关于组策略-软件限制策略以及权限的研究.docVIP

关于软件限制策略以及权限的研究 说是研究，其实也就是对相关方面内容的一个汇总，并加入细节方面的实践性分析。首先，我们打开组策略中一个隐藏开关，开启“基本用户”和“受限的”权限类型。具体做法：打开注册表编辑器，展开至HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers新建一个DOWRD，命名为Levels，其值可以为0x10000 //增加受限的0x20000 //增加基本用户0x30000 //增加受限的，基本用户0x31000 //增加受限的，基本用户，不信任的（不信任和不允许差不了多少）建议设成0x30000或0x31000。或者有人抱怨软件限制策略不够灵活，其实打开受限的、基本用户之后，情况就会大大的不同。在建立策略之前，我们先要了解一下软件限制策略的权限类型和规则的优先级。1.权限类型：不受限的 基本用户 受限的 不信任的 不允许的 （以权限的高低排序，与优先级无关）2.绝对路径 通配符相对路径??（以优先级高低排序，下同）如 C:\Windows\explorer.exe *\Windows\explorer.exe??3.文件规则 目录规则 如若a.exe在Windows目录中，那么? ?a.exe C:\Windows4.环境变量 相应的实际路径 注册表键值路径如 %ProgramFiles% C:\Program Files %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%5.若两条规则路径等效，那么两条规则合成的结果是：从严处理，以最低的权限为准。如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 基本用户” “C:\Windows\explorer.exe 基本用户”6.权限的继承。这个正是本文的重点。当运行一个程序时，权限分配流程是这样的：首先继承父进程的权限，然后搜索软件限制策略，检查是否有匹配的规则，若有，则按优先级最高的规则的内容与父进程的权限内容进行对比，以最低权限的原则匹配。若无，则仍然继承父进程的权限。若父进程无指定权限，则以当前用户的类型的权限运行。以上内容应该很容易理解吧。举个例：假设你的用户帐户类型是管理员，并建立了这样的两条软件限制策略：1.c:\program files\internet explorer\iexplore.exe “基本用户”2.C:\Windows\cmd.exe? ?“不受限的”那么，我们以explorer.exe运行iexplore.exe，则实际分配给iexplore.exe的权限类型为“基本用户”。如果再以iexplore.exe启动cmd.exe的话，那么根据最低权限原则（“基本用户”低于“不受限的”），cmd.exe的实际权限仍然是“基本用户”再如我们以explorer.exe运行cmd.exe，由cmd执行命令 runas.exe /trustlevel:不受限的 “c:\program files\internet explorer\iexplore.exe” 来启动浏览器，那么其权限继承情况为：不受限的 - 不受限的 - 不受限的，也就是说这时IE也具有不受限的权限。实际上runas命令在这里起到临时规则的作用了解好以上内容后，我们就可以开始设置软件限制策略了。规则当然是由自己定制的最好，我在这里仅给出一个参考的方案。推荐的设置：1.首先，浏览器是一定要加入限制的，假设你使用浏览器是IE，那么建立路径规则%Programfiles%\internet explorer\iexplore.exe “基本用户”这样足以防绝大部分的网马了。如果使用的是其它的浏览器，也为其设置相应的规则2.加入U盘规则，例如 ?:\*.* 、?:\*??“不允许的”采取哪种形式可以自行决定，也可以把第一个 ? 改成你的U盘的实际盘符3.防范危险的双后缀格式的程序启动，建立如下规则*.jpg.exe、*.bmp.exe、*.xls*.exe、*.ppt*.exe、*.rar.exe、*.doc*.exe、*.mdb.exe、*.txt.exe、*.gif.exe、*.htm.exe、*.rm*.exe、*.wm?.exe、*.mp3.exe等等，全部设为“不允许的”其实还可以有很多，这里就不一一列出了。如果想更全