRD，命名为Levels，其值可以为 0x10000 //增加受限的 0x20000 //增加基本用户 0x30000 //增加受限的，基本用户 0x31000 //增加受限的，基本用户，不信任的 （不信任和不允许差不了多少） 建议设成0x30000或0x31000。 ．．．．．．．．．．．．．．． 推荐的设置： 1.首先，流览器是一定要加入限制的，假设你使用流览器是IE，那麽建立路径规则 %Programfiles%\internet explorer\iexplore.exe "基本用户" 这样足以防绝大部分的网马了。如果使用的是其他的流览器，也为其设置相应的 规则。 2.加入U盘规则，例如 ?:\*.* 、?:\* "不允许的"－＞U盘就是随身碟 采取哪种形式可以自行决定，也可以把第一个 ? 改成你的U盘的实际盘符 3.防范危险的双尾码格式的程式启动，建立如下规则 *.jpg.exe、*.bmp.exe、*.xls*.exe、*.ppt*.exe、*.rar.exe、*.doc*.exe、 *.mdb.exe、*.txt.exe、*.gif.exe、*.htm.exe、*.rm*.exe、*.wm?.exe、*.mp3.exe 等等，全部设为"不允许的" 全文网址：http://bbs.kafan.cn/viewthread.php?tid=203063&extra=page%3D1 二、再抄一次，设定IE为基本使用者，更明确的具体做法： http://sysadm.ntpu.edu.tw/safer.html。 按开始->执行->secpol.msc，也可以开启本机安全性设定。 三、又抄一次，有关数值资料： http://msdn.microsoft.com/en-us/library/ms722425(VS.85).aspx SAFER_LEVELID_CONSTRAINED（0x10000）：受限制的 Software cannot access certain resources, such as cryptographic keys and credentials, regardless of the user rights of the user. 软体无法存取某些资源，例如密码编译金钥和认证，不管使用者的存取权限为何。 ----- SAFER_LEVELID_DISALLOWED（0x00000）：不允许的 Software will not run, regardless of the user rights of the user. 不管使用者的存取权限为何，软体都将不执行 ----- SAFER_LEVELID_FULLYTRUSTED（0x40000）：没有限制 Software user rights are determined by the user rights of the user. 软体存取权限由使用者存取权限决定。 ----- SAFER_LEVELID_NORMALUSER（0x20000）：基本使用者 Allows programs to execute as a user that does not have Administrator or Power User user rights. Software can access resources accessible by normal users. 允许没有 Administrator 或 Power User 存取权限的使用者执行应用程式，但仍能存取 一般使用者能存取的资源。 ----- SAFER_LEVELID_UNTRUSTED（0x01000）：未受信任的 Allows programs to execute with access only to resources granted to open well-known groups, blocking access to Administrator and Power User privileges and personally granted rights. 允许程式只能在资源得到授权时，才能执行开启知名的群组、防止存取 Administrator 和 Power User 的特殊权限，并依个人授与权限。 ───────────────────────────────── 四、终於没有抄了： 1.有关防范随身碟病毒部分，有人称可100％防，但个人所知似非如此。 2.rappar另有一篇大作，组策略之软体限制策略--完全教程与规则示例（规则已发布 ），有兴趣的，请自已找吧。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 59.112.20.6