软件限制策略

01路径不允许的%USERPROFILE%\桌面\*.*02路径不允许的%USERPROFILE%\LocalSettings\Temp\*.*03路径不允许的%USERPROFILE%\LocalSettings\TemporaryInternetFiles\*.*04路径不允许的*.BAT05路径不允许的*.SCR06路径不允许的C:\*.*07路径不允许的C:\ProgramFiles\*.*08路径不允许的C:\ProgramFiles\CommonFiles\*.*09路径不允许的C:\WINDOWS\Temp\*.*10路径不允许的C:\WINDOWS\Config\*.*11路径不允许的C:\WINDOWS\system32\*.LOG12路径不允许的C:\WINDOWS\system32\drivers\*.*13路径不允许的C:\WINDOWS\DownloadedProgramFiles\*.*14路径不允许的C:\ProgramFiles\InternetExplorer\*.*15散列不受限的HMMAPI.DLL(6.0.3790.1830)16散列不受限的IEDW.EXE(5.2.3790.2732)17散列不受限的IEXPLORE.EXE(6.0.3790.1830)18路径不允许的CSRSS.*19散列不受限的CSRSS.EXE(5.2.3790.0)20路径不允许的LSASS.*21散列不受限的LSASS.EXE(5.2.3790.0)22路径不允许的RUND??32.*23散列不受限的RUNDLL32.EXE(5.2.3790.1830)24路径不允许的SMSS.*25散列不受限的SMSS.EXE(5.2.3790.1830)26路径不允许的SVCH?ST.*27散列不受限的SVCHOST.EXE(5.2.3790.1830)28路径不允许的WIN??G?N.*用户文件目录限制进入本地安全策略的路径：1:开始-设置-控制面板-管理工具-本地安全策略2:直接运行secpol.msc/s就能打开管理工具。即时刷新命令gpupdate.exe/wait:-1注意：红色字体的路径项在操作设置时请注意，有可能对以后的安装软件等操作有影响软件限制策略IE限制策略路径1散列3SYSTEM32目录下容易被木马伪装的EXE路径20散列2029散列不受限的WINLOGON.EXE(5.2.3790.1830)30散列不受限的alg.exe31路径不允许的a?g.*32散列不受限的cmd.exe33路径不允许的cmd.*34散列不受限的conime.exe35路径不允许的c?nime.*36散列不受限的dllhost.exe37路径不允许的d??h?st.*38散列不受限的dxdiag.exe39路径不允许的dxdiag.*40散列不受限的notepad.exe41路径不允许的n?tepad.*42散列不受限的progman.exe43路径不允许的pr?gman.*44散列不受限的regedt32.exe45路径不允许的regedt32.*46散列不受限的runas.exe47路径不允许的runas.*48散列不受限的services.exe49路径不允许的services.*50散列不受限的sndvol32.exe51路径不允许的sndv??32.*52散列不受限的spoolsv.exe53路径不允许的sp???sv.*54散列不受限的taskmgr.exe55路径不允许的taskmgr.*56散列不受限的user.exe57路径不允许的user.*58路径不允许的*.COM59散列不受限的chcp.com60散列不受限的command.com61散列不受限的diskcomp.com62散列不受限的diskcopy.com63散列不受限的edit.com64散列不受限的format.comSYSTEM32目录下容易被木马伪装的EXE路径20散列20windows/system32下面的后缀为COM的14个文件65散列不受限的graftabl.com66散列不受限的graphics.com67散列不受限的kb16.com68散列不受限的loadfix.com69散列不受限的mode.com70散列不受限的more.com71散列不受限的tree.com72散列不受限的win.com73路径不允许的C:\WINDOWS\*.exe74路径不允许的EXP??RER.*75散列不受限的EXPLORER.EXE76散列不受限的hh.exe77散列不受限的regedit.exe78散列不受限的notepad.exe79散列不受限的taskman.exe80散列不受限的twunk_16.exe81散列不受限的twunk_32.exe82散列不受限的winhelp.exe83散列不受限的winhlp32.exewindows里做9个必要的散列windows/system32下面的后缀为COM的14个文件禁止当前用户桌面上所有文件的运行禁止当前用户临时文件目录下,不含子目录,所有文件的运行禁止当前用户临时文件目录下,不含子目录,所有文件的运行禁止任何路径下的批处理文件运行禁止任何路径下的.scr（屏幕保护）文件运行禁止C:\根目录下所有文件的运行此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行此级目录下不应该有后缀名为LOG的文件此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行此目录下只有以下3个文件。禁止IE目录下,不含子目录,所有文件的运行所在位置:C:\ProgramFiles\InternetExplorer,赋予HMMAPI.DLL可运行权限,此文件为ie运行时需调用的动态链接库文件所在位置:C:\ProgramFiles\InternetExplorer,赋予IEDW.EXE可运行权限,这个是微软新加的IE崩溃检测程序，当IE运行中崩溃时，插件以及崩溃管理系统将分析崩溃时都运行了那些插件，并提交给用户。所在位置:C:\ProgramFiles\InternetExplorer,赋予IEXPLORE.EXE可运行权限,这是MicrosoftInternetExplorer的主程序。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。阻止任何目录下的伪装成系统文件csrss.exe程序的运行所在位置:C:\WINDOWS\system32,csrss.exe是系统的正常进程。是核心部分，客户端服务子系统，用以控制图形相关子系统。系统中只有一个CSRSS.EXE进程，若以上系统中出现两个(其中一个位于Windows文件夹中)，则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。阻止任何目录下的伪装成系统文件LSASS.EXE程序的运行所在位置:C:\WINDOWS\system32,lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。阻止任何目录下的伪装成系统文件RUNDLL32.EXE程序的运行所在位置:C:\WINDOWS\system32,Rundll32为了需要调用DLLs的程序阻止任何目录下的伪装成系统文件SMSS.EXE程序的运行所在位置:C:\WINDOWS\system32,SMSS.EXE进程为会话管理子系统用以初始化系统变量，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应。注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是%WINDIR%\SMSS.EXE，那就是中了TrojanClicker.Nogard.a病毒，阻止任何目录下的伪装成系统文件SVCHOST.EXE程序的运行所在位置:C:\WINDOWS\system32,Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。在XP中一般有4个以上的Svchost.exe服务进程,Svchost.exe是系统的核心进程，不是病毒进程只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)进入本地安全策略的路径：1:开始-设置-控制面板-管理工具-本地安全策略2:直接运行secpol.msc/s就能打开管理工具。即时刷新命令gpupdate.exe/wait:-1注意：红色字体的路径项在操作设置时请注意，有可能对以后的安装软件等操作有影响软件限制策略所在位置:C:\WINDOWS\system32,WinLogon.exe是Windows NT登陆管理器。它用于处理系统的登陆和登陆过程。该进程非常重要。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除所在位置:C:\WINDOWS\system32,alg.exe用于处理Windows网络连接共享和网络连接防火墙。这个程序对系统正常运行非常重要(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)所在位置:C:\WINDOWS\system32,cmd.exe是一个32位的命令行程序，这不是纯粹的系统程序，如果终止它，可能会导致不可知的问题(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)所在位置:C:\WINDOWS\system32,(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)所在位置:C:\WINDOWS\system32,dllhost.exe用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)所在位置:C:\WINDOWS\system32,DirectX检测程序，运行检测本机硬件加速情况(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)所在位置:C:\WINDOWS\system32,notepad.exe是Windows自带的记事本程序(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)所在位置:C:\WINDOWS\system32,progman.exe是从Windows3.0延续下来的“程序管理器”，相当于现在的Explorer.exe。(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)所在位置:C