資源描述:
《Windows組策略中的軟件限制策略概述》由會(huì)員上傳分享����,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1�����、Windows組策略中的軟件限制策略概述對(duì)于Windows的組策略�,也許人家使用的更多的只是“管理模板”里的各項(xiàng)功能����。對(duì)于“軟件限制策略“相信用過(guò)的筒子們不是很多。軟件限制策略如杲用的好的話(huà)��,相信可以和某些HIPS類(lèi)軟件相類(lèi)比了�����。如果再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限��,完全可以實(shí)現(xiàn)系統(tǒng)的全方位的安全配置����,同吋山于這是系統(tǒng)內(nèi)置的功能,與系統(tǒng)無(wú)縫結(jié)合�,不會(huì)占用額外的CPU及內(nèi)存資源,更不會(huì)有不兼容的現(xiàn)象���,由于英位于系統(tǒng)的最底層��,其攔截能力也是其它軟件所無(wú)法比擬的�����,不足Z處則是其設(shè)置不夠靈活和智能���,不會(huì)詢(xún)問(wèn)用戶(hù)。下面我們就來(lái)全面的了解一下軟件限制策略°本系列
2�、文章將從以下兒方面為重點(diǎn)來(lái)進(jìn)行講解:?概述?附加規(guī)則和安全級(jí)別?軟件限制策略的優(yōu)先權(quán)?規(guī)則的權(quán)限分配及繼承?如何編寫(xiě)規(guī)則?示例規(guī)則今天我們先介紹Windows組策略中的軟件限制策略的概述、附加規(guī)則和安全級(jí)別���。1�����、概述使川“軟件限制策略”��,通過(guò)標(biāo)識(shí)并指定允許哪些應(yīng)用程序運(yùn)行����,對(duì)以保護(hù)您的計(jì)算機(jī)壞境免受不町信任的代碼的侵?jǐn)_�。通過(guò)散列規(guī)則���、證書(shū)規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則,就用程序?qū)σ栽诓呗灾械玫綐?biāo)識(shí)��。默認(rèn)悄況軟件對(duì)以運(yùn)行在兩個(gè)級(jí)別上:“不受限制的”與“不允許的雹在本文中我們主要用到的是路徑規(guī)則和散列規(guī)則��,而路徑規(guī)則呢則是這吐規(guī)則屮使用最為靈
3�����、活的���,所以后文小如果沒(méi)有特別說(shuō)明���,所有規(guī)則指的都是路徑規(guī)則。2���、附加規(guī)則和安全級(jí)別?附加規(guī)則在使用軟件限制策略時(shí)����,使用以下規(guī)則來(lái)對(duì)軟件進(jìn)行標(biāo)識(shí):?證書(shū)規(guī)則軟件限制策略可以通過(guò)其簽名證書(shū)來(lái)標(biāo)識(shí)文件���。證書(shū)規(guī)則不能應(yīng)用到帶有.exe或.dll擴(kuò)展名的文件��。它們可以應(yīng)用到腳本和Windows安裝程序包����?����?梢詣?chuàng)建標(biāo)識(shí)軟件的證書(shū)��,然后根據(jù)安全級(jí)別的設(shè)置��,決定是否允許軟件運(yùn)行�����。?路徑規(guī)則路徑規(guī)則通過(guò)程序的文件路徑對(duì)其進(jìn)行標(biāo)識(shí)����。由于此規(guī)則按路徑指定,所以程序發(fā)生移動(dòng)麻路徑規(guī)則將失效�����。路徑規(guī)則屮可以使用諸如%programfiles%或%systemroot%之類(lèi)環(huán)
4�、境變量��。路徑規(guī)則也支持通配符�����,所支持的通配符為*和����?���。?散列規(guī)則散列是唯一標(biāo)識(shí)程序或文件的一系列定長(zhǎng)字節(jié)���。散列按散列算法算出來(lái)。軟件限制策略可以用SHA-1(安全散列算法)和MD5散列算法根據(jù)文件的散列對(duì)其進(jìn)行標(biāo)識(shí)��。重命名的文件或移動(dòng)到其他文件夾的文件將產(chǎn)生同樣的散列����。例如,可以創(chuàng)建散列規(guī)則并將安全級(jí)別設(shè)為“不允許的”以防止用戶(hù)運(yùn)行某些文件��。文件町以被重命名或移到具他位置并且仍然產(chǎn)牛相同的散列��。但是����,對(duì)文件的任何篡改都將更改其散列值并允許具繞過(guò)限制�。軟件限制策略將只識(shí)別那些己川軟件限制策略計(jì)算過(guò)的散列����。?Internet區(qū)域規(guī)則區(qū)域規(guī)則只適用于Wi
5、ndows安裝程序包��。區(qū)域規(guī)則可以標(biāo)識(shí)那些來(lái)HInternetExplorer指定區(qū)域的軟件����。這些區(qū)域是Internet本地計(jì)算機(jī)�����、本地Intninet��、受限站點(diǎn)和可信站點(diǎn)��。以上規(guī)則所影響的文件類(lèi)型只有“指派的文件類(lèi)型叫咧出的那些類(lèi)型����。系統(tǒng)存在一個(gè)由所有規(guī)則共亨的指定文件類(lèi)型的列表。默認(rèn)情況下列表中的文件類(lèi)型包括:ADEADPBASBATCHMCMDCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBWSC,所以對(duì)于正常的非可執(zhí)行的文件����,例如TXTJPGGIF
6���、這些是不受影響的,如果你認(rèn)為還有哪些擴(kuò)展的文件有威脅�,也可以將其擴(kuò)展加入這里,或者你認(rèn)為哪些擴(kuò)展無(wú)威脅,也可以將其刪除��。_]安全0別_JX£?WE刮計(jì)JUW超□救件設(shè)畳3_jTind^wi役豪自屛本08動(dòng)/關(guān)機(jī))日前安金設(shè)豎&衛(wèi)棟戶(hù)弟略叵J)本炮策IBB3二i公測(cè)略曰"郴I如S竝級(jí)別_]茸它規(guī)則?3ip安主銀峪■在?:_i耐瞞e(S用戶(hù)配n?�����;一I軟件設(shè)n?_
7�、lind^s設(shè)■?±1囲理濂的文件類(lèi)M拗受/!任的出腹冷揺激的文件養(yǎng)&Mtt2J兇初
8、勰締懸節(jié)瞪瞬勰隱畑.閒沖時(shí)如扌t定的文件対HU):?icTQipftOffic?Access攻目擴(kuò)區(qū)Ui
9����、crxofqOfficeAccesi攻冃BAS文件嶺?00$卅St應(yīng)文件己鋼譯的KT1L料助乂件lind^-tKT命令I(lǐng)hVMS-DOS應(yīng)用程序惑加一個(gè)文件矣型?健入苴擴(kuò)展名■燃后簸擊■窮文件擴(kuò)JKSqt):彥加如
10、瞬昆
11�����、取別HI朝a:
