組策略管理——軟體限制策略（1）

在系統安全方面，有人曾說，如果把 HIPS （Host-based Intrusion Prevention System ，基於主機的入侵防禦系統）用的很好，就可以告別防毒軟體了。其實，在 Windows 中，如果能將組策略中的“軟體限制策略”使用的很好，再結合 NTFS 許可權和登錄檔許可權限制，依然可以很淡定的告別殺軟。

另一方面，由於組策略是原生於系統之上的，可能在底層與作業系統無縫結合，於是不會產生各種相容性問題或者產生 CPU 佔用過高、記憶體消耗太大等問題。從這一點來看，組策略中的“軟體限制策略”才算是最好的系統管理利器。

當然，對於大多數使用者來說，使用組策略來配置“軟體管理策略”未免顯得太過於繁雜專業，不得不承認的是，組策略的設計並沒有為了終端使用者體驗而進行過優化的，相比其他 HIPS 軟體，它在智慧與靈活性上稍顯不足。

注：本文實現環境基於 Windows 7 Ultimate x64 版本

軟體限制策略的基本概念

“軟體限制策略”，目的是通過標識或指定應用程式，實現控制應用程式執行的功能，使得計算機環境免受不可信任的程式碼的侵擾。通過制定雜湊規則、證書規則、路徑規則和網路區域規則，則可使得程式可以在策略中得到標識，其中，路徑規則在配置和應用中顯得更加靈活。在預設情況下，軟體可以執行在“不受限”與“不允許”這兩個級別上。

啟用軟體限制策略

在預設情況下，組策略中的“軟體限制策略”是處在關閉狀態的。通過以下步驟我們來啟用它：

● 開啟組策略編輯器：gpedit.msc

● 將樹目錄定位至：計算機配置 -> Windows 設定 -> 安全設定 -> 軟體限制策略

● 在“軟體限制策略”上點選右鍵，點選“建立軟體限制策略”

建立成功之後，組策略編輯視窗中會顯示相關配置條目：

什麼是“安全級別”？

安全級別

在預設情況下，系統預設為我們提供了三個安全級別：“不允許”、“基本使用者”以及“不受限”。

不允許：不允許軟體執行。 此級別不包含任何檔案保護操作。只要使用者的具有修改該檔案的許可權，即可對一個設定成“不允許”的檔案進行讀取、複製、貼上、修改、刪除等操作，組策略不會進行阻止。 不受限：允許軟體在登入到計算機的使用者的完全許可權下執行。 此級別不等於完全不受限制，只是不受軟體限制策略的附加限制。事實上，“不受限的”程式在啟動時，系統將賦予該程式的父程式的許可權，該程式所獲得的訪問令牌決定於其父程式，所以任何程式的許可權將不會超過它的父程式。 基本使用者：允許程式訪問一般使用者可以訪問的資源，但沒有管理員的訪問權。 基本使用者僅享有“跳過遍歷檢查”的特權，並拒絕享有管理員的許可權。

在高階配置中，還有兩個處於隱藏狀態的安全級別供使用者選擇，我們可以通過修改登錄檔進行啟用：

● 開啟登錄檔編輯器：regedit.exe

● 定位登錄檔位置至：

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers

● 新建名為 Levels 的 DOWRD 項，其值為十六進位制的 0x4131000（十進位制為：1094791424）

登錄檔項建立完畢後重新開啟組策略編輯器，可以看到另外兩個級別此時已經顯示出來了。

受限：無論使用者的訪問權如何，軟體都無法訪問某些資源，如加密金鑰和憑據。 比基本使用者限制更多，但也享有“跳過遍歷檢查”的特權。 不信任：允許程式訪問只對眾所周知的組授權的資源，不允許訪問管理員特權和個人授予的權利。 不允許對系統資源、使用者資源進行訪問，直接的結果就是程式將無法執行。

根據許可權限制程度，對所有安全級別進行排序的順序依次為：

不受限 > 基本使用者 > 受限 > 不信任 > 不允許

 

---

本系列未完，歡迎持續關注！

     本文轉自melvillo 51CTO部落格，原文連結：http://blog.51cto.com/marui/344446，如需轉載請自行聯絡原作者