A medida que las redes, Internet y el correo electrónico se utilizan cada vez más en la informática empresarial, los usuarios descubren que a menudo se encuentran con software nuevo. Los usuarios deben tomar decisiones constantemente sobre si ejecutar software desconocido. Los virus y los caballos de Troya a menudo pretenden deliberadamente engañar a las operaciones de los usuarios. Para hacer la elección más segura a los usuarios para determinar el programa debe ser ejecutado es muy difícil, en este momento es necesario utilizar las directivas de restricción de software en Windows hoy para explicar el efecto mágico de la misma para todo el mundo.
1, Introducción a las directivas de restricción de software uso
, mediante la identificación de las aplicaciones que se pueden ejecutar y especificar, puede proteger su entorno informático de código de intrusiones no es de confianza. A través de reglas hash, reglas de certificado, reglas de ruta y reglas de zona de Internet, los programas pueden identificarse en las políticas. De manera predeterminada, el software puede ejecutarse en dos niveles: "sin restricciones" y "no permitido". En este documento, usamos principalmente reglas de ruta y hash, mientras que las reglas de ruta son las más flexibles en estas reglas, por lo que si no hay una descripción especial en el siguiente texto, todas las reglas hacen referencia a las reglas de ruta.
2, reglas adicionales y niveles de seguridad
reglas adicionales
cuando se utiliza la política de restricción de software, utilice las siguientes reglas para identificar el software: certificado
Las directivas de restricción de software reglas
se pueden identificar por su certificado firmado de archivos. Las reglas de certificado no pueden aplicarse a archivos con una extensión .exe o .dll. Se pueden aplicar a scripts y paquetes de instalación de Windows. Puede crear un certificado que identifique el software y luego decidir si permite que el software se ejecute según la configuración del nivel de seguridad. regla de ruta
regla de ruta
se identifica por su ruta de archivo al programa. Como esta regla se especifica por ruta, la regla de ruta no será válida después de que el programa se mueva. Las variables de entorno como% programfiles% o% systemroot% se pueden usar en las reglas de ruta. Los comodines también son compatibles con las reglas de ruta, y los comodines admitidos son * y?.
regla hash hash es una serie de bytes de longitud fija que identifica de forma exclusiva un programa o archivo. El hash es calculado por el algoritmo de hash. Las políticas de restricción de software se pueden identificar por SHA-1 (algoritmo de hash seguro) y el algoritmo de hash MD5 según el hash del archivo. Los archivos renombrados o los archivos movidos a otras carpetas producirán el mismo hash.
ejemplo, puede crear una regla hash y establecer el nivel de seguridad de ciertos documentos "no permitido" para evitar que los usuarios ejecuten. Los archivos pueden ser renombrados o movidos a otras ubicaciones y aún así producir el mismo hash. Sin embargo, cualquier manipulación del archivo cambiará su valor hash y le permitirá evitar el límite. La política de restricción de software solo identificará aquellos hashes que se han calculado utilizando la política de restricción de software.
regla de zona de Internet regla de zona
sólo se aplica a los paquetes de Windows Installer. Las reglas regionales pueden identificar el software del área designada de Internet Explorer. Estas áreas son Internet, computadoras locales, intranets locales, sitios restringidos y sitios de confianza. Tipo de archivo afectada
encima de las reglas sólo aquellos tipos de "Tipos de archivo designados" enumerados. El sistema tiene una lista de tipos de archivos especificados que son compartidos por todas las reglas. Por defecto, los tipos de archivo en la lista incluyen: , o las extensiones que creas que no son amenazantes, también puedes eliminarlas. nivel de seguridad
de las directivas de restricción de software, por defecto, el sistema nos proporciona dos niveles de seguridad: "ilimitada" y "inadmisible"
Nota:
"permitido" no contiene ningún nivel de las operaciones de protección de archivos. Puede leer, copiar, pegar, modificar, eliminar, etc. un archivo configurado como "no permitido". La directiva de grupo no se bloqueará. Por supuesto, su nivel de usuario tiene derecho a modificar el archivo. El nivel no significa que esté completamente sin restricciones, pero no está sujeto a las restricciones adicionales de la política de restricción de software. De hecho, cuando se inicie el programa "sin restricciones", el sistema otorgará el permiso del proceso principal del programa. El testigo de acceso obtenido por el programa está determinado por su proceso principal, por lo que los permisos de cualquier programa no superarán su El proceso padre.
Pero, de hecho, hay tres niveles en forma predeterminada está escondido, que se pueden activar de forma manual en modificando el registro de los otros tres niveles, abra el Editor del Registro, expanda a:
< BR> HKEY_LOCAL_MacHINESOFTWAREPolicIEsMicrosoftWindows
SaferCodeIdentifIErs
un nuevo DOWRD, los niveles mencionados, el valor 0x4131000 (diez los dieciséis años hace 4.131 millones de dólares) para volver a abrir gpedit.msc sido creada después de
Veremos que los otros tres niveles ya están abiertos.
máxima autoridad
no limitado, pero no es enteramente libre, pero "el acceso del software está determinada por los derechos de acceso del usuario" que heredaron el proceso padre Permisos.
usuario básico
privilegios de usuario básica disfrutaron única "comprobación de recorrido bypass" y se les niega el acceso a los privilegios de administrador.
limita
más restrictivo que el usuario básico, sino también privilegiada "Omitir comprobación de recorrido" en.
desconfianza
permitido en los recursos del sistema, el acceso del usuario a los recursos, el resultado directo del programa no se ejecutará.
permitió incondicionalmente para realizar o detener el archivo de programa se abre
se puede clasificar de acuerdo con el permiso de tamaño: No restringido > > usuario básico; limitado > No fiable > No permitido