1、Windows組策略之軟件限制策略對(duì)于Windows的組策略，也許大家使用的更多的只是管理模板里的各項(xiàng)功能。對(duì)于軟件限制策略相信用過(guò)的筒子們不是很多：）。軟件限制策略如果用的好的話，相信可以和某些HIPS類軟件相類比了。如果再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限，完全可以實(shí)現(xiàn)系統(tǒng)的全方位的安全配置，同時(shí)由于這是系統(tǒng)內(nèi)置的功能，與系統(tǒng)無(wú)縫結(jié)合，不會(huì)占用額外的CPU及內(nèi)存資源，更不會(huì)有不兼容的現(xiàn)象，由于其位于系統(tǒng)的最底層，其攔截能力也是其它軟件所無(wú)法比擬的，不足之處則是其設(shè)置不夠靈活和智能，不會(huì)詢問(wèn)用戶。下面我們就來(lái)全面的了解一下軟件限制策略。1、概述使用軟件限制策略，通過(guò)標(biāo)識(shí)并指定允許哪些應(yīng)用程序運(yùn)行，

2、可以保護(hù)您的計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過(guò)散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則，就用程序可以在策略中得到標(biāo)識(shí)。默認(rèn)情況下，軟件可以運(yùn)行在兩個(gè)級(jí)別上：“不受限制的”與“不允許的”。在本文中我們主要用到的是路徑規(guī)則和散列規(guī)則，而路徑規(guī)則呢則是這些規(guī)則中使用最為靈活的，所以后文中如果沒有特別說(shuō)明，所有規(guī)則指的都是路徑規(guī)則。2、附加規(guī)則和安全級(jí)別附加規(guī)則在使用軟件限制策略時(shí)，使用以下規(guī)則來(lái)對(duì)軟件進(jìn)行標(biāo)識(shí)：證書規(guī)則軟件限制策略可以通過(guò)其簽名證書來(lái)標(biāo)識(shí)文件。證書規(guī)則不能應(yīng)用到帶有.exe或.dll擴(kuò)展名的文件。它們可以應(yīng)用到腳本和Windows安裝程序包?？梢詣?chuàng)建標(biāo)識(shí)軟件的證書

3、，然后根據(jù)安全級(jí)別的設(shè)置，決定是否允許軟件運(yùn)行。路徑規(guī)則路徑規(guī)則通過(guò)程序的文件路徑對(duì)其進(jìn)行標(biāo)識(shí)。由于此規(guī)則按路徑指定，所以程序發(fā)生移動(dòng)后路徑規(guī)則將失效。路徑規(guī)則中可以使用諸女如%programfiles%或systemroot%之類環(huán)境變量。路徑規(guī)則也支持通配符，所支持的通配符為*和?。散列規(guī)則散列是唯一標(biāo)識(shí)程序或文件的一系列定長(zhǎng)字節(jié)。散列按散列算法算出來(lái)。軟件限制策略可以用SHA-1（安全散列算法）和MD5散列算法根據(jù)文件的散列對(duì)其進(jìn)行標(biāo)識(shí)。重命名的文件或移動(dòng)到其他文件夾的文件將產(chǎn)生同樣的散列。例如，可以創(chuàng)建散列規(guī)則并將安全級(jí)別設(shè)為“不允許的”以防止用戶運(yùn)行某些文件。文件可以被重命名或移到其

4、他位置并且仍然產(chǎn)生相同的散列。但是，對(duì)文件的任何篡改都將更改其散列值并允許其繞過(guò)限制。軟件限制策略將只識(shí)別那些已用軟件限制策略計(jì)算過(guò)的散列。Internet區(qū)域規(guī)則區(qū)域規(guī)則只適用于Windows安裝程序包。區(qū)域規(guī)則可以標(biāo)識(shí)那些來(lái)自InternetExplorer指定區(qū)域的軟件。這些區(qū)域是Internet、本地計(jì)算機(jī)、本地Intranet、受限站點(diǎn)和可信站點(diǎn)。以上規(guī)則所影響的文件類型只有“指派的文件類型”中列出的那些類型。系統(tǒng)存在一個(gè)由所有規(guī)則共享wS-MtS己體耀帥比L殺肋迸件Emd*丄冊(cè)昴習(xí)圧不QOM應(yīng)用輕序加展丨交件矣塑輛|劇瞬瞽夢(mèng)監(jiān)需喘麟艸.跡麟槻序如怡走aos時(shí)融叩-j冕仝翅駆_i耳商

5、即.囲謂細(xì)攵祥蠱盅EI璀.1工蘇as亠個(gè)艾件堯螯犍典苴擴(kuò)農(nóng)名越后單擊朿3E件擴(kuò)JRfiil）：|馬加心紙II取珀I更屮IF-換計(jì)覽血昨:-勰計(jì)U機(jī)呢址主二J軟件逹區(qū).?;n*dqhT*勻啟卓詣功任硯&啊戶黃甫HJJ:+_|養(yǎng)瘀別&-丄職榊豹削話_（砂闕_f玄它規(guī)BJ+宜TF冕金期-I酋卿腹用PKE交件(1E*Kb（不受限的）=b（基本用戶）若把b設(shè)為基本用戶，a不做限制，那么a啟動(dòng)b后，b仍然為基本用戶權(quán)限，即a（不受限的）-b（基本用戶）=b（基本用戶）可以看到，一個(gè)程序所能獲得的最終權(quán)限取決于：父進(jìn)程權(quán)限和規(guī)則限定的權(quán)限的最低等級(jí)，也就是我們所說(shuō)的最低權(quán)限原則舉一個(gè)例子：若我們把IE設(shè)成基

6、本用戶等級(jí)啟動(dòng)，那么由IE執(zhí)行的任何程序的權(quán)限都將不高于基本用戶級(jí)別，只能更低。所以就可以達(dá)到防范網(wǎng)馬的效果一一即使IE下載病毒并執(zhí)行了，病毒由于權(quán)限的限制，無(wú)法對(duì)系統(tǒng)進(jìn)行有害的更改，如果重啟一下，那么病毒就只剩下尸體了。甚至，我們還可以通過(guò)NTFS權(quán)限的設(shè)置，讓IE無(wú)法下載和運(yùn)行病毒，不給病毒任何的機(jī)會(huì)。這里，我們來(lái)看一下NTFS的權(quán)限（這里的權(quán)限是NTFS權(quán)限，與規(guī)則無(wú)關(guān)）。NTFS的所有權(quán)限如下：遍歷文件夾/運(yùn)行文件（遍歷文件夾可以不管，主要是“運(yùn)行文件”，若無(wú)此權(quán)限則不能啟動(dòng)文件，相當(dāng)于AD的運(yùn)行應(yīng)用程序）允許或拒絕用戶在整個(gè)文件夾中移動(dòng)以到達(dá)其他文件或文件夾的請(qǐng)求，即使用戶沒有遍歷文

7、件夾的權(quán)限（僅適用于文件夾）。列出文件夾/讀取數(shù)據(jù)允許或拒絕用戶查看指定文件夾內(nèi)文件名和子文件夾名的請(qǐng)求。它僅影響該文件夾的內(nèi)容，而不影響您對(duì)其設(shè)置權(quán)限的文件夾是否會(huì)列出（僅適用于文件夾）。讀取屬性允許或拒絕查看文件中數(shù)據(jù)的能力（僅適用于文件）。讀取擴(kuò)展屬性允許或拒絕用戶查看文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由NTFS定義。創(chuàng)建文件/寫入數(shù)據(jù)“創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件（僅適用于文件夾）。“寫入數(shù)據(jù)”允許或拒絕對(duì)文件進(jìn)行修改并覆蓋現(xiàn)有內(nèi)容的能力（僅適用于文件）。創(chuàng)建文件夾/追加數(shù)據(jù)“創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請(qǐng)求（僅適用于文件夾）?！白芳訑?shù)據(jù)”

8、允許或拒絕對(duì)文件末尾進(jìn)行更改而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力（僅適用于文件）。寫入屬性允許或拒絕用戶對(duì)文件末尾進(jìn)行更改，而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請(qǐng)求（僅適用于文件。）即寫操作寫入擴(kuò)展屬性允許或拒絕用戶更改文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由NTFS定義。刪除子文件夾和文件允許或拒絕刪除子文件夾和文件的能力，即使子文件夾或文件上沒有分配“刪除”權(quán)限（適用于文件夾）。刪除（與上面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄本身）允許或拒絕用戶刪除子文件夾和文件的請(qǐng)求，即使子文件夾或文件上沒有分配“刪除”權(quán)限（適用于文件夾）。讀取權(quán)限（NTFS權(quán)限的查看）允許或拒絕用戶讀取文件

