WindowsXP客戶端的軟件限制策略

1、windows xp客戶端的軟件限制策略更新日期：2004年03月01日http:/www .microsoft .com/china/technet/security/guidance/secmod65 .mspx本頁內(nèi)容本模塊內(nèi)容1 h標:適用范閘:如何使用本模塊i軟件限制策略2軟件限制策略體系結(jié)構(gòu)1軟件限制策略選項:軟件限制策略的設(shè)汁和部署w摘要本模塊內(nèi)容microsoft® windows® xp professional 和 microsoft windows server 2003 提供了"軟件限制策略" 功能，管理員可用來控制軟件在本地計算

2、機上運行的能力。通過此功能，管理員可以防止用戶運行未經(jīng)授權(quán)的軟 件，并提供了jt他保護措施以防病毒和特洛伊木馬程序的攻擊。由于軟件限制策略已集成到組策略中，因此可將 英部署在microsoft active directory®冃錄服務(wù)域中。此外，還可將軟件限制策略部署在獨立計算機中。返冋頁首目標使川木模塊可以實現(xiàn)下列目標：設(shè)計和部署軟件限制策略選擇正確的規(guī)則類型并使用它來標識軟件控制軟件限制策略使用的檢查級別將軟件限制策略配置為始終允許管理員運行軟件返冋頁首適用范圍本模塊適用于下列產(chǎn)品和技術(shù):windows server 2003 域屮的 windows xp profession

3、al service pack (sp) 1 客戶端 獨立的 windows xp professional sp1 客戶端?返冋頁首如何使用本模塊此模塊詳細描述了軟件限制策略以及如何使川它們來控制軟件在本地計算機上運行的能力。為了充分理解本模塊內(nèi)容，請閱讀本指南中的模塊2“配置active directory域基礎(chǔ)結(jié)構(gòu)”。此模塊描述了如何部署合并了軟件限制策 略的組策略。使用檢查表。木指南“檢杳農(nóng)”部分的檢杳表“windows xp客戶端的軟件限制策略”提供了作業(yè)指導(dǎo)，以供快 速參考。使用基于任務(wù)的檢查表可以快速評佔需耍哪些步驟并幫助您逐步完成各個步驟。i返冋頁首軟件限制策略軟件限制策略為管

4、理員提供了一套策略驅(qū)動機制，用于標識軟件并控制該軟件在本地計算機上運行的能力。這些 策略可以確保環(huán)境中運行windows xp professional的計算機之間不存在已知沖突，并保護計算機免受惡總 病毒和特洛伊木馬程序的攻擊。軟件限制策略與active directory和組策略完全集成。還可以在獨立計算機上 使川該策略。軟件限制策略的工作性質(zhì)使得此模塊在結(jié)構(gòu)上不同于本指南中的其他模塊。管理員首先定義允許在環(huán)境中的客戶 端上運行的應(yīng)川程序集，然后確左該策略將對脅戶端應(yīng)川的限制，而不是根據(jù)前面模塊中的指示性建議來配置組 策略的設(shè)置選項。軟件限制策略最初包括不受限設(shè)哉和不允許設(shè)置的默認安全級別

5、，以及為組策略對彖(gpo)定義的規(guī)則。既可 以對整個域應(yīng)用該策略，也町以對環(huán)境中的木地計算機或用戶應(yīng)用該策略。軟件限制策略提供了很多用于標識軟 件的方法,以及一個基于策略的基礎(chǔ)結(jié)構(gòu),以強制實施有關(guān)已標識軟件運行方式的規(guī)則。用戶在運行軟件程序時, 必須遵守環(huán)境中的管理員在軟件限制策略中建立的規(guī)則。町以使用軟件限制策略執(zhí)行卜列操作：控制哪些軟件可以在環(huán)境中的客戶端上運行。限制用戶對多用戶計算機上的特定文件的訪問。確定可以向客戶端添加受信任的出版商的用戶o定義策略是影響客戶端上的所有用戶還是用戶子集。禁止可執(zhí)行文件在木地計算機、ou、站點或域上運行。1返冋頁首軟件限制策略體系結(jié)構(gòu)軟件限制策略體系結(jié)

6、構(gòu)提供了下列強大功能：基于域或本地計算機的策略實施：管理員創(chuàng)建該策略，然后定義哪些應(yīng)用程序是受信任的應(yīng)用程序，哪些不 是受信任的應(yīng)用程序。該策略在運行時強制實施，用戶不會收到允許其選擇是否運行可執(zhí)行文件的提示。應(yīng)用范圍并不僅局限于可執(zhí)行文件的策略。軟件的構(gòu)成尚無明確定義。該策略可以控制microsoft visual basic® scripting edition (vbscript)> microsoft jscript® 以及其他腳木語育。它還與 windows installer功能集成在一起，以控制可以在客戶端上安裝哪些程序包。此功能包含一個應(yīng)用程序編程接口

7、 (api),用于協(xié)調(diào)策略運行時與其他運行時?？煽s放的策略。該策略在擁有多種計算機類型和應(yīng)用程序的大型企業(yè)中必須具有可管理性，但同時它述必須 在單獨的環(huán)境中運行。軟件限制策略利用active directory和組策略實現(xiàn)町管理性。該策略存儲在gpo 屮。還可以通過將gpo存儲為木地計算機策略對彖，在單獨的非域聯(lián)接環(huán)境屮使用此策略功能。靈活策略。管理員可以靈活地禁止未授權(quán)腳本的運行，并可調(diào)整microsoft activex®控件或鎖定客戶端。啟用嚴格加密以標識軟件的策略:該策略可以使用哈希、證書或簽名標識軟件。實現(xiàn)軟件限制策略體系結(jié)構(gòu)的過程包括三個階段：1. 管理員或委托機構(gòu)使川組

