IT貓撲網:您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁操作系統(tǒng)windows → Windows組策略之軟件限制策略

Windows組策略之軟件限制策略

時間:2015-06-28 00:00:00 來源:IT貓撲網 作者:網管聯盟 我要評論(0)

??? 對于Windows的組策略,也許大家使用的更多的只是 管理模板 里的各項功能。對于 軟件限制策略 相信用過的筒子們不是很多:)。軟件限制策略 如果用的好的話,相信可以和某些HIPS類軟件相類比了。如果再結合NTFS權限和注冊表權限,完全可以實現系統(tǒng)的全方位的安全配置,同時由于這是系統(tǒng)內置的功能,與系統(tǒng)無縫結合,不會占用額外的CPU及內存資源,更不會有不兼容的現象,由于其位于系統(tǒng)的最底層,其攔截能力也是其它軟件所無法比擬的,不足之處則是其設置不夠靈活和智能,不會詢問用戶。下面我們就來全面的了解一下 軟件限制策略。

??? 1、概述

??? 使用 軟件限制策略,通過標識并指定允許哪些應用程序運行,可以保護您的計算機環(huán)境免受不可信任的代碼的侵擾。通過 散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet 區(qū)域規(guī)則,就用程序可以在策略中得到標識。默認情況下,軟件可以運行在兩個級別上:"不受限制的"與"不允許的"。在本文中我們主要用到的是路徑規(guī)則和散列規(guī)則,而路徑規(guī)則呢則是這些規(guī)則中使用最為靈活的,所以后文中如果沒有特別說明,所有規(guī)則指的都是路徑規(guī)則。

??? 2、附加規(guī)則和安全級別

??? 附加規(guī)則

??? 在使用 軟件限制策略 時,使用以下規(guī)則來對軟件進行標識:

??? 證書規(guī)則

??? 軟件限制策略可以通過其簽名證書來標識文件。證書規(guī)則不能應用到帶有 .exe 或 .dll 擴展名的文件。它們可以應用到腳本和 Windows 安裝程序包。可以創(chuàng)建標識軟件的證書,然后根據安全級別的設置,決定是否允許軟件運行。

??? 路徑規(guī)則

??? 路徑規(guī)則通過程序的文件路徑對其進行標識。由于此規(guī)則按路徑指定,所以程序發(fā)生移動后路徑規(guī)則將失效。路徑規(guī)則中可以使用諸如 %programfiles% 或 %systemroot% 之類環(huán)境變量。路徑規(guī)則也支持通配符,所支持的通配符為 * 和 ?。

??? 散列規(guī)則

??? 散列是唯一標識程序或文件的一系列定長字節(jié)。散列按散列算法算出來。軟件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根據文件的散列對其進行標識。重命名的文件或移動到其他文件夾的文件將產生同樣的散列。

??? 例如,可以創(chuàng)建散列規(guī)則并將安全級別設為"不允許的"以防止用戶運行某些文件。文件可以被重命名或移到其他位置并且仍然產生相同的散列。但是,對文件的任何篡改都將更改其散列值并允許其繞過限制。軟件限制策略將只識別那些已用軟件限制策略計算過的散列。

??? Internet區(qū)域規(guī)則

??? 區(qū)域規(guī)則只適用于 Windows 安裝程序包。區(qū)域規(guī)則可以標識那些來自 Internet Explorer 指定區(qū)域的軟件。這些區(qū)域是 Internet、本地計算機、本地 Intranet、受限站點和可信站點。

??? 以上規(guī)則所影響的文件類型只有"指派的文件類型"中列出的那些類型。系統(tǒng)存在一個由所有規(guī)則共享的指定文件類型的列表。默認情況下列表中的文件類型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ,所以對于正常的非可執(zhí)行的文件,例如TXT JPG GIF這些是不受影響的,如果你認為還有哪些擴展的文件有威脅,也可以將其擴展加入這里,或者你認為哪些擴展無威脅,也可以將其刪除。

??? 安全級別

??? 對于軟件限制策略,默認情況下,系統(tǒng)為我們提供了兩個安全級別:"不受限的"和"不允許的"

??? 注:

??? "不允許的"級別不包含任何文件保護操作。你可以對一個設定成"不允許的"文件進行讀取、復制、粘貼、修改、刪除等操作,組策略不會阻止,前提當然是你的用戶級別擁有修改該文件的權限"不受限的"級別不等于完全不受限制,只是不受軟件限制策略的附加限制。事實上,"不受限的"程序在啟動時,系統(tǒng)將賦予該程序的父進程的權限,該程序所獲得的訪問令牌決定于其父進程,所以任何程序的權限將不會超過它的父進程。

??? 但實際上,還有三個級別在默認情況是隱藏掉的,我們可以通過手動修改注冊表來開啟其它的三個級別,打開注冊表編輯器,展開至:

??? HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

??? Safer\CodeIdentifiers

??? 新建一個DOWRD,命名為Levels,其值為 0x4131000(十六十制的4131000)

