《windows组策略之软件限制策略》由会员分享,可在线阅读,更多相关《windows组策略之软件限制策略(14页珍藏版)》请在金锄头文库上搜索。
1、Windows组策略之软件限制策略2009-12-01 15:11对于Windows的组策略,也许大家使用的更多的只是管理模板里的各项功能。对于软件限制策略相信用过的筒子们不是很多:)。软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。本文将以以下几方面为重点来进行
2、讲解:1. 概述2. 附加规则和安全级别3. 软件限制策略的优先权4. 规则的权限分配及继承5. 如何编写规则6. 示例规则1、概述使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Internet 区域规则,就用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则,而路径规则呢则是这些规则中使用最为灵活的,所以后文中如果没有特别说明,所有规则指的都是路径规则。2、附加规则和安全级别 附加规则 在使用软件限制策略时,使用以下规
3、则来对软件进行标识: 证书规则软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll扩展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。 路径规则路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以程序发生移动后路径规则将失效。路径规则中可以使用诸如 %programfiles% 或 %systemroot% 之类环境变量。路径规则也支持通配符,所支持的通配符为 * 和 ?。 散列规则散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用
4、 SHA-1(安全散列算法)和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。例如,可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是,对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。 Internet 区域规则区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信
5、站点。以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况下列表中的文件类型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ,所以对于正常的非可执行的文件,例如TXT JPG GIF这些是不受影响的,如果你认为还有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者你认为哪些扩展无威胁,也可以将其删除。安全级别对于软件限制策略,
6、默认情况下,系统为我们提供了两个安全级别:“不受限的”和“不允许的”注:1. “不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限2. “不受限的”级别不等于完全不受限制,只是不受软件限制策略的附加限制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。但实际上,还有三个级别在默认情况是隐藏掉的,我们可以通过手动修改注册表来开启其它的三个级别,打开注册表编辑器,展开至:HKEY_LO
7、CAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一个DOWRD,命名为Levels,其值为 0x4131000(十六十制的4131000)创建完毕后重新打开gpedit.msc,我们会看到另外三个级别此时已经开启了。1. 不受限的最高权限,但其也并不是完全的不受限,而是“软件访问权由用户的访问权来决定”,即继承父进程的权限。2. 基本用户基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。3. 受限的比基本用户限制更多,但也享有“跳过遍历检查”的特权。4. 不信任的不允许对系统资源、用户资源进行访问,直
8、接的结果就是程序将无法运行。5. 不允许的无条件地阻止程序执行或文件被打开根据权限大小可以排序为:不受限的 基本用户 受限的 不信任的 不允许的3、软件限制策略的优先权一个特定的程序可以有多个不同的规则适用,为此,可以按下列优先权顺序来使用这些规则。优先权按从高到低的顺序排列如下:散列规则 证书规则 路径规则 Internet 区域规则如果存在多个路径规则冲突,则最具限制性的规则占有优先权。总的原则就是:规则越匹配越优先。例如:C:WindowsSystem32Taskmgr.exeC:WindowsSystem32*.exe*.exeC:WindowsSystem32C:Windows本例是
9、按优先权从高到低排列的。从这里我们可以看出:绝对路径 通配符路径文件名规则 目录规则对于同样是目录规则的,则目录数匹配越多就越优先。如果同时存在两个相似的规则,则最具限制性的规则优先权最高。例如,如果 C:Windows 上有一个路径规则,其安全级别为“不允许的”,而 %windir% 上也有一个路径规则,其安全级别为“不受限制的”,则会采用最具限制性的规则,即“不允许的”。这里,我们再顺便介绍一下环境变量和通配符。在路径规则里,允许使用诸如“%windir%”“%userprofile%”之类的环境变量。一般情况下,我们的系统是在C盘,但也有些人基于其它一些原因如要安装双系统等,将系统安装在
10、其它比如D盘下面,这时我们平常用到的一些路径比如“C:windows”就会无效,为了防止这种情况,我们就可以使用系统变量,像“%windir%”,系统会自动为我们匹配其目录。我们在创建规则的时候也可以使用这些环境变量,以适用于不同的系统。下面列出的是一些常使用的环境变量,更多的环境变量你可以运行 CMD 然后运行 SET 命令进行查看。ALLUSERSPROFILE = C:Documents and SettingsAll UsersAPPDATA = C:Documents and SettingsAdministratorApplication DataCommonProgramFile
11、s = C:Program FilesCommon FilesComSpec = C:WINDOWSsystem32cmd.exeHOMEDRIVE = C:HOMEPATH = Documents and SettingsAdministratorProgramFiles = C:Program FilesSystemDrive = C:SystemRoot = C:WINDOWSTEMP = C:Documents and Settings当前用户名Local SettingsTemp TMP = C:WindowsTempUSERPROFILE = C:Documents and Set
12、tingsAdministratorWINDIR = C:WINDOWS同样,路径规则也支持使用通配符,对DOS熟悉的筒子应该知道这个东西,就是“?”和“*”。? :包括1个或0个字符* :包括任意个字符(包括0个),但不包括斜杠对于通配符,其实网上很多教程上的做法是有误的。例如有一条:%USERPROFILE%Local Settings*.* 不允许的这条规则本意是阻止所有被指派的文件从 Local Settings 目录(包括其子目录)启动,但是经过验证发现,“*”和“*”是完全等效的,并且“*”不包括“”。那么这条规则的实际意思就是“阻止所有被指派的文件从 Local Settings
13、 的一级目录运行”,不包括 Local Settings 目录本身,也不包括二级及其下的所有子目录。我们来看看 Local Settings 目录下的一级目录有哪些呢?默认情况下是:Temp、Temporary Internet Files、Application Data、History,那么这条规则里就包括有禁止TEMP目录下的所有被指派的文件运行的意思,其根本结果就是会造成很多软件无法安装。因为有些软件在安装时会先行解压到TEMP目录。影响最大(简直可以列入本年度十大最错误的做法中了)的一条:?:autorun.inf “不允许的”相信对软件限制策略有研究的筒子都见过这条规则吧,这条规则
14、的本意是阻止所有盘根目录下的 autorun.inf 文件运行,以阻止U盘病毒的运行。它也确实达到了它的目的, autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答案是否定的,病毒还是会被正常运行。为什么呢?我们来了解一下系统是怎么处理 autorun.inf 文件的。首先,svchost.exe 读取 autorun.inf,然后 explorer.exe 读取 autorun.inf,再然后 explorer.exe 将 autorun.inf 里的相关内容写入注册表中 MountPoints2 这个键值。只要 explorer.exe 成功写入注册表,那么这个 autorun.inf 文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。那么我们的软件限制策略中,将 autorun.inf 设为”不允许的”这一做