8、策略microsoft管理控制臺(mmc)管理單元為active directory容器站點、 域或0u創(chuàng)建策略。microsoft建議為軟件限制策略創(chuàng)建單獨的gpo。注意：要為木地獨立計算機新建軟件限制策略，您必須是木地計算機中administrators組的成員。要 配置這些設(shè)置，請單擊“windows設(shè)置”、“安全設(shè)置”，然后單擊“軟件限制策略”。2. 計算機級策略在啟動時下載并牛效。川戶策略在用戶貸錄到系統(tǒng)或域時牛效。耍更新策略，請使川 gpupdate.exe / force命令訪問該策略。3. 當川戶啟動程序或腳木、操作系統(tǒng)或腳木主機時，該策略將根據(jù)強制實施的優(yōu)先規(guī)則來確定它是否可

9、以運行。 不受限或不允許設(shè)置軟件限制策略由兩部分組成：用于確定哪些程序可以運行的默認規(guī)則。默認規(guī)則的例外清單?？梢詫⒂糜跇俗R軟件的默認規(guī)則設(shè)置為“不受限的”或“不允許的”(實際上是指運行還是不運行)。將默認規(guī)則設(shè)置為“不受限的”允許管理員定義例外內(nèi)容，或定義一組不允許運行的程序。在具冇松散管理客戶端 的環(huán)境中請使川“不受限的”默認設(shè)置。例如，可以禁止用戶安裝將與現(xiàn)有程序沖突的程序，方法是創(chuàng)建一個規(guī)則 來阻止該程序運行。 一種更安全的方法是將默認規(guī)則設(shè)置為“不允許的”，然后只允許特定的程序集運行。在“不允許的”默認設(shè)置卜 管理員必須為每個應(yīng)用程序眾義所有規(guī)則，并確保用戶在其計算機上擁有正確的安全

10、設(shè)置，以便訪問允許他們運 行的應(yīng)川程序?！安辉试S的”默認設(shè)置繪確保windows xp客戶端安全的肯選默認設(shè)置。標識軟件的四個規(guī)則軟件限制策略中的規(guī)則標識一個或多個應(yīng)用程序，以指定是否允許它們運行。創(chuàng)建規(guī)則主要包折標識應(yīng)用程序， 然后將英標識為“不允許的”默認設(shè)置的例外。每個規(guī)則都可以包含用于描述其用途的注釋。windows xp中的 內(nèi)趕實施引擎育先在軟件限制策略中査詢規(guī)則，然后才允許程序運行。軟件限制策略使用下列四個規(guī)則來標識軟件：哈希規(guī)則-使用可執(zhí)行文件的加密指印。證書規(guī)則-使用軟件發(fā)布者為.exe文件提供的數(shù)字簽名證書。路徑規(guī)則使用.exe文件位置的本地路徑、通用命名約泄（unc）路徑

11、或注冊表路徑。區(qū)域規(guī)則-使用可執(zhí)行文件源自的internet區(qū)域（如果該文件是使用microsoft internet explorer下 載的）。哈希規(guī)則哈希是唯一標識軟件程序或可執(zhí)行文件（即使該程序或可執(zhí)行文件已被移動或重命名）的指印。這樣，管理員可 以使用哈希來跟蹤他（或她）不希塑用戶運行的特定版木的可執(zhí)行文件或程序。如果程序在安全或隱私方而存在 漏洞，或者可能會破壞系統(tǒng)的穩(wěn)定性，則可以使用哈希規(guī)則。使川哈希規(guī)則，軟件程序始終具有唯一可標識性，因為哈希規(guī)則匹配基于涉及文件內(nèi)容的加密計算。唯一受嗆希 規(guī)則影響的文件類型是在“軟件限制策略”的詳細信息窗格屮“指派的文件類型”部分列出的那些文件

12、類型。哈希規(guī)則比較適合于靜態(tài)壞境。如果客戶端中的軟件經(jīng)常升級，則應(yīng)在每個程序更新后將哈希重新應(yīng)用于其可執(zhí) 行文件。哈希規(guī)則非常適川于耒向其相應(yīng)程序的可執(zhí)行文件應(yīng)用更改或升級的環(huán)境。哈希規(guī)則由下列三個數(shù)據(jù)段組成，并以冒號分隔： md5或sha-1哈希值。文件長度。哈希算法id編號。數(shù)字簽名文件使用簽名中包含的哈希值（可能是md5或sha-1 ）。非數(shù)字簽名的可執(zhí)行文件使用md5哈希 值。哈希規(guī)則的格式如下所示：md5或sha1哈希值:文件長度:哈希算法id 以下哈希規(guī)則示例用于內(nèi)容與md5哈希值(由哈希算法標識符32771表示)和哈希算法7bc04acc0d6480af862d22d724c3b

13、049 相匹配的 126 個字節(jié)長的文件：7bc04acc0d6480af862d22d724c3b049:126:32771管理員耍限制或允許的每個文件都需耍包含一個哈希規(guī)則。軟件更新后，由于原始可執(zhí)行文件的哈希值通常已被 覆蓋，因此管理員必須為每個應(yīng)川程序新建一個哈希規(guī)則。執(zhí)行下列步驟將哈希規(guī)則應(yīng)川于現(xiàn)冇的可執(zhí)行文件。要將哈希規(guī)則應(yīng)用于現(xiàn)有的可執(zhí)行文件，請執(zhí)行下列操作：1. 在組策略對彖編輯器工具欄上，單擊“windows設(shè)宣”、“安全設(shè)置”、“軟件限制策略"，然后右鍵單 擊“其他規(guī)則”。2. 單擊快捷菜單上的“新散列規(guī)則”。圖6.1“新散列規(guī)則'対話框3. 單擊“瀏覽”