9、或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫入”）的請(qǐng)求。更改權(quán)限（NTFS權(quán)限的修改）允許或拒絕用戶更改文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫入”）的請(qǐng)求。取得所有權(quán)允許或拒絕取得文件或文件夾的所有權(quán)。文件或文件夾的所有者始終可以更改其權(quán)限，而不論用于保護(hù)該文件或文件夾的現(xiàn)有權(quán)限如何。在系統(tǒng)默認(rèn)的NTFS權(quán)限下，基本用戶對(duì)于windowsprogramfiles目錄只有遍歷文件夾/運(yùn)行文件列出文件夾/讀取屬性讀取擴(kuò)展屬性讀取權(quán)限這四項(xiàng)權(quán)限，對(duì)于documentsandsettings目錄，僅對(duì)其所有的目錄有完全控制的權(quán)限，其它目錄只讀？我們的規(guī)則里面所說(shuō)到的基本用戶、受限用戶，

10、基本上等同于NTFS權(quán)限里的USERS組，但受限用戶受到的限制更多，不管NTFS權(quán)限如何，其始終受到限制。更多NTFS權(quán)限的設(shè)置，大家可以查閱NTFS相關(guān)的內(nèi)容。5、如何編寫規(guī)則關(guān)于規(guī)則編寫，我們要遵循以下幾個(gè)原則：要方便，不能對(duì)自己有過(guò)多的限制，這樣，即使出現(xiàn)問(wèn)題也好排隊(duì)要安全，要考慮到你的系統(tǒng)中毒的來(lái)源有哪些，針對(duì)其做好防護(hù)。基于文件名的病毒規(guī)則盡量少用，因?yàn)槿菀壮霈F(xiàn)誤陰，而且病毒的文件名隨便可以改，我們做的又不是特征庫(kù)。下面介紹規(guī)則的具體編寫方式開始-運(yùn)行-gpedit.msc在左邊的窗口中依次展開計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-軟件限制策略如果你之前沒有進(jìn)行過(guò)設(shè)置，那么在軟件

11、限制策略上點(diǎn)右鍵，選擇創(chuàng)建新的策略然后在其它規(guī)則上右鍵點(diǎn)擊，選擇新路徑規(guī)則既可以進(jìn)行規(guī)則的創(chuàng)建了。亜管孫粘肋域!(xj,口牧伸臨銀昭Ti：id.EiSE卻卿豐厚謝KW5冬全歿置衛(wèi)韓尸興聒衛(wèi)車地關(guān)舀IXEALIUEHIlfZFirAfSVlfLcr.JJK九JiiCHIHT店0怖血比lg勺XWr_L&：iLJlMHI陋匹13帀辰Ml“羅曲應(yīng)負(fù)山尤亂鄧血陋卜曲丁醐庭逼crc.j+bii-J*曲？：Etcycl+r場(chǎng)？Rftccl*r直F：詣細(xì)十:EtcvHtrr*貓粘徑現(xiàn)則.k辱列現(xiàn)心蔚證換N漏截刑無(wú)則.跚建I&StiffirtL區(qū)抵觀時(shí):Jonu*L3dTi+*I宜圭活越不珊的年卿的不允許的不尤

12、許的翠允彌不塔州的不允許的不允詵訴干允訝的不允訝的不死詵的革允i刪不比訐的不卻的平允許的花莖用尸不允許前不朮許齡T&6X：規(guī)則的設(shè)置很簡(jiǎn)單，就五個(gè)安全級(jí)別，根據(jù)你自己的需要設(shè)置即可。難點(diǎn)主要是規(guī)則的正確性和有效性，這個(gè)得靠多多實(shí)踐來(lái)提升了。另外提醒一下，大家在設(shè)置規(guī)則時(shí)，注意不要更改以下4條系統(tǒng)默認(rèn)規(guī)則同時(shí)還要考慮它們的影響：%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSystemRoot%路徑不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSystemRoot%*.exe路徑不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSystemRoot%System32*.exe路徑不受限的%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%路徑不受限的相當(dāng)于規(guī)則：%SystemRoot%不受限的整個(gè)Windows目錄不受限%SystemRoot%*.exe不受限的W