利用WINXP组策略实现HIPS的功能——图文教程

秋风树林

（注：应作者要求，写明本帖出处及作者）
出处：http://bbs.ylmf.com/read.php?fid=10&tid=435857&u=379569
作者：尐小三~γ

很早就像写关于WINXP的组策略相关教程的
一直没有时间
今天周末，顺手写了一下
其实WINXP组策略中的软件限制策略完全可以实现HIPS的功能
设置得当的话，完全可以防御大部分的网络威胁

要设置组策略，先来了解一下系统环境变量和通配符

环境变量

%USERPROFILE%  表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE%  表示 C:\Documents and Settings\All Users
%APPDATA%  表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%  表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%  表示C:\
%SYSTEMROOT%  表示 C:\WINDOWS
%WINDIR%  表示 C:\WINDOWS
%TEMP% 和 %TMP%  表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%  表示 C:\Program Files
%CommonProgramFiles%  表示 C:\Program Files\Common Files


通配符

?  表示任意单个字符
*  表示任意多个字符
**或*?  表示零个或多个含有反斜杠的字符,即包含子文件夹


接下来开始设置“软件限制策略”





































设置完成后，将C:\Windows\\system32\GroupPolicy\Machine\Registry.pol文件拷贝出来
这个文件就是你所设置的规则。重做系统后，将备份的这个文件覆盖到源路径中，就可以恢复规则
也可以将这个文件做成一个自解压EXE格式的文件
自解压脚本为
Path=%windir%\system32\GroupPolicy\Machine\
SavePath
Setup=gpupdate /force
Silent=1
Overwrite=1

Admin

在虚拟机里试了一下，补充几点：
一、开始在“软件限制策略”中是看不到东西的，要先选中“软件限制策略”，再点击“创建新策略”，才会出来同这个帖子的第二张图片相同的界面
二、磁盘根目录禁止运行常见的可执行文件中，最后的那几个（如?:\.exe），.exe前并没有通配符，不知道是作者弄错了还是别的什么原因……
三、我把SREngPS.exe改名为SREngPS.txt.exe，居然还可以运行……重新启动之后还是那样，怎么回事？
四、如何弄自解压脚本？介绍一下吧~

PS：我在虚拟机中把除了倒数第二幅图之外的所有路径规则都设置好了。
现将设置好后的C:\Windows\\system32\GroupPolicy\Machine\Registry.pol文件上传，附件提供下载