資源描述:
《應(yīng)用程序訪問權(quán)限完全攻略》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫���。
1�、應(yīng)用程序訪問權(quán)限完全攻略~教育資源庫 一�、限制用戶對文件的訪問權(quán)限 如果程序所在的磁盤分區(qū)文件系統(tǒng)為NTFS格式,管理員賬戶可以利用NTFS文件系統(tǒng)提供的文件和文件夾安全選項(xiàng)控制用戶對程序及文件的訪問權(quán)限����。通常情況下,一個應(yīng)用程序安裝到系統(tǒng)后����,本地計算機(jī)的所有賬戶都可以訪問并運(yùn)行該應(yīng)用程序。如果取消分配給指定用戶對該應(yīng)用程序或文件夾的訪問權(quán)限�,該用戶也就失去了運(yùn)行該應(yīng)用程序的能力�。 例如����,要禁止受限用戶運(yùn)行OutlookExpress應(yīng)用程序,可以進(jìn)行如下的操作: (1)��、以administrator賬戶登錄系統(tǒng),如果當(dāng)前系統(tǒng)啟用了簡單文件共
2�����、享選項(xiàng)�����,需要將該選項(xiàng)關(guān)閉���。具體做法是��,在mc命令啟動控制臺��,并將組策略管理單元加載到控制臺中; (2)�����、依次展開本地計算機(jī)策略用戶設(shè)置管理模板����,點(diǎn)擊系統(tǒng)�,雙擊右側(cè)窗格中的不要運(yùn)行指定的inistrator帳戶都將受到限制��,因此給管理員帶來了一定的不便。當(dāng)管理員需要執(zhí)行一個包含在不允許運(yùn)行列表中的應(yīng)用程序時�����,需要先通過組策略編輯器將該應(yīng)用程序從不運(yùn)行運(yùn)行列表中刪除�����,在程序運(yùn)行完成后����,再將該程序添加到不允許運(yùn)行程序列表中。需要注意的是����,不要將組策略編輯器(gpedit.msc)添加到禁止運(yùn)行程序列表中,否則會造成組策略的自鎖��,任何用戶都將不能啟動組策略
3�、編輯器,也就不能對設(shè)置的策略進(jìn)行更改���?���! √崾荆喝绻麤]有禁止運(yùn)行命令提示符程序的話,用戶可以通過cmd命令�,從命令提示符運(yùn)行被禁止的程序,例如��,將記事本程序(notepad.exe)添加不運(yùn)行列表中���,通過XP的桌面運(yùn)行該程序是被限制的�����,但是在命令提示符下運(yùn)行notepad命令����,可以順利的啟動記事本程序�����。因此���,要徹底的禁止某個程序的運(yùn)行��,首先要將cmd.exe添加到不允許運(yùn)行列表中�����?��! ∪⒃O(shè)置軟件限制策略 軟件限制策略是本地安全策略的一個組成部分�,管理員通過設(shè)置該策略對文件和程序進(jìn)行標(biāo)識,將它們分為可信任和不可信任兩種���,通過賦予相應(yīng)的安全級別來實(shí)現(xiàn)
4�����、對程序運(yùn)行的控制���。這個措施對于解決未知代碼和不可信任代碼的可控制運(yùn)行問題非常有效。軟件設(shè)置策略使用兩個方面的設(shè)置對程序進(jìn)行限制:安全級別和其他規(guī)則����。 安全級別分為不允許的和不受限制的兩種�����。其中,不允許的將禁止程序的運(yùn)行���,不論用戶的權(quán)限如何;不受限的12下一頁友情提醒:����,特別��!允許登錄用戶使用他所擁有的權(quán)限來運(yùn)行程序����。 其它規(guī)則���,即由管理員通過制定規(guī)則對指定的一批或一個文件和程序進(jìn)行標(biāo)識��,并賦予不允許的或不受限的安全級別����。在這個部分中���,管理員可以制定四種類型的規(guī)則����,按照優(yōu)先級別分別是:散列規(guī)則、證書規(guī)則�、路徑規(guī)則和Inter區(qū)域規(guī)則,這些規(guī)則將對文
5�����、件的訪問和程序的運(yùn)行提供最大限度的授權(quán)級別���。 軟件限制策略的設(shè)置 1��、訪問軟件限制策略 作為本地安全策略的一部分����,軟件限制策略同時也包含在組策略中,這些策略的設(shè)置必須以administrator賬戶或Administrators組成員的身份登錄系統(tǒng)���。軟件限制策略的訪問方式有兩種: (1)�、在開始運(yùn)行處運(yùn)行secpol.msc�,啟動本地安全策略編輯器,在安全設(shè)置下可以看到軟件限制策略項(xiàng)目�。 (2)���、在開始運(yùn)行處運(yùn)行g(shù)pedit.msc��,啟動組策略編輯器���,在計算機(jī)設(shè)置Windod.exe��,確認(rèn)后�,在文件散列中可以看到計算出來的散列�,在安全級別中
6、選擇不允許的或不受限的�����,如圖3所示����。點(diǎn)擊確定,在其它規(guī)則中可以看到新增了一條類型為散列的規(guī)則�。 圖3新散列規(guī)則創(chuàng)建 證書規(guī)則:利用與文件或程序相關(guān)聯(lián)的簽名證書進(jìn)行標(biāo)識���。證書規(guī)則需要的證書可以是自簽名的����、由證書頒發(fā)機(jī)構(gòu)(CA)頒發(fā)或是由Windows2000公鑰機(jī)構(gòu)發(fā)布。上一頁12友情提醒:�����,特別���!
