组策略管理——软件限制策略（1）

博主的更多文章>>

组策略管理——软件限制策略（1）
2010-07-05 20:39:41
标签：组策略 安全 管理 软件限制策略 系统
原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://marui.blog.51cto.com/1034148/344446
在系统安全方面，有人曾说，如果把 HIPS （Host-based Intrusion Prevention System ，基于主机的***防御系统）用的很好，就可以告别杀毒软件了。其实，在 Windows 中，如果能将组策略中的“软件限制策略”使用的很好，再结合 NTFS 权限和注册表权限限制，依然可以很淡定的告别杀软。
另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。
当然，对于大多数用户来说，使用组策略来配置“软件管理策略”未免显得太过于繁杂专业，不得不承认的是，组策略的设计并没有为了最终用户体验而进行过优化的，相比其他 HIPS 软件，它在智能与灵活性上稍显不足。
注：本文实现环境基于 Windows 7 Ultimate x64 版本
软件限制策略的基本概念“软件限制策略”，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵活。在默认情况下，软件可以运行在“不受限”与“不允许”这两个级别上。
启用软件限制策略在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它：
● 打开组策略编辑器：gpedit.msc
● 将树目录定位至：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略



● 在“软件限制策略”上点击右键，点选“创建软件限制策略”
创建成功之后，组策略编辑窗口中会显示相关配置条目：



什么是“安全级别”？安全级别



在默认情况下，系统默认为我们提供了三个安全级别：“不允许”、“基本用户”以及“不受限”。

不允许：不允许软件运行。 此级别不包含任何文件保护操作。只要用户的具有修改该文件的权限，即可对一个设定成“不允许”的文件进行读取、复制、粘贴、修改、删除等操作，组策略不会进行阻止。 不受限：允许软件在登录到计算机的用户的完全权限下运行。 此级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。 基本用户：允许程序访问一般用户可以访问的资源，但没有管理员的访问权。 基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。

在高级配置中，还有两个处于隐藏状态的安全级别供用户选择，我们可以通过修改注册表进行启用：
● 打开注册表编辑器：regedit.exe
● 定位注册表位置至：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

● 新建名为 Levels 的 DOWRD 项，其值为十六进制的 0x4131000（十进制为：1094791424）
注册表项创建完毕后重新打开组策略编辑器，可以看到另外两个级别此时已经显示出来了。

受限：无论用户的访问权如何，软件都无法访问某些资源，如加密密钥和凭据。 比基本用户限制更多，但也享有“跳过遍历检查”的特权。 不信任：允许程序访问只对众所周知的组授权的资源，不允许访问管理员特权和个人授予的权利。 不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。