想要更好的利用软件限制策略. 就必需要要用到下面这个注册表内容.

注册表如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"Levels"=dword:04130000

这里主要用的是"基本用户" . 这一安全级别.

以上注册表内容, 转卡饭. 

============================================================================

以下内容为原创!      本人最先将"基本用户"级别用于"*.exe" . 达到全局保护模式. 

如需转载, 请注明出处!

============================================================================


以往的软件策略, 只能限制程序执行, 并不能限制"创建". 如果使用"基本用户"的话, 那么, 是可以

实现阻止"创建"的.

很多人的规则, 都对SYSTEM32 这个目录的大把EXE 文件进行了排除. 但,本人经过测试.

发现,这个排除是多余的.  与其排除SYSTEM32 这个目录中的文件,还不如排除你常用的

应用程序, 比如: QQ. 迅雷.  我为什么这样说? 原因很简单, 因为,本人的规则不是防执行.

是防写.

常用规则还有: *.exe, *.com,*.scr, *.pif, *.bat . 一般用户, 可能会把 *.exe 排除在外.

但,现在有了"基本用户" 这一安全级别后, *.exe 的设置将不在是"不允许" 而是"基本用户"

这样,设置的好处有哪些?

很简单, 不管什么程序, 只要是没排除的程序, 全都是以"基本用户"的级别来运行.

那么, 这些文件, 在系统盘是没创建权限的. 也就是, 病毒是无法成功创建文件与运行的.

前面使用的*.exe 当然也包括了系统盘的EXE 文件.


那么, 还要加添加排除, 规则如下:

c:\windows\notepad.exe  允许.

c:\windows\regedit.exe 允许.

等等. 排完后, 最后再来个限制.

**\windows\*.*    不允许的.

SYSTEM32 直接使用如下规则:

**\windows\system32\*.*  允许

直接全部排除掉. 由于病毒是以"基本用户"的权限来运行的. 所以不用担心, 它会搞你.

再添加如下规则:

QQ\*.*    允许.

迅雷\*.* 允许.

等等. 把常用可执行程序全部添加进来. 这样,是不影响运行的.

有些绿色软件, 如果不能正常运行. 请将 temp 目录给于, 当前管理员"写,.修改" 权限.

当然, 这只是利用了"基本用户" 的特性来做的.

但, 默认情况下, 这些以"基本用户" 虽然不能在系统盘创建文件.

但是可以在某些用户文件夹 有创建权限.  以下是在"基本用户" 安全级别下,还有创建权限的目录

:C:\Documents and Settings\Administrator\PrintHood

C:\Documents and Settings\Administrator\SendTo

C:\Documents and Settings\Administrator\Favorites

C:\Documents and Settings\Administrator\Favorites\链接

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Administrator\NetHood

C:\Documents and Settings\Administrator\「开始」菜单

C:\Documents and Settings\Administrator\「开始」菜单\程序

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

为什么在基本用户下还有创建权限. 原因很简单, 是因为, 这些目录,默认对于当前管理员,都有写与修改

权限. 而其它目录都是没有的. 所以. 只要去掉,当前管理员在这些目录中的写与修改权限就行了.

经过, 如此,如此, 这般,这般的设置后, 是不是觉得安全多了!!!


特此献出我部分通用的软件策略. 其它部分为一些程序排除. 这个根据自身情况来设定!



**\**\**\**\Application Data\*

**\**\**\**\History\*.*

**\**\**\**\Temp\*          基本用户

**\**\**\**\Temporary Internet Files\*

病毒并不是在

**\**\**\**\Temporary Internet Files\**\*.*  **\**\**\**\Temporary Internet Files\*.* 这两个地方运行.

而是在**\**\**\**\Temporary Internet Files\**\**\*.* 这个地方运行.

**\**\**\Application Data\*

**\**\**\Cookies\*.*

**\**\**\Favorites\*

**\**\**\Local Settings\*.*

**\**\**\Templates\*.*

以上这些,其实是可以不要的! 因为,*.exe 就已经达到全局模式了, 当然,如果设置成变量形式,

最好设成"不受限的" 否则会出错的. 但如果设成**\ 这种形式, 设成"不允许的" 也不会出错.

这些问题,没深研过,所以我也不清楚为什么.


常规思路: **\temp\*.* 这个只是代表 C:\  D:\ E: F:  等等盘符下的TEMP目录.

**\WINDOWS\*.*



*.bat

*.com

*.scr

*.pif

*.vbe

*.vbs

*.CMD

?:\*.*    这个地方, 不能设为"不允许" 经测试如果中U盘病毒,这样就打不开U盘. 要设置为 "基本用户"

或者不要这个.

以上级别为: 不允许. 

C:\Program Files\Internet Explorer\iexplore.exe    级别为: 基本用户


补充: 就算这样设置后, 病毒还是有权限调用CMD,WSCRIPT. CACLS ATTRIB 等等程序.

做法就是, 去掉这些程序的USERS 组权限(这里,因为这些程序默认就没有当前管理员的权限,只有管理

员组权限. 所以只要去掉USERS组就OK了.). 这样,病毒就完全没权限访问这些文件了.

其它常用,应用程序添加到信任就行了. 照着下图设置就完了. 不需要做大批量排除,

这个规则40KB. 史上最小的!! 去掉了所有的不必要的部分!! 只保留精华部分!

本文中已将*.EXE 设为基本用户,因此,不需要将IE 再设为基本用户了. 也不需要对某些敏感的目录进行

限制了. 那些都不需要了, 只要本人下图中的规则就行了. 其它的全是多余的!

此图就是本人现在所用的百毒不侵的规则了(我不需要再添加任何一个规则了,因为没的必要了 *.exe

本身就是最强型的)．　剩下的部分，就是根椐你们自身的情况，进行一些

常用程序的排除．　排除完了，　再将其它盘的USERS,和当前管理员账号删了(注:管理员组不能删.

一删你自己就无法访问了.)．这样你的电脑就属于ＢＴ型了！！ 本人一般只追求一个更安全的

上网环境,所以对于软件策略的其它方面,本人也并不是太清楚. 因为,我的目的很简单. 就是二字:安全!