Windows system >> Windowsの知識 > >> Windows XPシステムチュートリアル >> XPシステムチュートリアルについて >> Windowsグループポリシーでソフトウェア制限ポリシー規則を作成する例（1）

Windowsグループポリシーでソフトウェア制限ポリシー規則を作成する例（1）

Windowsグループポリシーの場合、おそらく誰もが「管理用テンプレート」の機能をもっと使用しています。「ソフトウェア制限戦略」については、それを使ったことのある友人はそれほど多くないと思います。

ソフトウェア制限戦略が適切であれば、HIPSソフトウェアと比較できると思います。 NTFSアクセス許可とレジストリアクセス許可を組み合わせると、システムの包括的なセキュリティ構成を完全に実装できますが、同時にこれはシステムの組み込み機能であるため、システムとシームレスに統合され、追加のCPUおよびメモリリソースを占有しません。互換性のない現象は、システムの最下部にあるため、その傍受機能は他のソフトウェアには匹敵しませんが、欠点はその設定が柔軟でインテリジェントではなく、ユーザーに尋ねないことです。ソフトウェア制限戦略を包括的に見てみましょう。この一連の記事では、以下の項目について説明します。

概要概要追加のセキュリティレベルセキュリティ制限ポリシーの優先順位・規則の割り当てと継承
・規則の書き方
・規則の例

今日、Windowsのグループポリシーでソフトウェア制限のポリシー規則の例を紹介します。

ルートディレクトリの規則

ディレクトリ内でのプログラムの実行を制限したい場合は、通常次のようにして作成されます。

C：\\ Program Files \\ *。*許可されていません< Br>

このような規則は問題にならないようですが、特別な場合にはワイルドカードがファイルと一致したりフォルダと一致したりすることがあるので、偶発的な怪我を引き起こす可能性があります。このディレクトリ
の下にSiteMapBuilder.NETなどのディレクトリ（C：¥Program Files¥SiteMapBuilder.NET¥Site Map Builder.NETなど）がある場合は、それも規則に一致する可能性があるため、偶発的な怪我を招く可能性があります。変更：

C：\\ Program Files使用不可
C：\\ Program Files \\ * \\ Unrestricted

これにより、サブディレクトリが削除されるため、不慮の怪我をすることはありません。

インターネットセキュリティのルール

Webを閲覧すると、ウイルスが自動的にブラウザの脆弱性を介してWebのキャッシュフォルダにダウンロードされます。次に、Windowsのsystem32プログラムファイルなど、システムの重要な場所に自分の
をコピーしてから実行します。そのため、単にブラウザのキャッシュフォルダを制限するだけでは不十分です。より実用的な防御策は、IEが機密性の高い場所にファイルを作成しないようにすることです。これに基づいて、次のルールを作成できます。

％ProgramFiles％\\ Internet Explorer \\ iexplore.exe基本ユーザー
％UserProfile％ \\ローカル設定\\インターネット一時ファイル\\ **許可されていません
％UserProfile％\\ローカル設定\\インターネット一時ファイル\\ *許可されていません
％UserProfile％\\ローカル設定\\インターネット一時ファイル\\許可されていません
％UserProfile％\\ローカル設定\\インターネット一時ファイル
許可されていない

別のブラウザを使用している場合は、それも "基本ユーザー"に設定してください。

Uディスクの規則

より実用的な方法：

Uドライブ名：\\ *許可されていない不信を制限することができます

より高いセキュリティレベルに設定すると、USBフラッシュドライブの通常の動作に制限はありません。

CMD制限ポリシー

％Comspec％Basic User

CMDが許可されていない場合でも、システムはCMDファイルとバッチファイルを別々に処理します。まだバッチ処理を実行することができます。

いくつかのシステムではめったに使用しませんが、プログラムの潜在的な脅威に対する制限があります。たとえば、ftp.exe、tftp.exe、telnet.exe、net.exe、net1.exe、debug.exe、at.exe、arp.exe、wscript.exe、cscript.exeなどを対象に設定できます。制限されているか、直接許可されていません。

迷彩を禁止するシステムプロセス

svchost.exeは許可されていません
C：\\ Windows \\ System32 \\ Svchost.exe制限なし

興味がある場合精神を持っていれば、システムのすべてのプロセスのホワイトリストを作成することもできるので、セキュリティはさらに高くなる可能性があります。

他のルールは自由に使えます。

ポリシーのバックアップ

最後に、ポリシーのバックアップについて説明します。次のREDOシステムを再び完了するのに難しいことはできません。バックアップは非常に簡単です。レジストリをエクスポートすることでバックアップできます（推奨されません、導入されません）。
C：\\ WINDOWS \\ system32 \\ GroupPolicy \\ Machineを開いて直接ファイルをバックアップしてバックアップすることもできます。このディレクトリにRegistry.polファイルがあります、そうです。それをバックアップし、システムをやり直して直接コピーするあなたの戦略をより多くの人々と共有することもできます。ここで注意しなければならないのは、Machineフォルダが利用できない場合は手動で作成してはいけないということですが、それ以外の場合はそれを使用することができます。このフォルダを直接バックアップしてください。手動で作成するのを忘れないでください。これらの方法を使用したくない場合は、Registry.polファイルの名前を変更するか削除するのが簡単です。