全面了解windows软件限制策略

《全面了解windows软件限制策略》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、全面了解Windows软件限制策略全面了解Windows软件限制策略文章来源于系统之家http://www.99xitong.com

　　随着网络、Internet以及电子邮件在商务计算方面的使用日益增多，用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择来确定应运行的程序是非常困难的,这时候就需要用到软件限制策略,今天就为大家讲解windows中这一神奇的功效吧.

　　1、概述

2、　　使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Internet区域规则，就用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则，而路径规则呢则是这些规则中使用最为灵活的，所以后文中如果没有特别说明，所有规则指的都是路径规则。

　　2、附加规则和安全级别

3、　　附加规则

　　在使用软件限制策略时，使用以下规则来对软件进行标识：

　　证书规则

　　软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有.exe或.dll扩展名的文件。它们可以应用到脚本和Windows安装程序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。

　　路径规则

　　路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所以程序发生移动后路径规则将失效。路径规则中可以使用诸如%programfiles%或%syst

4、emroot%之类环境变量。路径规则也支持通配符，所支持的通配符为*和?。

　　散列规则

　　散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用SHA-1(安全散列算法)和MD5散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。

　　例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是，对文件的任何篡改都将更改其散列值并允许其

5、绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。

　　Internet区域规则

　　区域规则只适用于Windows安装程序包。区域规则可以标识那些来自InternetExplorer指定区域的软件。这些区域是Internet、本地计算机、本地Intranet、受限站点和可信站点。

　　以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况下列表中的文件类型包括：ADEADPBASBATCHMCM

6、DCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBWSC，所以对于正常的非可执行的文件，例如TXTJPGGIF这些是不受影响的，如果你认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者你认为哪些扩展无威胁，也可以将其删除。

　　安全级别

　　对于软件限制策略，默认情况下，系统为我们提供了两个安全级别：“不受限的”和“不允许的”

　　注：

7、　“不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。

　　但实际上，还有三个级别在默认情况是隐藏掉

8、的，我们可以通过手动修改注册表来开启其它的三个级别，打开注册表编辑器，展开至：

　　HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows