本地策略组限制流氓杀毒软件运行

前言

对于adesk来说，常规使用还算是没问题的，但是在当前网络大环境下总是有以下问题

1.各种流氓软件总是防不胜防的安装，尤其是各类安全软件（例如360 金山）。

2.对于虚拟化来说，安装过多的非虚拟化杀毒软件，会导致严重的性能损耗。

3.对于大部分用户来说，并没有意识到虚拟化与杀毒软件的关系。

4.等等各种因素。

综上所述，可以说，虚拟化的一生是与流氓软件抗争的一生。

其实，win7已经内置了丰富的安全功能，其中，组策略可以轻松的干掉一些不符合安全的软件。当然，此功能并不局限虚拟化，普通pc也可以使用此方法

（当然使用系统自带的组策略与通过ad域推送下来的组策略优先级也是不一致的，后期我会再写一个如何通过ad域下发组策略来限制各类杀毒软件的运行）

环境与需求

某客户，使用了50点的桌面虚拟化，win7x64操作系统，专用模式，使用正常。但是由于流氓软件、主观意愿等问题，在使用一段时间以后，发现虚拟机中安装了多个杀毒软件（各类卫士）、驱动精灵等本不应该安装的软件。导致系统卡慢、agent运行异常等问题

解决思路

a、由专人负责手动卸载软件，并且修复异常的agent。优点：不算快捷，但还算可行，还能顺手解决一下系统小异常。缺点：软件始终卸载不干净，运维人员每天要用大量的时间处理异常系统。

b、还原模式，优点：近乎100%的有效。缺点：局限性太大。

c、各种管理手段，扣钱扣钱扣钱扣钱，真的好用（此条5毛）

d、各种技术手段，累死攻城狮，气哭运维狗。

步骤

下面我介绍一种通过系统自带的组策略干掉360安全卫士的方法。

划重点，下面才是正文，最重要的是技术需要举一反三，掌握方案，随机应变，灵活变通

步骤一.欲擒故纵

首先下载360安全卫士，并且进行安装

安装步骤基本不说了，只有把360放进来，才能关门打狗。

步骤二.明察秋毫

通过各种方法观察软件所在路径

下图提供了两种方法，另外，重点关注c:\program files (86),,c:\program files,,c:\programdata,,c:\user\用户名\appdata\roaming,,文件夹下的文件，提取出360安全卫士的存放路径，务必明察秋毫，一个也不要放过，然后记在小本本上。

另外，在查找文件路径的时候在文件夹选项里显示隐藏文件和显示系统文件。

步骤三.釜底抽薪

步骤有点多，

首先，退出正在运行的360

然后，打开组策略

然后在“计算机配置-windows设置-安全设置-软件限制策略-右键-创建软件限制策略”

然后在软件限制策略里面根据情况调整强制策略（图示是我使用的）

然后在“其他规则”里面右键新增路径规则

（ps1：证书规则是通过证书识别软件类型，一般封禁以后会让整个公司的软件都无法运行，比如禁止百度杀毒以后，百度云盘也无法运行，另外需要使用证书规则时需要在上一步强制里面调整证书规则，ps2：哈希规则是通过计算exe程序的哈希值进行阻止，如果软件版本进行更迭，exe的哈希发生变化，就无法阻止了，ps3：网络区域规则有点类似ie浏览器的网络区域，在不同区域中，可以实现阻止，更多的应用在web访问上，ps4：路径规则是基于文件的运行路径进行限制的。）

然后把360安全卫士的路径全部填进去（可以只填写文件夹，策略对子文件夹生效，另外也可以通过多级嵌套实现子文件夹的细分规则（最长匹配原则）），安全级别设置为不允许。

步骤四.大功告成

重启电脑，是不是发现360安全卫士已经无法启动啦，360 拜拜啦 您嘞。

后记

1.实测环境使用的win7x64旗舰版 administrator用户。

2.全面禁止以后，在任务管理器中会发现依旧有SYSTEM权限的进程在执行，这个是权限问题，至少在本地组策略中还未能有办法进行限制。（通过AD域控测试是可以的）。

3.组策略功能非常强大，建议满足条件的攻城狮们自行研究，基本能够实现各种权限控制。

4.不要小瞧“数字卫士”的流氓能力，添加路径规则时把所有位置的文件夹都填写全了，之前有出现过组策略被某卫士干掉的情况。

5.如果已经有路径了，可以只进行步骤三，添加路径的时候，可以手动输入，而不需要点浏览。

6.组策略可以直接在模板上配置，然后直接派生，专用模式下，想追加组策略是比较麻烦的，需要每台派生虚拟机中进行手动添加。建议考虑AD域

7.本地组策略最好用于新建系统，已经用好久的系统需要每台虚拟机手动添加，而且有时候会遇到组策略权限较低的问题。

8.使用路径规则时，不能够限制把流氓软件安装到D盘的情况，除非你提前添加了路径规则，这个时候可以考虑AD域，因为AD域可以轻松的追加新规则。

9.最重要一点，限制策略只是限制软件运行，但是对于安装问题还是不好限制，而且流氓软件层出不穷，而与流氓的对抗是一场持久战。

10.从注册表中可以看到添加的组策略，但是路径比较难以自动化填写，希望有注册表大神提供思路做一个自动化脚本。

11.步骤一 步骤二是为了获取软件路径，方便步骤三中填写。如果有人长期维护一个路径规则库，那我们就可以直接进行步骤三了。

12.基于后记11，建议志同道合的小伙伴们把自己认为不应该运行的软件运行路径共享出来一下呗。

还是那句话，虚拟化的一生是与流氓软件抗争的一生，而七分靠管理，三分靠技术。

最后，我已经通篇安利了AD域的域控，等我有时间了，再新开一贴，写写域控限制软件的哪些事。

附件是我保留下来的几个常见软件路径

禁止软件路径.txt (1.24 KB, 下载次数: 24)

2018-1-17 21:10 上传

点击文件名下载附件

沈公子威猛

给沈哥打call！！！

已打赏，欢迎继续分享

很实用的教程哇，逗逼哥出手，果然不一样的！！！

牛人。。。。。。。

又偷学一波

三分技术，七分管理，说的太对了。

学习了

写得超级666，清晰易懂，期待结合AD域做管控的分享