組策略管理——軟體限制策略(1)
在系統安全方面,有人曾說,如果把 HIPS (Host-based Intrusion Prevention System ,基於主機的入侵防禦系統)用的很好,就可以告別防毒軟體了。其實,在 Windows 中,如果能將組策略中的“軟體限制策略”使用的很好,再結合 NTFS 許可權和登錄檔許可權限制,依然可以很淡定的告別殺軟。
另一方面,由於組策略是原生於系統之上的,可能在底層與作業系統無縫結合,於是不會產生各種相容性問題或者產生 CPU 佔用過高、記憶體消耗太大等問題。從這一點來看,組策略中的“軟體限制策略”才算是最好的系統管理利器。
當然,對於大多數使用者來說,使用組策略來配置“軟體管理策略”未免顯得太過於繁雜專業,不得不承認的是,組策略的設計並沒有為了終端使用者體驗而進行過優化的,相比其他 HIPS 軟體,它在智慧與靈活性上稍顯不足。
注:本文實現環境基於 Windows 7 Ultimate x64 版本
軟體限制策略的基本概念
“軟體限制策略”,目的是通過標識或指定應用程式,實現控制應用程式執行的功能,使得計算機環境免受不可信任的程式碼的侵擾。通過制定雜湊規則、證書規則、路徑規則和網路區域規則,則可使得程式可以在策略中得到標識,其中,路徑規則在配置和應用中顯得更加靈活。在預設情況下,軟體可以執行在“不受限”與“不允許”這兩個級別上。
啟用軟體限制策略
在預設情況下,組策略中的“軟體限制策略”是處在關閉狀態的。通過以下步驟我們來啟用它:
● 開啟組策略編輯器:gpedit.msc
● 將樹目錄定位至:計算機配置 -> Windows 設定 -> 安全設定 -> 軟體限制策略
● 在“軟體限制策略”上點選右鍵,點選“建立軟體限制策略”
建立成功之後,組策略編輯視窗中會顯示相關配置條目:
什麼是“安全級別”?
安全級別
在預設情況下,系統預設為我們提供了三個安全級別:“不允許”、“基本使用者”以及“不受限”。
不允許:不允許軟體執行。 此級別不包含任何檔案保護操作。只要使用者的具有修改該檔案的許可權,即可對一個設定成“不允許”的檔案進行讀取、複製、貼上、修改、刪除等操作,組策略不會進行阻止。
不受限:允許軟體在登入到計算機的使用者的完全許可權下執行。 此級別不等於完全不受限制,只是不受軟體限制策略的附加限制。事實上,“不受限的”程式在啟動時,系統將賦予該程式的父程式的許可權,該程式所獲得的訪問令牌決定於其父程式,所以任何程式的許可權將不會超過它的父程式。 基本使用者:允許程式訪問一般使用者可以訪問的資源,但沒有管理員的訪問權。 基本使用者僅享有“跳過遍歷檢查”的特權,並拒絕享有管理員的許可權。 |
在高階配置中,還有兩個處於隱藏狀態的安全級別供使用者選擇,我們可以通過修改登錄檔進行啟用:
● 開啟登錄檔編輯器:regedit.exe
● 定位登錄檔位置至:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers |
● 新建名為 Levels 的 DOWRD 項,其值為十六進位制的 0x4131000(十進位制為:1094791424)
登錄檔項建立完畢後重新開啟組策略編輯器,可以看到另外兩個級別此時已經顯示出來了。
受限:無論使用者的訪問權如何,軟體都無法訪問某些資源,如加密金鑰和憑據。 比基本使用者限制更多,但也享有“跳過遍歷檢查”的特權。 不信任:允許程式訪問只對眾所周知的組授權的資源,不允許訪問管理員特權和個人授予的權利。 不允許對系統資源、使用者資源進行訪問,直接的結果就是程式將無法執行。 |
根據許可權限制程度,對所有安全級別進行排序的順序依次為:
不受限 > 基本使用者 > 受限 > 不信任 > 不允許
本系列未完,歡迎持續關注!
本文轉自melvillo 51CTO部落格,原文連結:http://blog.51cto.com/marui/344446,如需轉載請自行聯絡原作者
相關文章
- 組策略管理——軟體限制策略(5)
- xp下軟體限制策略限制軟體以及破解方法
- win10軟體限制策略怎麼解除_win10如何解除軟體限制策略Win10
- 活動目錄服務的配置與管理(8)利用組策略限制軟體執行
- 路由策略和策略路由配置與管理-1路由
- 域組策略與本地組策略
- 組策略管理器歷險
- 使用組策略統一管理OC
- 組策略物件物件
- 軟體測試的策略
- 如何使用任務管理軟體改進協作策略?
- 組策略管理單元初始化失敗
- SOA策略管理
- 軟體漸進性測試策略
- 軟體測試的策略和方法
- 策略模式 (商場收銀軟體)模式
- 使用組策略禁用UAC
- ERP系統軟體定價方法與策略分析(1)(轉)
- Gitflow分支管理策略Git
- git分支管理策略Git
- 企業管理策略
- 營銷管理策略
- 渲染策略-篇章-1
- 軟體測試的流程及策略方式
- 應用軟體產品營銷策略
- 【Storm篇】--Storm分組策略ORM
- Office 365組命名策略 - 概述
- 簡單瞭解組策略
- win10策略組打不開 win10策略組在哪裡詳細教程Win10
- 許可權管理策略
- ORACLE備份策略(1)Oracle
- Windows2000區域網的組策略管理(轉)Windows
- Office 365組命名策略 - 補充
- 產品組合策略(轉載)
- 組策略防病毒續薦
- win10怎麼禁用組策略編輯器_如何關閉win10組策略Win10
- 從記憶體管理策略看Rust獨特性 - Khorchanov記憶體Rust
- win10怎麼開啟組策略_win10開啟組策略的2個方法Win10