标题: [已结]用批处理创建组策略软件限制的散列规则 [打印本页]

---

作者: 87373066     时间: 2009-1-10 23:39    标题: [已结]用批处理创建组策略软件限制的散列规则

在论坛和GOOGL都找不到相关的内容,麻烦各位指点下.
在C盘下有几个程序,我想通过组策略的软件限制策略中的散列规则来禁止它们运行.因新建规则涉及到这几个文件的选取问题,不知道用批处理能不能实现新建这几个程序的散列规则.

[ Last edited by HAT on 2009-1-13 at 23:33 ]

---

作者: dato     时间: 2009-1-11 01:11
搜索一下windows安全指南吧,组策略有个叫secedit通过刷新策略模板来更新系统策略.可惜至今不知道如何生成策略模板.

现在我们采用symantec sep也不错

---

作者: yishanju     时间: 2009-1-12 01:33
这也我想要解决问题之一，顶一下

---

作者: exzzz     时间: 2009-1-12 10:09
我用过两种办法来禁止指定程序运行，并非散列规则。方法2可以参考一下，一般情况下没有提示的话，多数人是不知道怎么回事的。。。

方法一：组策略（可指定运行或指定禁止运行）
组策略中的禁用程序功能 运行“gpedit.msc”命令打开组策略控制台，在里面展开“用户配置-管理模板-系统”，
右侧 “只运行许可的Windows应用程序” 以及 “不要运行指定的windows程序” 策略可以帮你很多。
用户试图运行未被允许的程序，一律弹出“……限制被取消。请与系统管理员联系。”的对话框。

方法二：镜像劫持
例如运行 QQ ，实际上启动 ctfmon，系统将没有任何提示。
你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe" /v debugger /t reg_sz /d "C:\WINDOWS\system32\ctfmon.exe" /f

[ Last edited by exzzz on 2009-1-12 at 10:19 ]

---

作者: exzzz     时间: 2009-1-12 10:23
搜索到一点资料

先在自己机器上配置好规则，再导出散列规则：
显示系统文件，显示所有文件。按目录复制出C:\WINDOWS\system32\GroupPolicy\gpt.ini
c:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol

并将以上文件覆盖到目标机器上。。。你试验一下吧，我没地方测试

---

作者: ZJHJ     时间: 2009-1-12 10:52
先在自己机器上手动配置好要限制的程序和路径（不允许的），或者指定路径下的程序运行（不受限的）。然后复制出Registry.pol文件。如果其他机器上要配置，就将Registry.pol文件复制过去。如果要解除所有设置，将Registry.pol文件删除即可。

---

作者: exzzz     时间: 2009-1-12 11:36
如果真的要彻底全自动，考虑这样的思路进行：
1、用VBS或BAT，读取“禁止列表”，并写入变量，主要是程序全路径。
2、用VBS的sendkeys，模拟键盘操作GPEDIT.MSC添加这些变量。
3、vbs或bat复制本机的Registry.pol，并远程登陆覆盖目标机器的文件。

---

作者: 87373066     时间: 2009-1-13 22:30
非常感谢  exzzz和ZJHJ的指点!
问题已经解决,系统的策略文件确实是Registry.pol文件.在服务器上配置好策略后,把Registry.pol和gpt.ini文件同步到客户机的相同目录里,再运行gpupdate /force刷新一下组策略就可以了

---

作者: qwhw     时间: 2010-10-18 01:12
不错，做个记号！～