原文地址：http://bbs.kafan.cn/thread-828093-1-1.html

七寸”其实就是所谓的“打蛇打七寸”，以击中要害为目的，而最大限度的不干扰其他操作，所以，如果要完成“七寸”的效果，就不能用全局规则的想法来考虑，而只能以point-to-point的模式来进行管制。诚然，组策略对于交互式的HIPS操作来说，可比性各有千秋，HIPS的API函数挂钩是一个一个的完成，胜在细致、直观，但是总会有漏掉的；而组策略的一个安全等级相当于一个现成的HIPS规则，这显然要比HIPS一个一个的HOOK高效得多，毕竟这是微软给我们提供好的，虽然也不能所每个安全等级都能面面俱到，但至少它胜在方便，上手简单。

既然不能用全局规则的思路来编，那么就从系统目录一个一个来讲，至于其他盘符目录，可以在熟悉的条件下自己添加，这里仅举出系统盘策略。
在XP系统，系统盘假设为C盘，那么其下无非就几个目录而已，Documents and Settings，Program Files，WINDOWS，一些Windows Installer软件的安装还会创建一个Config.Msi目录。


关于通配符、优先级和环境变量，这里再赘述一遍，因为它很重要：

* ：任意个字符（包括0个），但不包括斜杠。
? ：1个或0个字符。
%

===========================================

一、Documents and Settings

于是我们来一步一步排除，在一些缓存目录未修改的前提下，首先需要排除的是三个用户程序目录，一些软件在安装完毕后会在这三个目录下创建相关文件：


然后在排除文档目录





附加 *.lnk 不受限的

排除完毕后，就可以放心的加上一条禁止规则 %SystemDrive%\Documents and Settings，因为上面的这几个目录是我们常用到的，除了这几个目录，其他位置运行的文件基本都不是什么好东西。

二、Program Files

第一个目录搞定，慢慢接着往下来。



这样Program Files目录就排除完毕，是不是很简单？没错，追求基本安全的方法就是这样容易上手。

三、Windows

备受争议的Windows目录，但别看Windows目录下目录这么多，多数病毒的隐匿居所基本都是一些常见的目录，慢慢来：

先排除Windows目录下的一些常用程序：

explorer.exe
NOTEPAD.exe
regedit.exe
TASKMAN.exe
soundman.exe
amcap.exe
RTHDCPL.exe
RTLCPL.exe
taskman.exe


hh.exe 防帮助文件捆绑
winhelp.exe 防chm格式文件捆绑
winhlp32.exe （此文件在Windows目录和system32目录都有）

至于一些用户程序会在Windows下建立的一些程序，不是很多的，自己手动排除下就可以了。


最后加上两条：

%WinDir% 不允许的
%WinDir%\*\ 不受限的

顺承接入下一目录，鱼龙混杂的system32，既然不考虑全局，那么可以只禁止一些高危目录:

%WinDir%\system32\Com 除了系统自有的程序，一般程序不会在此目录启动
%WinDir%\system32\config 系统配置目录，包括注册表
%WinDir%\system32\dllcache 备份目录，一般程序不会在此目录启动
%WinDir%\system32\drivers 驱动目录，一般程序不会在此目录启动
%WinDir%\system32\ShellExt 危险目录，禁止
%WinDir%\system32\spool 打印机目录，不用打印机的话可以禁止
%WinDir%\system32\wins 危险目录，禁止






四、其他相关目录

1.输入法目录的限制：


?.exe 高危格式 禁止


因为cmd和bat在组策略里是单独处理的，也就是说，禁止cmd之后，bat也可以独立运行，所以：


7.特殊的系统目录：

?:\Recycle?\ 回收站目录 不信任的或不允许的都可以
?:\System Volume Information 系统还原目录 不信任的或不允许的都可以

*.msi 不受限的 微软Windows Installer安装包
*.msp 不受限的 微软Windows Installer修补包
*.pcd 不受限的 PCD格式文件

10.可以利用组策略禁止一些插件（可选），例如：

*bar*.*
*cnnic*.*
*coopen*.*

11.排除system32下的14个MS-DOS文件，然后加入*.com不允许的（可选）。


===========================================



映像劫持，话说在AV终结者爆发之前，有多少用户把IFEO设置只读了呢：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

U盘自动运行：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2



===========================================



码字好累

说了这么多，就是提供一些有安全软件防护组合的条件下对一些危险操作的禁止，老帖中有很多隐匿的精品回复，而置顶教程和规则贴也不少，简单些的防入口，全面些的控全局，希望以上内容能起到给一些喜欢自己定制规则的人自我揣摩的思路，这也是我发这个帖子的初衷。对于一些喜欢不直接套用规则的人，我觉得这个想法还算不错，匹配自己使用环境的策略才是好策略，拿来主义好，可惜的是，不加修改直接引用就会导致好的不明显

那么，感谢下看到这里的人吧，你们辛苦了（其实我也很辛苦）

上图一张

致意！感谢！

怎么每次下都用钱

再次发贴再次发贴

这也太贵了点吧

购买10币，下载又5币

欢迎大家多多发表自己的经验，为我们的网吧营造一个非常安全的环境！！大家共同努力，加油！

新来的，被病毒穿的不行了。希望有用。

这也太贵了点吧

好东西 ,去试试

这个 很不错 试试看