14、選擇要哈希的文件。本例中的可執(zhí)行文件為excel.exeo新文件哈希值顯示在“文件哈希:” 框中。應(yīng)用程序版本顯示在“文件信息:”框中。4. 選擇耍用于此規(guī)則的安全級別默認設(shè)置?？晒┻x擇的選項包括：不允許的不受限的證書規(guī)則證書規(guī)則指定代碼簽名軟件發(fā)布者的證書。例如，管理員可能需要所有腳木和activex控件的簽名證書。符合證書規(guī)則的允許來源包括：商業(yè)證書頒發(fā)機構(gòu)(ca),如verisign。windows 2000 或 windows server 2003 公鑰基礎(chǔ)結(jié)構(gòu)（pki）。 口簽名證書。證書規(guī)則是一種非常有效的標識軟件的方法，因為它使用己簽名文件的簽名中包含的已簽名哈希來匹配文件，而

15、 不管文件的名稱或位置如何。要創(chuàng)建證書規(guī)則的例外，可以使用哈希規(guī)則對其進行標識。啟用證書規(guī)則證書規(guī)則在默認悄況下不啟丿ijo可以執(zhí)行下列步驟來啟丿ij證書規(guī)則。要啟用證書規(guī)則，請執(zhí)行下列操作：1. 在組策略對象編輯器中打開gpo.2. 在控制臺樹中，單擊“安全選項”。3. 在詳細信息窗格中，雙擊“系統(tǒng)設(shè)置：為軟件限制策略對windows可執(zhí)行文件使用證書規(guī)則”。4. 單擊“啟用”以啟用證書規(guī)則。大多數(shù)商業(yè)web站點的軟件代碼都由商業(yè)ca進行簽名。這些證書通常在一到幾年內(nèi)冇效。使川證書規(guī)則時, 應(yīng)注意證書的有效期?？梢耘c軟件發(fā)布者聯(lián)系，以獲取有關(guān)他們所發(fā)行證書的有效期的詳細信息。從商務(wù)ca收 到

16、證書時，可以將其導(dǎo)出到文件中，以創(chuàng)建證巧規(guī)則。可以執(zhí)行下列步驟來導(dǎo)出證書。要導(dǎo)出證書，請執(zhí)行下列操作：1.選擇要頒發(fā)證書的受信任發(fā)布者。木例中的證書發(fā)布者為microsoft msn® ,圖6.2“安全設(shè)置警告”對話框顯示了.受信任的出版商2. 單擊“詳細倍息”選項卡。注意：將此證書復(fù)制到文件,然后使用它創(chuàng)建證書規(guī)則。圖6.3“證廳對話框的詳細信息”選項卡3. 隨即將顯示“證書導(dǎo)出向?qū)?quot;歡迎頁面。單擊"卜一步”繼續(xù)操作。圖6.4“證書導(dǎo)出向?qū)А睔g迎貞面4.在“導(dǎo)出文件格式”頁向上，選擇“der編碼二進制x.509(.cer)“，然后單擊“下一步”創(chuàng)建擴展名為(x(

17、.cer)的證書文件。證書導(dǎo)出向?qū)?dǎo)出文件格式可以用不同的文件格式導(dǎo)岀證書.選擇要使用的格式：麗 ! - i ' < <11 * i « »! | | 八obase64 輪碼 x.509 c cer) q)o加密消息語法標準-pkcs #7證書(.p7b) (£)z 1如果可能 > 將所有證書包括到證書路徑中a)私人信息交換-fkcs #12 (. pfx) (£)z!如果可能 > 將所有證書包括到證書路徑中二i啟用加強保護o求ie 5.0, bt 4.0 sp4或更高版本)0)匚i如果導(dǎo)出成功"刪除密鑰$)&l

18、t;上一步©) |下一步>| 取消圖6.5“證書導(dǎo)出向?qū)А钡膶?dǎo)出文件格式”頁血顯示了選定的編碼方法5. 在"要導(dǎo)出的文件"頁面上,指定描述性的證書規(guī)則文件名。該證書將導(dǎo)出到windows xp中的certificate directory。要g出的文件揩定要導(dǎo)出的文件名。文件名（e）:c:cortificqtq dirmsn tick«r. c«r（瀏覽®|k上一步）下一步）1 職消圖6.6“證書導(dǎo)出向申妙耍導(dǎo)出的文件'頁面顯示了文件名示例6.隨即將顯示"正在完成證書導(dǎo)出向?qū)А表撜?，其中包含一個顯示證書文件的指

19、定設(shè)置的列衣。檢查這些設(shè)邑然后單擊欄完成”以導(dǎo)出該文件。證書導(dǎo)出佝導(dǎo)正在完成證書導(dǎo)出向?qū)殉晒Φ赝瓿勺C書&出冋&您已指定下列設(shè)去文件名導(dǎo)出密潤包描證書跖徑中所有i正書文件格式c*c«rti£icata dir 否 否der編同二進制x. sotk上一步）百鳶 取涌 |圖6.7“正在完成證書導(dǎo)出向?qū)А表撁骘@示了指定設(shè)置現(xiàn)在可以使用此文件創(chuàng)建證書規(guī)則。圖6.8"新建證書箱對話框顯示了指泄設(shè)置路徑規(guī)則路徑規(guī)則指定程序的文件夾路徑或完全限定路徑。當路徑規(guī)則指定文件夾時，它將i兀配該文件夾中包含的任何程 序以及相關(guān)了文件夾中包含的任何程序。路徑規(guī)則既支持本

20、地路徑也支持unc路徑。管理員必須在路徑規(guī)則中定義川于啟動特定應(yīng)用程序的所冇目錄。例如，如果管理員在桌面上創(chuàng)建了一個川于啟 動應(yīng)丿ij程序的快捷方式，則在路徑規(guī)則中，用戶必須能夠同時訪問可執(zhí)行文件路徑和快捷方式路徑才能運行該應(yīng) 用稈序。試圖僅使用這兩個路徑之一來運行應(yīng)用程序?qū)⒂|發(fā)hsoftware restricted"警告。許多應(yīng)用程序使用% program files%變量將文件安裝在運行windows xp professional的計算機碘盤上。 如果將該變雖設(shè)置為不同驅(qū)動器上的其他li錄，某些應(yīng)用程序仍會將文件復(fù)制到原來的c:program files子 目錄中。因此，最好

21、將路徑規(guī)則定義到默認目錄位置。在路徑規(guī)則中使用環(huán)境變量可以將路徑規(guī)則定義為使用環(huán)境變量。由于路徑規(guī)則在*戶端環(huán)境中進行評佔，因此爸理員可以借助環(huán)境變量使 規(guī)則適合于特定川戶的環(huán)境。以下兩個示例顯示了將環(huán)境變量應(yīng)川于路徑規(guī)則的實例。 u % userprofile% 匹fill c:documents and settingsuser 以及該目錄下的所冇子文件夾。 "%pygrmmfj/es%'application 匹配 c:program filesapplication 以及該冃錄下的所有子文件夾。注意：環(huán)境變最不受訪問控制列表(acl)的保護。環(huán)境變量有兩種類型：use

22、r和system 0能夠啟動命令 提示的用戶可以將user環(huán)境變量重新定義到不同的路徑。只有administrators組中的用戶可以更改 system環(huán)境變量。以下是windows xp professional中默認環(huán)境變竝的當前列表：表6.1： xp professional的默認環(huán)境變量變量名說明allusersprofile返回所有用戶配置文件位置的木地變量。appdata返回應(yīng)用程序在默認情況下存儲數(shù)據(jù)的位置的本地變量。cd返回當前冃錄字符串的本地變量。cmdcmdline返回用于啟動當前cmd.exe程序的確切命令行的木地變量。cmdextversion返回當前命令處理器擴展的版

23、本號的系統(tǒng)變量。computername返回計算機名稱的系統(tǒng)變量。comspec將粘確路徑返回給命令外殼可執(zhí)行文件的系統(tǒng)變量。date返回當前口期的系統(tǒng)變量。該變量與date/t命令使用相同的格式。cmd.exe程序生成此變量。有關(guān)詳細信息，請參閱date命令。變量名說明errorlevel返回最近使用命令的錯誤代碼的系統(tǒng)變量。非零值通常表示錯誤。homedrive返回用戶主目錄的本地工作站驅(qū)動器號的系統(tǒng)變量。此變量是基于在組中為“本地用戶”和“組”指定的主目錄值設(shè)置的。homepath返回用戶主h錄的完整路徑的系統(tǒng)變駅。此變量是基于在組中為“本地用戶” 和“組”指定的主目錄值設(shè)置的。home

24、share返回用戶共享主目錄的網(wǎng)絡(luò)路徑的系統(tǒng)變量。此變量是基于在組中為“本地用 戶”和“組”指定的主目錄值設(shè)置的。logonsever本地變量，返回驗證當前登錄會話的域控制器的名稱。number of processors指定計算機上安裝的處理器數(shù)目的系統(tǒng)變量。os返冋操作系統(tǒng)名稱的系統(tǒng)變量。windows xp professional將操作系統(tǒng)顯示為 microsoft windows nt。path指定可執(zhí)行文件的搜索路徑的系統(tǒng)變量。path ext系統(tǒng)變鼠，返回操作系統(tǒng)將其視為可執(zhí)行文件的文件擴展名的列表。processor_archi tecture返回處理器芯片結(jié)構(gòu)的系統(tǒng)變量。值：

25、x86、ia64oprocessor. 1dentfi er返回處理器描述的系統(tǒng)變量。processor_level返回計算機處理器型號的系統(tǒng)變量。processor. revi si on返回處理器修訂號的系統(tǒng)變量。prompt返回當麗解釋程序的命令提示設(shè)置的木地變量。由cmd.exe生成。random返回0到32767 z間的隨機十進制數(shù)的系統(tǒng)變量，由cmd.exe程序生 成。systemdrive返冋包含windows根目錄（例如，系統(tǒng)根|錄）的驅(qū)動器的系統(tǒng)變量。systemroot返回windows根冃錄位置的系統(tǒng)變量。temp 或 tmp系統(tǒng)和用戶變炭，返冋當前登錄的用戶對以使用的應(yīng)

26、用程序的默認臨時目錄。 某些應(yīng)用程序需耍使用temp,而jt他應(yīng)用程序需要使用tmp.time返回當前時間的系統(tǒng)變量。該變量與time/t命令使川相同的格式，并由cmd.exe生成。有關(guān)詳細信息，請參閱time命令。變量名說明userdomain返回包含用戶帳戶的域的名稱的本地變量。username返回當前登錄用戶名的本地變量。userprofile返回當前用戶配置文件位置的本地變量。windir返回操作系統(tǒng)冃錄位置的系統(tǒng)變量。在路徑規(guī)則中使用通配符在路徑規(guī)則中可以使川“？”和"”通配符。以下示例顯示了應(yīng)丿ij于不同路徑規(guī)則的通配符： “dc ?login$”匹配 wdc ?01lo

27、gin$. wdc ?02login$,依此類推。 u*windows"匹配c:windows、d:windows> e:windows以及每個目錄下的所有子文件夾。 "c:win*"匹配c:winnt、c:windows、c:windir以及每個目錄下的所有子文件夾。 “* .vbs”匹配windows xp professional中具有此擴展名的任何應(yīng)用程序。 “c:application files'*.*”匹配特定子目錄中的所有應(yīng)用程序文件。注冊表路徑規(guī)則許多應(yīng)用程療；將其安裝文件夾或應(yīng)用程序目錄的路徑存儲在windows注冊表中。有些應(yīng)用

28、程序可以安裝在文 件系統(tǒng)中的任何位置。要找到它們，可以創(chuàng)建路徑規(guī)則來査找這些注冊表項。使用特定文件夾路徑(如c:program filesmicrosoft platform sdk)或環(huán)境變量(如% programh/es%microsoft platform sdk)可能不會很容易地標識這些位置。但是，如果程序?qū)⒂?yīng)用程序目錄儲在注冊表中，則對以創(chuàng)建一個路徑規(guī)則，該路徑規(guī)則將使用注冊農(nóng)屮所存儲的值，例如：%hkey_local_machinesoftwaremicrosoftplatformsdkdirectoriesinstall dir%.此類路徑規(guī)則稱為注冊農(nóng)路徑規(guī)則，英格式如下所示

29、：%< registry hive>< registry key name>< value name>%注意：任何注冊表路徑規(guī)則后綴都不應(yīng)在規(guī)則中的最后一個%符號之后緊跟一個字符。必須完整寫出注冊 表配置單元的名稱，縮寫無效。如果將默認規(guī)則設(shè)置為“不允許的”，將設(shè)置四個注冊表路徑，以便操作系統(tǒng)能夠訪問系統(tǒng)文件以執(zhí)行正常操作。 創(chuàng)建這些注冊農(nóng)路徑規(guī)則是為了避免將您自己和所有其他用戶鎖定在系統(tǒng)之外。這些注冊表規(guī)則被設(shè)賈為“不受 限的”。只冇高級用戶才可以修改或刪除這些規(guī)則。注冊表路徑規(guī)則設(shè)置如下所示：%hkey_local_machinesoftwaremicr

30、osoftwindows ntcurrentversionsystem root% %hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionsystem root%* .exe%hkey_local_machi nesoftware'microsoft'windows ntcurrentversionsystem root%system32* .exe%hkey_local_machinesoftwaremicrosoftwindowscurrentversionprogram filesdir%路徑規(guī)則優(yōu)先權(quán)如果

31、有多個匹配的路徑規(guī)則，則最具體的匹配規(guī)則優(yōu)先權(quán)最再。以下一纟比路徑按優(yōu)先權(quán)從戢再（最具體的匹配） 到最低（最i般的匹配）排序： drive:folder1folder2filename. extension drive:folder 1 folder2* .extension * extension drive: folder 1folder2 drive:folder1區(qū)域規(guī)則可以使用區(qū)域規(guī)則標識從下列任意區(qū)域（在internet explorer中定義）下載的軟件： i nternet i ntra net受限站點受信任的站點我的電腦internet區(qū)域規(guī)則的當詢版木僅適川于windows

32、 installer （* .msi）程序包。此規(guī)則不適用于通過internetexplorer下載的軟件。受區(qū)域規(guī)則影響的所有it他文件類型已在此模塊后面提供的指派文件類型表中列出。有 一個山所有區(qū)域規(guī)則共學(xué)的指派文件類型組成的列表。路徑規(guī)則建議使川下表確定故適合于應(yīng)川程序的川八和環(huán)境的路徑規(guī)則。農(nóng)6.2：確定給定應(yīng)川程序的最佳路徑規(guī)則任務(wù)推薦規(guī)則允許或不允許特定程序版本。哈希規(guī)則瀏覽到文件以創(chuàng)建哈希。任務(wù)推薦規(guī)則標識始終安裝在同一位置的程帶有環(huán)境變量的路徑規(guī)則序。% programfiles% rternet exploreriexplore.exe標識可以安裝在來戶端計算機上注冊表路徑規(guī)

33、則的任何位置的程序。% hkey_local_machi ne softwarbcom puterassociates i nocu latelt6.0 pat hhome%標識中央服務(wù)器上的-組腳本。路徑規(guī)則server_nameshare標識一組服務(wù)器上的一組腳本。帶有通配符的路徑規(guī)則例如，dc01 > dc02 和 dc03。dc?share禁止所有.vbs文件，但登錄腳帶有通配符的路徑規(guī)則木目錄中的.vbs文件除外。*.vbs設(shè)置為“不允許的”login_srvshare* .vbs 設(shè)置為“不受限的”不允許由病希安裝的名稱始終為路徑規(guī)則flcss.exe 的文件。flcss.e

34、xe設(shè)置為“不允許的”標識-組可以在任何位置運行的證書規(guī)則腳本。使用證書對腳本進行數(shù)字簽名。允許從受信任的internet區(qū)區(qū)域規(guī)則域站點安裝軟件。將“受信任的站點”設(shè)置為“不受限的”。軟件限制策略優(yōu)先權(quán)規(guī)則觀則按特定順序進行評佔。與程序匹配程度較高的規(guī)則比與同一程序匹配程度較低的觀則優(yōu)先。如果為同一軟件 建立了兩個不同安全級別的相同規(guī)則，則安全級別最壽的規(guī)則優(yōu)先。例如，如果將兩個哈希規(guī)則（一個哈希規(guī)則 的安全級別為“不允許的”，另一個的安全級別為“不受限的”）應(yīng)川于同i軟件程序，貝ij安全級別為“不允許的”的 規(guī)則優(yōu)先，程序?qū)⒉粫\行。以下列表定義了規(guī)則的優(yōu)先權(quán)順序（從具體到一般）：1. 哈

35、希規(guī)則2. 證書規(guī)則3. 路徑規(guī)則4. 區(qū)域規(guī)則5.默認規(guī)則1返回頁首軟件限制策略選項本部分討論了彫響軟件限制策略行為的各種強制選項。這些選項將改變數(shù)？簽名文件的microsoftauthenticode®信任設(shè)置的強制行為范圍。有兩個強制選項：“動態(tài)鏈接庫（dll）檢查”和“跳過管理員”。dll檢査大多數(shù)程序都由可執(zhí)行文件和許多支持dll組成。默認情況下，不會對dll強制實施軟件限制策略規(guī)則。這 是針對大多數(shù)客戶的推薦選項，下面列出了這樣做的三個原因：不允許主要可執(zhí)行文件可以阻止程序運行，因此無需再阻止構(gòu)成程序的dll。由于dll檢查必須檢查鏈接到應(yīng)用程序的所有庫，因此會降低系統(tǒng)性

36、能。例如，如果用戶在登錄會話中運 行了 10個程序，則軟件限制策略將評估每個程序。打開dll檢査厲，軟件限制策略將評估每個程序屮的 每個dll負載。如果每個程序使川20個dll,這將導(dǎo)致10個可執(zhí)行程序檢查以及200個dll檢查, 因此軟件限制策略必須執(zhí)行210次評估。internet explorer之類的程序由可執(zhí)行文件、iexplore.exe和多個支持dll組成。.將默認安全級別設(shè)置為“不允許的”將強制系統(tǒng)不僅要標識主要可執(zhí)行文件（在允許該程序運行z前），還要 標識作為.exe文件組成部分的所有dll,這將加重系統(tǒng)負擔。如果耍最高限度地確保壞境中運行的程序的安全性，則建議您使用“dll

37、檢杳”選項。這是因為盡管病毒主耍攻擊 可執(zhí)行文件，但某些病毒卻專門攻擊dllo要確保程序中不包含病毒，可以使用一組哈希規(guī)則來標識可執(zhí)行文件以及構(gòu)成該文件的所有dll。要關(guān)閉“dll檢查”選項，請執(zhí)行下列操作：在“強制屬性”對話框中，選擇“除去庫文件（如dii）z外的所冇軟件文件”。圖6.9“強制屬性”對話框顯示了文件和用戶強制選項跳過管理員 管理員可能要禁止大多數(shù)用戶運行某些程序,但允許管理員運行所有這些程序。例如,管理員可能有一臺多個用 戶通過終端服務(wù)器連接的共享計算機。管理員希望用戶只運行計算機上的特定應(yīng)用程序，但希望本地 administrators組屮的成員能夠運行所有程序?？梢允褂谩?/p>

38、跳過管理員”強制選項來執(zhí)行此操作。 如果在鏈接到active directory中的對彖的gpo中創(chuàng)建了軟件限制笫略（而不是使用“跳過管理員”選項）， 則microsoft建議拒絕將此gpo上的“應(yīng)用組策略”權(quán)限授予administrators組。因為未下載不應(yīng)用于管 理員的gpo設(shè)置，因此這將降低網(wǎng)絡(luò)通信量。注意：木地安全策略對彖屮定義的軟件限制策略無法過濾用戶紐。這種情況卜-，請使用“跳過管理員”選項。要打開“跳過管理員”選項，請執(zhí)行下列操作：在上圖6.9中的“強制屬性”對話框中,選擇“除本地管理員以外的所有用戶”。定義可執(zhí)行文件下圖6.10中的“指派的文件類世屬性”對話框中列出了軟件限制

39、策略控制的文件類型。指派的文件類型被視為可 執(zhí)行文件。例如，屏幕保護文件（scr）便被視為可執(zhí)行文件，因為在windows資源管理器中雙擊該文件時， 它將作為程序加載。軟件限制策略規(guī)則只適用于“指派的文件類型屬性”對話框中列出的文件類型。如果環(huán)境使用要應(yīng)用規(guī)則的文件類 型，請將該文件類型添加到列表中。例如，對于perl腳本文件，可以選擇將.pl以及其他與perl引擎關(guān)聯(lián)的 文件類型添加到位于“指派的文件類型屬性”對話框中“常規(guī)”選項卡下的“指定的文件類型:”列表中。圖 6.10“指派的文件類糧屬件”對話框本示例刪除了文件類型.mdb,并添加了 .ocx。下表列出了指派的文件類型。表6.3：指派

40、的文件類型文件擴展名文件描述.ademicrosoft access項目擴展名.adpmicrosoft access 項目.basvisual basic 類模塊.bat批處理文件.chm已編譯的html幫助文件.cmdwindows nt命令腳本.comms-dos應(yīng)用程序.cpl控制面板擴展名.crt安全證書.exe應(yīng)用程序.hipwindows幫助文件.htahtml應(yīng)用程序.inf安裝信息文件.insinternet通信設(shè)置.ispinternet通信設(shè)置jsjscript 文件.jsejscript編碼的腳木文件nk快捷方式.mdemicrosoft access mde 數(shù)據(jù)庫.

41、mscmicrosoft common console 文檔.msiwindows installer 程序包mspwindows installer 修補程序.mstvisual測試源文件 ocxactivex 控件文件擴展名文件描述.pedphoto cd 圖像.pitms-dos程序的快捷方式 reg注冊表項scr屏幕保護程序.setwindows腳本組件.shs外殼片段對彖.urlinternet快捷方式（統(tǒng)一資源定位器）.vbvb文件.vbevbscript編碼的腳本文件.vbsvbscript腳本文件wscwindows腳本組件.wsfwindows腳本文件.wshwindows腳

42、木主機設(shè)置文件已知問題如果將軟件限制策略配置為限制16位程序（如或）,用戶仍然可以啟動該程序, 即使他們沒有運行該程序的權(quán)限。耍解決此問題，可以在環(huán)境中的客戶端上安裝windows xp professional service pack 1。軟件限制策略不禁止代碼在microsoft win32®子系統(tǒng)以外運行。例如，用戶可以從便攜操作系統(tǒng)接口 （posix）子系統(tǒng)運行同一命令。要阻止這利粘況的發(fā)生，請通過測余下列posix值來關(guān)閉posix子系統(tǒng)：hklmsystemcurrentcontrolsetcontrolsessionmanagersubsy stems受信任的出版商可

43、以使用“受信任的出版商屈性”對話框來配置哪些川戶可以選擇受信任的出版商。述可以確定在信任發(fā)布者z前 執(zhí)行哪些證帖吊銷檢杳（如果存在）。啟用證書規(guī)則后，軟件限制策略將檢杳證列表（crl）,以確保軟件 的證書和簽名冇效。這也會造成簽名程序川動時系統(tǒng)性能的下降。使川下圖6.11中顯示的“受信任的出版商屬 性”對話框中“常規(guī)”選項卡下的選項，可以配置與activex控件以及其他簽名內(nèi)容相關(guān)的設(shè)置。圖 6.1 1“受信任的出版商屬性”對話框下表顯示了與activex控件以及其他簽名內(nèi)容相關(guān)的受信任發(fā)布者選項。表6.4：受信任發(fā)布者的任務(wù)和設(shè)置設(shè)置名稱任務(wù)企業(yè)管理員用于只允許企業(yè)管理員進行有關(guān)簽名活動內(nèi)容

44、的決策。本地計算機管理員用于允許本地計算機管理員進行有關(guān)簽名活動內(nèi)容的所有決策。最終用戶用于允許用戶進行有關(guān)簽名活動內(nèi)容的決策。發(fā)布者用于確保軟件發(fā)布者使用的證書未被吊銷。時間戳用于確保組織用于對活動內(nèi)容加時間戳的證書未被吊銷。?返冋頁首軟件限制策略的設(shè)計和部署木部分介紹了如何使用組策略管理單元來管理軟件限制策略，首次編輯策略時的注意事項，以及如何將軟件限制策略應(yīng)用于用戶纟h.。此外，還介紹了在部署軟件限制策略時要考慮的各種問題。與組策略集成可以對一組客戶端以及甕錄到客戶端的所有用戶使用組策略管理單元來管理軟件限制策略。該策略將應(yīng)用于本指 南中定義的臺式計算機和便攜式計算機0u。域管理員應(yīng)為軟

45、件限制策略創(chuàng)建一個單獨的gpo。這樣可以刪除組策略而不破壞應(yīng)用于該對象的英他策略。本地必須為環(huán)境中的獨立客戶端配置一個本地策略。注意，在配置和復(fù)制了本地策略z厲可能會出現(xiàn)沖突。設(shè)計策略木部分概述了在設(shè)計和部署軟件限制策略時耍執(zhí)行的步驟。設(shè)計策略需要作出兒項決策，下衣將對此進行詳細說 明。農(nóng)6.5：耍進行的重耍策略設(shè)訃決策決策要考慮的因素便攜式計算機或工 作站?？紤]環(huán)境中移動用戶的需求，以便確定便攜式計算機是否需要與臺式計算機不同的策略。 便攜式計算機通常比臺式計算機需要更大的靈活性。服務(wù)器共享、登錄腳木和主驅(qū)動器。蠱耍為從服務(wù)器共亨冃錄或左冃錄心動的任何應(yīng)用程用定義個路徑規(guī)則。可以向路徑規(guī) 則

46、添加登錄腳本文件。如果腳本調(diào)用任何其他腳本，還應(yīng)向路徑規(guī)則中添加可執(zhí)行文件的gpo或本地安全策 略。木指南為此設(shè)計使用了 gpo,但您應(yīng)該考慮本地策略對設(shè)計的彩響。用戶或客戶端策略。此設(shè)計適用于客戶端級的所有設(shè)置。默認安全級別建議將默認設(shè)置配置為“不允許的”，然后相應(yīng)地配置策略的其余部分。也可以使用默認設(shè)置“不受限的”。其他規(guī)則使用默認策略“不允許的”時，盅耍根據(jù)需要應(yīng)丿ij其他操作系統(tǒng)路徑規(guī)則。在“不允許的”配置 中，自動創(chuàng)建了四個規(guī)則。策略選項如果正在使用木地安全策略，并1l不希望該策略應(yīng)用于環(huán)境屮客戶端上的管理員，請選擇 策略強制選項“跳過管理員”。如果除了可執(zhí)行文件和腳本以外，還耍檢杳

47、dll,請選擇策略強制選項“dll檢杳”。如果要在指派文件類羽默認列農(nóng)以外的文件類型上建立規(guī)則，請使用該選項根據(jù)需要將這 些文件類型添加到“指派的文件類型屬性”對話框中。如果要更改可以對下載activex控件和其他簽名內(nèi)容作出決策的用戶，謎選中“受信任的 出版商屬性”對話框中“常規(guī)”選項卡下的“發(fā)布者”的復(fù)選框。將策略應(yīng)用于站點、域或0u。該決策將駐留在臺式計算機和便攜式計算機所在的0u之下。最佳操作microsoft建議為軟件限制策略創(chuàng)建一個單獨的gpo.以便在緊急悄況下需要禁用該策略時，它不會影響域策 略或本地策略的其余部分。此外，如果您在0u的設(shè)計階段使用軟件限制策略總外地鎖定了工作站，

48、則可以在“安全模式”下重新啟動計算 機，并以木地管理員的身份甥錄，然后修改該策略。在安全模式”下啟動windows時將不應(yīng)用軟件限制策略。在“安全模式”下啟動計算機后，請運行g(shù)pupdate.exe,然后重新啟動計算機。 為了獲得最大安全性，請將acl與軟件限制策略一同使用。川戶可能會重命名或移動不允許的文件，或覆蓋不 受限的文件，以此來嘗試跳過軟件限制策略。為了防止發(fā)生這種情況，詰使用acl拒絕授予用戶執(zhí)行這些操作 的權(quán)限。野錄腳木通常位于域控制器或中央服務(wù)器上的sysvol下。域控制器通?？梢噪S每次登錄而更改。如果默認規(guī)則 設(shè)置為“不允許的”，請確保創(chuàng)建用于標識登錄腳本位置的規(guī)則。如果登錄

49、服務(wù)器具有相似的名稱，可考慮使用通 配符來定位它們，或使用具有不受限設(shè)置的登錄腳木乳稱。注意：在將新的軟件限制策略設(shè)置應(yīng)用于域0前，應(yīng)在整個測試環(huán)境中對其進行測試。新策略設(shè)置的彳了為可能與 最初的預(yù)計行為不符。通過測試可以減少在網(wǎng)絡(luò)中部署軟件限制策略設(shè)置時遇到問題的可能性。過程演練以下步驟將指導(dǎo)您完成設(shè)計軟件限制策略,并將其作為gpo應(yīng)用于環(huán)境中的便攜式計算機和臺式計算機的全部 過程。步驟1 ：為0u創(chuàng)建gpo找到為環(huán)境中的臺式計算機或便攜式計算機創(chuàng)建的0u。如果在獨立玄戶端上工作，則設(shè)置位于本地計算機策略 中。在此策略中，單擊“屬性”，然后新建一個gpo.根據(jù)組織的命名約定來命名策略。注意，

50、此策略將只用于 強制實施軟件限制。步驟2：設(shè)置軟件限制策略突出顯示此gpo.然厲單擊“編輯”。遍歷該樹，直到找到“windows設(shè)置”“安全設(shè)置”“軟件限制策略”。首次 編輯該策略時，您將看到下列消息：未定義軟件安全策略。此消息警告您創(chuàng)建策略將定義默認值。這些默認值可能覆蓋其他軟件限制策略中的設(shè)置。由于詢未設(shè)胃軟件限制 設(shè)置，因此將使用默認設(shè)置啟動。右鍵單擊“操作”菜單,然后選擇“新建軟件限制策略”。步驟3:設(shè)置路徑規(guī)則確定了工作站將擁有的應(yīng)用程序和腳本后，便可以設(shè)置路徑規(guī)則。某些程序?qū)悠渌绦騺韴?zhí)行任務(wù)。環(huán)境屮 的軟件應(yīng)川程序可能依賴于一個或多個支持程序。當前安裝的軟件上的清單和安裝文檔

51、對于跟蹤路徑規(guī)則非常有 用。工作站設(shè)計示例可能包括下列規(guī)則： applications = *program files shared group applications= g:group applications logon script = logon.bat desktop shortcuts = *.lnkmalicious vb script = * .vbs步驟4：設(shè)置策略選項 下列內(nèi)容包括此設(shè)計的建議設(shè)置。這些選項將改變數(shù)字簽名文件的強制行為范用或authenticode信任設(shè)置。 強制-如果計算機是域的組成部分,則確保domain admins組白動添加到adm inistr

52、ators組。 應(yīng)用于用戶-此選項包含除木地管理員以外的所有用戶。使用此設(shè)置將延遲每個應(yīng)用程序的啟動。対彌補此不 足，此設(shè)計將策略設(shè)置為不檢查dllo應(yīng)用于文件此選項包括除庫（如dll）以外的所有軟件文件。使川此設(shè)置將延遲每個應(yīng)用程序的啟動。為彌 補此不足，此設(shè)計將策略設(shè)賈為不檢杳dll。指派的文件類型對丁木指南中定義的gpo設(shè)計，未向該列衣屮添加其他文件類型。實際上，可以根據(jù)需要 添加自沱義應(yīng)用程序文件類型擴展，以使其遵守相同的規(guī)則。受信任的出版商-對于本指南中定義的gpo設(shè)計，啟用廣管理員”組，并選中了“受信任的出版商屬性：木地 計算機管理員”選項。信任發(fā)布者之/詢，在創(chuàng)建gpo的設(shè)計階段

53、選中“檢查：發(fā)布者”選項，以確保該策略將驗證證書。步驟5：應(yīng)用默認設(shè)置最好將策略配置為默認設(shè)置“不受限的"。這樣町以確保在應(yīng)川軟件限制前已完幣配置了該策略。檢查策略設(shè)置后， 將默認設(shè)置重新設(shè)置為“不允許的”。步驟6 :測試策略如果計算機是域的一部分，請將該計算機移到應(yīng)用該策略的0u容器中。重新啟動測試計算機，然后好錄到該 計算機。測試計劃應(yīng)說明在應(yīng)用策略后每個應(yīng)用程序的運行方式。運行應(yīng)用程序,以確保它們能夠完全止常運行, 并確保您能夠訪問它們的所有功能。驗證應(yīng)用程序的功能后，針對這些應(yīng)用程序進行-次模擬攻擊，以確保該策 略沒有安全漏洞。如果計算機是獨立客戶端，請住錄到測試計算機并執(zhí)行測試計劃。驗證應(yīng)用程序后，請再次啟動模擬攻擊，以確 保該策略沒有安全漏洞。