全面了解Windows软件限制策略(2)

　　3、软件限制策略的优先权

　　一个特定的程序可以有多个不同的规则适用，为此，可以按下列优先权顺序来使用这些规则。优先权按从高到低的顺序排列如下：

　　散列规则>证书规则>路径规则> Internet区域规则

　　如果存在多个路径规则冲突，则最具限制性的规则占有优先权。总的原则就是：规则越匹配越优先。

　　例如：

　　C:\Windows\System32\Taskmgr.exe C:\Windows\System32\*.exe *.exe

　　C:\Windows\System32\

　　C:\Windows\

　　本例是按优先权从高到低排列的。从这里我们可以看出：

　　绝对路径>通配符路径

　　文件名规则>目录规则

　　对于同样是目录规则的，则目录数匹配越多就越优先。

　　如果同时存在两个相似的规则，则最具限制性的规则优先权最高。例如，如果 C:\Windows\ 上有一个路径规则，其安全级别为“不允许的”，而 %windir% 上也有一个路径规则，其安全级别为“不受限制的”，则会采用最具限制性的规则，即“不允许的”。

　　这里，我们再顺便介绍一下环境变量和通配符。

　　在路径规则里，允许使用诸如“%windir%”“%userprofile%”之类的环境变量。一般情况下，我们的系统是在C盘，但也有些人基于其它一些原因如要安装双系统等，将系统安装在其它比如D盘下面，这时我们平常用到的一些路径比如“C:\windows\”就会无效，为了防止这种情况，我们就可以使用系统变量，像“%windir%”，系统会自动为我们匹配其目录。我们在创建规则的时候也可以使用这些环境变量，以适用于不同的系统。下面列出的是一些常使用的环境变量，更多的环境变量你可以运行 CMD 然后运行 SET 命令进行查看。

　　ALLUSERSPROFILE = C:\Documents and Settings\All Users

　　APPDATA = C:\Documents and Settings\Administrator\Application Data

　　CommonProgramFiles = C:\Program Files\Common Files

　　ComSpec = C:\WINDOWS\system32\cmd.exe

　　HOMEDRIVE = C:

　　HOMEPATH = \Documents and Settings\Administrator

　　ProgramFiles = C:\Program Files

　　SystemDrive = C:

　　SystemRoot = C:\WINDOWS

　　TEMP = C:\Documents and Settings\当前用户名\Local Settings\Temp

　　TMP = C:\Windows\Temp

　　USERPROFILE = C:\Documents and Settings\Administrator

　　WINDIR = C:\WINDOWS

　　同样，路径规则也支持使用通配符，对DOS熟悉的筒子应该知道这个东西，就是“?”和“*”。

　　? ：包括1个或0个字符* ：包括任意个字符(包括0个)，但不包括斜杠

　　对于通配符，其实网上很多教程上的做法是有误的。

　　例如有一条：%USERPROFILE%\Local Settings\**\*.* 不允许的这条规则本意是阻止所有被指派的文件从 Local Settings 目录(包括其子目录)启动，但是经过验证发现，“**”和“*”是完全等效的，并且“*”不包括“\”。那么这条规则的实际意思就是“阻止所有被指派的文件从 Local Settings 的一级目录运行”，不包括 Local Settings 目录本身，也不包括二级及其下的所有子目录。我们来看看 Local Settings 目录下的一级目录有哪些呢?默认情况下是：Temp、Temporary Internet Files、Application Data、History，那么这条规则里就包括有 禁止TEMP目录下的所有被指派的文件运行的意思，其根本结果就是会造成很多软件无法安装。因为有些软件在安装时会先行解压到TEMP目录。

　　影响最大(简直可以列入本年度十大最错误的做法中了)的一条：?:\autorun.inf “不允许的”

　　相信对 软件限制策略 有研究的筒子都见过这条规则吧，这条规则的本意是阻止所有盘根目录下的 autorun.inf 文件运行，以阻止U盘病毒的运行。它也确实达到了它的目的， autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答案是否定的，病毒还是会被正常运行。

　　为什么呢?我们来了解一下系统是怎么处理 autorun.inf 文件的。