??? 創(chuàng)建完畢后重新打開gpedit.msc,我們會看到另外三個級別此時已經開啟了。

??? 不受限的

??? 最高權限,但其也并不是完全的不受限,而是"軟件訪問權由用戶的訪問權來決定",即繼承父進程的權限。

??? 基本用戶

??? 基本用戶僅享有"跳過遍歷檢查"的特權,并拒絕享有管理員的權限。

??? 受限的

??? 比基本用戶限制更多,但也享有"跳過遍歷檢查"的特權。

??? 不信任的

??? 不允許對系統(tǒng)資源、用戶資源進行訪問,直接的結果就是程序將無法運行。

??? 不允許的

??? 無條件地阻止程序執(zhí)行或文件被打開

??? 根據權限大小可以排序為:不受限的>基本用戶>受限的>不信任的>不允許的

??? 3、軟件限制策略的優(yōu)先權

??? 一個特定的程序可以有多個不同的規(guī)則適用,為此,可以按下列優(yōu)先權順序來使用這些規(guī)則。優(yōu)先權按從高到低的順序排列如下:

??? 散列規(guī)則>證書規(guī)則>路徑規(guī)則> Internet區(qū)域規(guī)則

??? 如果存在多個路徑規(guī)則沖突,則最具限制性的規(guī)則占有優(yōu)先權。總的原則就是:規(guī)則越匹配越優(yōu)先。

??? 例如:

??? C:\Windows\System32\Taskmgr.exe C:\Windows\System32\*.exe *.exe

??? C:\Windows\System32\

??? C:\Windows\

??? 本例是按優(yōu)先權從高到低排列的。從這里我們可以看出:

??? 絕對路徑>通配符路徑

??? 文件名規(guī)則>目錄規(guī)則

??? 對于同樣是目錄規(guī)則的,則目錄數匹配越多就越優(yōu)先。

??? 如果同時存在兩個相似的規(guī)則,則最具限制性的規(guī)則優(yōu)先權最高。例如,如果 C:\Windows\ 上有一個路徑規(guī)則,其安全級別為"不允許的",而 %windir% 上也有一個路徑規(guī)則,其安全級別為"不受限制的",則會采用最具限制性的規(guī)則,即"不允許的"。

??? 這里,我們再順便介紹一下環(huán)境變量和通配符。

??? 在路徑規(guī)則里,允許使用諸如"%windir%""%userprofile%"之類的環(huán)境變量。一般情況下,我們的系統(tǒng)是在C盤,但也有些人基于其它一些原因如要安裝雙系統(tǒng)等,將系統(tǒng)安裝在其它比如D盤下面,這時我們平常用到的一些路徑比如"C:\windows\"就會無效,為了防止這種情況,我們就可以使用系統(tǒng)變量,像"%windir%",系統(tǒng)會自動為我們匹配其目錄。我們在創(chuàng)建規(guī)則的時候也可以使用這些環(huán)境變量,以適用于不同的系統(tǒng)。下面列出的是一些常使用的環(huán)境變量,更多的環(huán)境變量你可以運行 CMD 然后運行 SET 命令進行查看。

#p#副標題#e#

??? ALLUSERSPROFILE = C:\Documents and Settings\All Users

??? APPDATA = C:\Documents and Settings\Administrator\Application Data

??? CommonProgramFiles = C:\Program Files\Common Files

??? ComSpec = C:\WINDOWS\system32\cmd.exe

??? HOMEDRIVE = C:

??? HOMEPATH = \Documents and Settings\Administrator

??? ProgramFiles = C:\Program Files

??? SystemDrive = C:

??? SystemRoot = C:\WINDOWS

??? TEMP = C:\Documents and Settings\當前用戶名\Local Settings\Temp

??? TMP = C:\Windows\Temp

??? USERPROFILE = C:\Documents and Settings\Administrator

??? WINDIR = C:\WINDOWS

??? 同樣,路徑規(guī)則也支持使用通配符,對DOS熟悉的筒子應該知道這個

關鍵詞標簽:Windows組策略

相關閱讀

文章評論
發(fā)表評論

熱門文章 如何修改服務器3389端口 如何修改服務器3389端口 Win11系統(tǒng)怎么設置中文-Win11更改成中文的方法教程 Win11系統(tǒng)怎么設置中文-Win11更改成中文的方法教程 Win11怎么設置同步時間-Win11手動同步時間操作方法 Win11怎么設置同步時間-Win11手動同步時間操作方法 Win11怎么在開始菜單添加快捷方式-開始菜單添加快捷方式操作方法 Win11怎么在開始菜單添加快捷方式-開始菜單添加快捷方式操作方法

相關下載

    人氣排行 [聲音故障]XP沒有聲音,丟失Windows Audio服務(AudioSrv)[警告:2003不一定適用 解決Windows 7黑屏的有效方法 windows2003中關于軟路由設置方法的具體介紹 Windows不能在本地計算機啟動OracleDBConsoleorcl 一個空文件夾刪不掉的解決辦法 微軟Windows錯誤代碼大全(2) 用Windows命令行實現自動SSH代理 Windows 7加XP的局域網搭建與文件共享