Saber 酱的抱枕

Fly me to the moon

02/5
2017
其他

用win的高级功能对抗全家桶兼论我为什么要用旗舰/企业版win7(雾)

其实这玩意都是网上玩烂的东西了。

我承认我只是想发下面这图而已

0000442c9-10

 

首先讲下组策略……严格地说是组策略的某个策略

 

控制面板-管理工具-本地安全策略-软件限制策略-其它规则

在右侧可以新建新的规则,常用的是证书规则和路径规则。

通过向导新建规则,可以很方面的理解,这玩意可以把特定程序设置为“不允许”

匹配方式就是上面说的特定路径和证书。

 

证书?

 

对。全家桶们还算有那么一点点良心,知道给自己的程序上数字签名,组策略可以识别数字签名证书然后阻止运行。

添加证书规则最简单的办法是,在选择证书时把文件类型改成.exe,然后选择有数字签名的exe即可。

 

但是,有个问题:

1.证书是有期限的,证书过期了就得更新,同时策略就也得一起更新

2.太死板,只能通杀或者全放过,不能指定例外。比如,你不想上企鹅全家桶,可你还得用QQ啊……一般而言,一个公司的软件通用一个证书(度娘是个例外,卫士和浏览器证书不一样)。要是杀掉了 企鹅证书……QQ也完蛋了。

 

 

这时候就得找APPLocker了。

APPLocker可以提取一个exe的公司信息、应用名称、版本号等信息,可以根据这些分级设定,还可设置例外。比如,你可以设定只能运行版本号在多少以下的QQ,也可以做到上面那样杀掉企鹅全家桶却放过QQ的例外设置。而且还不依赖于某一个证书,只依赖于证书的公司名(一般他们都不会动这个)

APPLocker其实就在软件限制策略的下面——应用程序控制策略。

不过要使用APPLocker,我们得打开Application Identity服务(设为自动),这里不赘述。

然后这里只涉及APPLocker的可执行规则就好。新建规则时建议按提示新建默认规则,允许管理员运行所有程序以及非管理员运行windows和program files里的程序,否则………………你懂的。

 

然后还是按向导新建规则,在设定程序信息时可以按提示选择参考的exe来读取它的信息。想ban掉的自便。

设置完成后,回到可执行规则上一级的APPLocker,然后选择配置强制规则,然后勾上可执行规则下面的已配置的勾,并确定下面的选项是强制规则而不是仅审核。这样就完成了配置。

 

 

回到我们的标题,为什么我会这么说?因为这些功能只提供给高版本win……专业版能不能用APPLocker不太记得了……家庭高级版这俩都不行。

用win的高级功能对抗全家桶兼论我为什么要用旗舰/企业版win7(雾)