本文共 947 字，大约阅读时间需要 3 分钟。

刚看到猫叔的文章  ，里面是通过HIPS对wscript.exe做出限制。

谈到如何限制VBS而不影响正常的vbs运行，猫叔说“组策略无法做到“区别对待”（要么限死，要么留下隐患）”

其实我个人认为不然。

完全可以用组策略办到而不需用到第三方安软。

如果禁止?script.exe(指wscript.exe，cscript.exe）运行，这很好办，在软件限制策略里添加%windir%\system32\?script.exe  不允许即可

但这样就没法运行我们需要运行的vbs了

这里有多种方法解决这个矛盾

可以不限制他们安全级别为允许，而限制他们为“基本用户"

XP系统默认的安全级别为“不受限的”与“不允许的”（Vista默认开启了基本用户级别）可以通过修改注册表添加“基本用户”这个级别：


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers下添加RG_Dword类型的名为Levels的值，数值数据为20000（十六进制）

刷新后就能显示增加的这个安全级别了。可以将 ?script.exe 设置为“基本用户”

这需要NTFS分区的磁盘辅助，即使运行个vbs病毒了，也没权限向系统文件夹及HKLM下写东西了.....一定程度上可以防范病毒的入侵.....

当然这也有缺陷的，Vista相对来说更安全，其引入了完整性级别机制.......

下面的做法应该效果更佳吧：

在上面把?script.exe设置为“基本用户”的前提下（也可以不对？script.exe做任何限制），对VBS再做限制。
毕竟系统里需要的（一般是第三方程序需要的）VBS文件很少，可以在软件限制策略里特定的vbs排除（比如正常的有%windir%\a.vbs），其他vbs一律不允许运行：
首先运行secpol.msc打开本地安全策略，点击“软件限制策略”，在右边窗口中指派的文件类型中添加vbs文件：





然后选择软件限制策略下的其他规则，右键之，选择“新建路径规则”

添加规则：%windir%\a.vbs不受限的
然后添加  *.vb? 不允许的

可以看下试验效果：

双击 排除的vbs之外的vbs时：



事件查看器里的：

转载地址：http://lafmi.baihongyu.com/