标签：windowsxp操作系统知识,windowsxp使用教程,http://www.qiuzhi56.com Windows组策略之软件限定策略,http://www.qiuzhi56.com

    对于Windows的组策略，也许大众 运用 的更多的只是 维护 模板 里的各项功能。对于 软件限定 策略 相信用过的筒子们不是许多 ：）。软件限定 策略 假如 用的好的话，相信能够 和某些HIPS类软件相类比了。假如 再结合NTFS权限和注册表权限，完全能够 实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法 比拟的，不足之处则是其配置 不够灵活和智能，不会询问用户。下面咱们 就来完全 的明白 一下 软件限定 策略。

    1、概述

    运用 软件限定 策略，议决 标识并指定准许 哪些运用 程序运行，能够 保卫 您的计算机环境免受不可信任的代码的侵扰。议决 散列准则 、证书准则 、路径准则 和Internet 区域准则 ，就用程序能够 在策略中得到标识。默认情况下，软件能够 运行在两个级别上：“不受限定 的”与“不准许 的”。在本文中咱们 首要 用到的是路径准则 和散列准则 ，而路径准则 呢则是这些准则 中运用 最为灵活的，所以后文中假如 没有特别表明 ，所有准则 指的都是路径准则 。

    2、附加准则 和安全级别

    附加准则

    在运用 软件限定 策略 时，运用 以下准则 来对软件执行 标识：

    证书准则

    软件限定 策略能够 议决 其签名证书来标识文件。证书准则 无法 运用 到带有 .exe 或 .dll 扩展名的文件。它们能够 运用 到脚本和 Windows 安装程序包。能够 建立 标识软件的证书，然后根据安全级别的配置 ，决定能无法 准许 软件运行。

    路径准则

    路径准则 通流程 序的文件路径对其执行 标识。由于此准则 按路径指定，所以程序发生移动后路径准则 将失效。路径准则 中能够 运用 诸如 %programfiles% 或 %systemroot% 之类环境变量。路径准则 也支持通配符，所支持的通配符为 * 和 ?。

    散列准则

    散列是独一 标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限定 策略能够 用 SHA-1（安全散列算法）和 MD5 散列算法根据文件的散列对其执行 标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。

    比方 ，能够 建立 散列准则 并将安全级别设为“不准许 的”以防止 用户运行某些文件。文件能够 被重命名或移到其他位置并且仍然产生相似 的散列。但是，对文件的任何篡改都将修改 其散列值并准许 其绕过限定 。软件限定 策略将只识别那些已用软件限定 策略计算过的散列。

www.qiuzhi56.com    Internet区域准则

    区域准则 只适用于 Windows 安装程序包。区域准则 能够 标识那些来自 Internet Exp lorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。

    以上准则 所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有准则 共享的指定文件类型的列表。默认情况下列表中的文件类型包含 ：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以对于正常的非可执行的文件，比方 TXT JPG GIF这些是不受影响的，假如 你认为还有哪些扩展的文件有恐吓 ，也能够 将其扩展参加 这里，或者你认为哪些扩展无恐吓 ，也能够 将其删除。

    安全级别

    对于软件限定 策略，默认情况下，系统为咱们 提供了两个安全级别：“不受限的”和“不准许 的”

    注：

    “不准许 的”级别不包含任何文件保卫 操作。你能够 对一个设定成“不准许 的”文件执行 读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限“不受限的”级别不等于完全不受限定 ，只是不受软件限定 策略的附加限定 。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限，该程序所取得 的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。

    但实际上，还有三个级别在默认情况是潜藏 掉的，咱们 能够 议决 手动修改注册表来开启其它的三个级别，打开注册表编辑器，展开至：

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

    Safer\CodeIdentifiers

    新建一个DOWRD，命名为Levels，其值为 0x4131000(十六十制的4131000)

    建立 完毕后重新打开gpedit.msc，咱们 会看到另外三个级别此时已经开启了。

www.qiuzhi56.com    不受限的

    最高权限，但其也并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。

    基本用户

    基本用户仅享有“跳过遍历检验 ”的特权，并拒绝享有维护 员的权限。

    受限的

    比基本用户限定 更多，但也享有“跳过遍历检验 ”的特权。

    不信任的

    不准许 对系统资源、用户资源执行 访问，直接的结果就是程序将无法 运行。

    不准许 的

    无条件地阻止程序执行或文件被打开

    根据权限大小能够 排序为：不受限的>基本用户>受限的>不信任的>不准许 的

    3、软件限定 策略的优先权

    一个特定的程序能够 有多个不一样 的准则 适用，为此，能够 按下列优先权顺序来运用 这些准则 。优先权按从高到低的顺序排列如下：

    散列准则 >证书准则 >路径准则 > Internet区域准则

    假如 存在多个路径准则 冲突，则最具限定 性的准则 占有优先权。总的原则就是：准则 越匹配越优先。

    比方 ：

    C:\Windows\System32\Taskmgr.exe C:\Windows\System32\*.exe *.exe

    C:\Windows\System32\

    C:\Windows\

    本例是按优先权从高到低排列的。从这里咱们 能够 看出：

    绝对路径>通配符路径

    文件名准则 >目录准则

    对于同样是目录准则 的，则目录数匹配越多就越优先。

    假如 同时存在两个相似的准则 ，则最具限定 性的准则 优先权最高。比方 ，假如 C:\Windows\ 上有一个路径准则 ，其安全级别为“不准许 的”，而 %windir% 上也有一个路径准则 ，其安全级别为“不受限定 的”，则会采用最具限定 性的准则 ，即“不准许 的”。

    这里，咱们 再顺便推选 一下环境变量和通配符。

    在路径准则 里，准许 运用 诸如“%windir%”“%userprofile%”之类的环境变量。通常 情况下，咱们 的系统是在C盘，但也有些人基于其它一些原由 如要安装双系统等，将系统安装在其它比如D盘下面，这时咱们 平常用到的一些路径比如“C:\windows\”就会无效，为了防止 这种情况，咱们 就能够 运用 系统变量，像“%windir%”，系统会自动为咱们 匹配其目录。咱们 在建立 准则 的时刻 也能够 运用 这些环境变量，以适用于不一样 的系统。下面列出的是一些常运用 的环境变量，更多的环境变量你能够 运行 CMD 然后运行 SET 命令执行 查看。

www.qiuzhi56.com

，Windows组策略之软件限定策略