|
對(duì)于Windows的組策略����,也許大家使用的更多的只是 管理模板 里的各項(xiàng)功能����。對(duì)于 軟件限制策略 相信用過(guò)的筒子們不是很多:)。軟件限制策略 如果用的好的話(huà)����,相信可以和某些HIPS類(lèi)軟件相類(lèi)比了。如果再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限����,完全可以實(shí)現(xiàn)系統(tǒng)的全方位的安全配置,同時(shí)由于這是系統(tǒng)內(nèi)置的功能���,與系統(tǒng)無(wú)縫結(jié)合�,不會(huì)占用額外的CPU及內(nèi)存資源��,更不會(huì)有不兼容的現(xiàn)象��,由于其位于系統(tǒng)的最底層����,其攔截能力也是其它軟件所無(wú)法比擬的,不足之處則是其設(shè)置不夠靈活和智能�����,不會(huì)詢(xún)問(wèn)用戶(hù)。下面我們就來(lái)全面的了解一下 軟件限制策略���。
本文將以以下幾方面為重點(diǎn)來(lái)進(jìn)行講解:
- 概述
- 附加規(guī)則和安全級(jí)別
- 軟件限制策略的優(yōu)先權(quán)
- 規(guī)則的權(quán)限分配及繼承
- 如何編寫(xiě)規(guī)則
- 示例規(guī)則
1���、概述
使用 軟件限制策略,通過(guò)標(biāo)識(shí)并指定允許哪些應(yīng)用程序運(yùn)行��,可以保護(hù)您的計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_����。通過(guò) 散列規(guī)則、證書(shū)規(guī)則�、路徑規(guī)則和Internet 區(qū)域規(guī)則,就用程序可以在策略中得到標(biāo)識(shí)��。默認(rèn)情況下�����,軟件可以運(yùn)行在兩個(gè)級(jí)別上:“不受限制的”與“不允許的”�����。在本文中我們主要用到的是路徑規(guī)則和散列規(guī)則�����,而路徑規(guī)則呢則是這些規(guī)則中使用最為靈活的���,所以后文中如果沒(méi)有特別說(shuō)明����,所有規(guī)則指的都是路徑規(guī)則����。
2、附加規(guī)則和安全級(jí)別
- 附加規(guī)則
在使用 軟件限制策略 時(shí)�����,使用以下規(guī)則來(lái)對(duì)軟件進(jìn)行標(biāo)識(shí):
- 證書(shū)規(guī)則
軟件限制策略可以通過(guò)其簽名證書(shū)來(lái)標(biāo)識(shí)文件��。證書(shū)規(guī)則不能應(yīng)用到帶有 .exe 或 .dll 擴(kuò)展名的文件��。它們可以應(yīng)用到腳本和 Windows 安裝程序包�������?梢詣(chuàng)建標(biāo)識(shí)軟件的證書(shū),然后根據(jù)安全級(jí)別的設(shè)置�����,決定是否允許軟件運(yùn)行����。
- 路徑規(guī)則
路徑規(guī)則通過(guò)程序的文件路徑對(duì)其進(jìn)行標(biāo)識(shí)。由于此規(guī)則按路徑指定��,所以程序發(fā)生移動(dòng)后路徑規(guī)則將失效����。路徑規(guī)則中可以使用諸如 %programfiles% 或 %systemroot% 之類(lèi)環(huán)境變量。路徑規(guī)則也支持通配符��,所支持的通配符為 * 和 ?���。
- 散列規(guī)則
散列是唯一標(biāo)識(shí)程序或文件的一系列定長(zhǎng)字節(jié)�����。散列按散列算法算出來(lái)。軟件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根據(jù)文件的散列對(duì)其進(jìn)行標(biāo)識(shí)。重命名的文件或移動(dòng)到其他文件夾的文件將產(chǎn)生同樣的散列�。
例如,可以創(chuàng)建散列規(guī)則并將安全級(jí)別設(shè)為“不允許的”以防止用戶(hù)運(yùn)行某些文件�。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同
的散列。但是����,對(duì)文件的任何篡改都將更改其散列值并允許其繞過(guò)限制。軟件限制策略將只識(shí)別那些已用軟件限制策略計(jì)算過(guò)的散列���。
- Internet 區(qū)域規(guī)則
區(qū)域規(guī)則只適用于 Windows 安裝程序包����。區(qū)域規(guī)則可以標(biāo)識(shí)那些來(lái)自 Internet Explorer 指定區(qū)域的軟件�。這些區(qū)域是 Internet、本地計(jì)算機(jī)����、本地 Intranet、受限站點(diǎn)和可信站點(diǎn)���。
以上規(guī)則所影響的文件類(lèi)型只有“指派的文件類(lèi)型”中列出的那些類(lèi)型�����。系統(tǒng)存在一個(gè)由所有規(guī)則共享的指定文件類(lèi)型的列表�。默認(rèn)情況
下列表中的文件類(lèi)型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ,所以對(duì)于正常的非可執(zhí)行的文件�����,例如TXT JPG GIF這些是不受影響的��,如果你認(rèn)為還有哪些擴(kuò)展的文件有威脅����,也可以將其擴(kuò)展加入這里,或者你認(rèn)為哪些擴(kuò)展無(wú)威脅����,也可以將其刪除。
出處:藍(lán)色理想
責(zé)任編輯:bluehearts
上一頁(yè) 下一頁(yè) Windows組策略之軟件限制策略 [2]
◎進(jìn)入論壇計(jì)算機(jī)技術(shù)版塊參加討論
|
第 1 頁(yè) Windows組策略之軟件限制策略 [1]
第 2 頁(yè) 
