用组策略武装你的Windows XP
这个是针对XP系统。不用任何软件,XP下就可以实现简单的Hips功效,对U盘的Autorun.inf之类的病毒还是很有效果的。关键是系统自带的,不用白不用。
设置效果:
1、设置IE浏览器的权限为”基本用户”
2、限制特定的文件格式在C、D、E盘的根目录下运行,而且严格禁止F盘及以后的所有盘下的所有文件禁止执行。
操作步骤:
1、下载需要用到的文件。
【下载地址】:group-policy.7z
包含了:”开启”基本用户”策略.reg”,”Registry.pol”,”使用方法”,共三个文件。
2、首先导入”开启”基本用户”策略.reg”,软件限制策略选项上多出一个”基本用户”选项
3、先任意创建一个软件策略。
先运行gpedit.msc → 计算机配置 → windows设置 → 安全设置 → 软件限制策略 → 右键随便创建一个软件策略。
如果没有这一步,则无法执行下一步。
4、将”Registry.pol”复制到”C:\WINDOWS\system32\GroupPolicy\Machine"目录下。注意该文件夹为隐藏的。
5、然后在”命令提示符”里运行 gpupdate /force ,刷新一下策略,设置的策略就起效了,如果暂时未生效,等注销或重启后就会自动生效。
附:”Registry.pol”组策略设置的内容如表:
| 名称 | 安全级别 |
| %Program Files%\Internet Explorer\iexplore.exe | 基本用户 |
| ?:\*.bat | 不允许的 |
| ?:\*.cmd | 不允许的 |
| ?:\*.com | 不允许的 |
| ?:\*.exe | 不允许的 |
| ?:\*.inf | 不允许的 |
| ?:\*.lnk | 不允许的 |
| ?:\*.msi | 不允许的 |
| ?:\*.msp | 不允许的 |
| ?:\*.pif | 不允许的 |
| ?:\*.reg | 不允许的 |
| ?:\*.scr | 不允许的 |
| ?:\*.vbs | 不允许的 |
| ?:\Recycle?\* | 不允许的 |
| ?:\System Volume Information\* | 不允许的 |
| F:\* | 不允许的 |
| H:\* | 不允许的 |
| I:\* | 不允许的 |
| J:\* | 不允许的 |
| K:\* | 不允许的 |
| L:\* | 不允许的 |
| M:\* | 不允许的 |
| N:\* | 不允许的 |
| O:\* | 不允许的 |
| P:\* | 不允许的 |