江西广告网
标题:
Windows XP 客户端的软件限制策略三(图)
[打印本页]
作者:
御赐黄马甲
时间:
2008-12-14 11:26
标题:
Windows XP 客户端的软件限制策略三(图)
<br> <B>在路径规则中使用通配符</B><br> <br> 在路径规则中可以使用“?”和“*” 通配符。以下示例显示了应用于不同路径规则的通配符:<br> <br> “\\DC ???\login$”匹配 \\DC ?01\login$、\\DC ?02\login$,依此类推。<br> <br> “*\Windows”匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。<br> <br> “C:\win*”匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。<br> <br> “*.vbs”匹配 Windows XP Professional 中具有此扩展名的任何应用程序。<br> <br> “C:\Application Files\*.*”匹配特定子目录中的所有应用程序文件。<br> <br> <B>注册表路径规则</B><br> <br> 许多应用程序将其安装文件夹或应用程序目录的路径存储在 Windows 注册表中。有些应用程序可以安装在文件系统中的任何位置。要找到它们,可以创建路径规则来查找这些注册表项。<br> <br> 使用特定文件夹路径(如 C:\Program Files\Microsoft Platform SDK)或环境变量(如 %ProgramFiles%\Microsoft Platform SDK)可能不会很容易地标识这些位置。但是,如果程序将其应用程序目录存储在注册表中,则可以创建一个路径规则,该路径规则将使用注册表中所存储的值,例如:<br> <br> %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install Dir%。<br> <br> 此类路径规则称为注册表路径规则,其格式如下所示:<br> <br> %<Registry Hive>\<Registry Key Name>\<Value Name>%<br> <br> 注意:任何注册表路径规则后缀都不应在规则中的最后一个 % 符号之后紧跟一个 \ 字符。必须完整写出注册表配置单元的名称,缩写无效。<br> <br> 如果将默认规则设置为“不允许的”,将设置四个注册表路径,以便操作系统能够访问系统文件以执行正常操作。创建这些注册表路径规则是为了避免将您自己和所有其他用户锁定在系统之外。这些注册表规则被设置为“不受限的”。只有高级用户才可以修改或删除这些规则。注册表路径规则设置如下所示:<br> <br> %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NTCurrentVersion\SystemRoot%<br> <br> %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NTCurrentVersion\SystemRoot%\*.exe<br> <br> %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NTCurrentVersion\SystemRoot%\System32\*.exe<br> <br> %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\ProgramFilesDir%<br> <br> <B>路径规则优先权</B><br> <br> 如果有多个匹配的路径规则,则最具体的匹配规则优先权最高。以下一组路径按优先权从最高(最具体的匹配)到最低(最一般的匹配)排序:<br> <br> Drive:\Folder1\Folder2\FileName.Extension<br> <br> Drive:\Folder1\Folder2\*.Extension<br> <br> *.Extension<br> <br> Drive:\Folder1\Folder2<br> Drive:\Folder1<br> <B>区域规则</B><br> <br> 可以使用区域规则标识从下列任意区域(在 Internet Explorer 中定义)下载的软件:<br> <br> Internet<br> <br> Intranet<br> <br> 受限站点<br> <br> 受信任的站点<br> <br> 我的电脑<br> <br> Internet 区域规则的当前版本仅适用于 Windows Installer (*.msi) 程序包。此规则不适用于通过 Internet Explorer 下载的软件。受区域规则影响的所有其他文件类型已在此模块后面提供的指派文件类型表中列出。有一个由所有区域规则共享的指派文件类型组成的列表。<br> <br> <B>路径规则建议</B><br> <br> 使用下表确定最适合于应用程序的用户和环境的路径规则。<br> <br> <center>表 6.2:确定给定应用程序的最佳路径规则</center><br> <center> <img src=/bbs/attachments/computer/20081214/2008121411175340677801.JPG ></center><br> 软件限制策略优先权规则<br> <br> 规则按特定顺序进行评估。与程序匹配程度较高的规则比与同一程序匹配程度较低的规则优先。如果为同一软件建立了两个不同安全级别的相同规则,则安全级别最高的规则优先。例如,如果将两个哈希规则(一个哈希规则的安全级别为“不允许的”,另一个的安全级别为“不受限的”)应用于同一软件程序,则安全级别为“不允许的”的规则优先,程序将不会运行。以下列表定义了规则的优先权顺序(从具体到一般):<br> <br> 1.哈希规则<br> <br> 2.证书规则<br> <br> 3.路径规则<br> <br> 4.区域规则<br> <br> 5.默认规则<br> <br> <B>软件限制策略选项</B><br> <br> 本部分讨论了影响软件限制策略行为的各种强制选项。这些选项将改变数字签名文件的 Microsoft Authenticode信任设置的强制行为范围。有两个强制选项:“动态链接库 (DLL) 检查”和“跳过管理员”。<br> <br> <B>DLL 检查</B><br> <br> 大多数程序都由可执行文件和许多支持 DLL 组成。默认情况下,不会对 DLL 强制实施软件限制策略规则。这是针对大多数客户的推荐选项,下面列出了这样做的三个原因:<br> <br> 不允许主要可执行文件可以阻止程序运行,因此无需再阻止构成程序的 DLL。<br> <br> 由于 DLL 检查必须检查链接到应用程序的所有库,因此会降低系统性能。例如,如果用户在登录会话中运行了 10 个程序,则软件限制策略将评估每个程序。打开 DLL 检查后,软件限制策略将评估每个程序中的每个 DLL 负载。如果每个程序使用 20 个 DLL,这将导致 10 个可执行程序检查以及 200 个 DLL 检查,因此软件限制策略必须执行 210 次评估。<br> <br> Internet Explorer 之类的程序由可执行文件、iexplore.exe 和多个支持 DLL 组成。<br> <br> 将默认安全级别设置为“不允许的”将强制系统不仅要标识主要可执行文件(在允许该程序运行之前),还要标识作为 .exe 文件组成部分的所有 DLL,这将加重系统负担。<br> <br> 如果要最高限度地确保环境中运行的程序的安全性,则建议您使用“DLL 检查”选项。这是因为尽管病毒主要攻击可执行文件,但某些病毒却专门攻击 DLL。<br> <br> 要确保程序中不包含病毒,可以使用一组哈希规则来标识可执行文件以及构成该文件的所有 DLL。<br> <br> 要关闭“DLL 检查”选项,请执行下列操作:<br> <br> 在“强制属性”对话框中,选择“除去库文件(如 Dll)之外的所有软件文件” 。<br> <center> <img src=/bbs/attachments/computer/20081214/2008121411175345377802.jpg ></center><br> <center>图 6.9</center><br> <br> “强制属性”对话框显示了文件和用户强制选项<br> <br> <B>跳过管理员</B><br> <br> 管理员可能要禁止大多数用户运行某些程序,但允许管理员运行所有这些程序。例如,管理员可能有一台多个用户通过终端服务器连接的共享计算机。管理员希望用户只运行计算机上的特定应用程序,但希望本地 Administrators 组中的成员能够运行所有程序。可以使用“跳过管理员”强制选项来执行此操作。<br> <br> 如果在链接到 Active Directory 中的对象的 GPO 中创建了软件限制策略(而不是使用“跳过管理员”选项),则 Microsoft 建议拒绝将此 GPO 上的“应用组策略”权限授予 Administrators 组。因为未下载不应用于管理员的 GPO 设置,因此这将降低网络通信量。<br> <br> 注意:本地安全策略对象中定义的软件限制策略无法过滤用户组。这种情况下,请使用“跳过管理员”选项。<br> <br> 要打开“跳过管理员”选项,请执行下列操作:<br> <br> 在上图 6.9 中的“强制属性”对话框中,选择“除本地管理员以外的所有用户”。<br> <br> <B>定义可执行文件</B><br> <br> 下图 6.10 中的“指派的文件类型属性”对话框中列出了软件限制策略控制的文件类型。指派的文件类型被视为可执行文件。例如,屏幕保护文件 (.scr) 便被视为可执行文件,因为在 Windows 资源管理器中双击该文件时,它将作为程序加载。<br> <br> 软件限制策略规则只适用于“指派的文件类型属性”对话框中列出的文件类型。如果环境使用要应用规则的文件类型,请将该文件类型添加到列表中。例如,对于 Perl 脚本文件,可以选择将 .pl 以及其他与 Perl 引擎关联的文件类型添加到位于“指派的文件类型属性”对话框中“常规”选项卡下的“指定的文件类型:”列表中。<br> <center> <img src=/bbs/attachments/computer/20081214/2008121411175350077803.jpg ></center><br> <center>图 6.10</center><br> <br> “指派的文件类型属性”对话框<br> <br> 本示例删除了文件类型 .mdb,并添加了 .ocx。下表列出了指派的文件类型。<br> <br> <center>表 6.3:指派的文件类型</center><br> <center> <img src=/bbs/attachments/computer/20081214/2008121411175354677804.JPG ></center><br> 已知问题<br> <br> 如果将软件限制策略配置为限制 16 位程序(如 command.com 或 edit.com),用户仍然可以启动该程序,即使他们没有运行该程序的权限。要解决此问题,可以在环境中的客户端上安装 Windows XP Professional Service Pack 1。<br> <br> 软件限制策略不禁止代码在 Microsoft Win32子系统以外运行。例如,用户可以从便携操作系统接口 (POSIX) 子系统运行同一命令。<br> <br> 要阻止这种情况的发生,请通过删除下列 POSIX 值来关闭 POSIX 子系统:<br> HKLM\System\CurrentControlSet\Control\SessionManager\Subsystems<br> <br> <B>受信任的出版商</B><br> <br> 可以使用“受信任的出版商属性”对话框来配置哪些用户可以选择受信任的出版商。还可以确定在信任发布者之前执行哪些证书吊销检查(如果存在)。启用证书规则后,软件限制策略将检查证书吊销列表 (CRL),以确保 <
欢迎光临 江西广告网 (http://bbs.jxadw.com/)
Powered by Discuz! X3.2