Con el uso cada vez mayor de Internet, Internet y correo electrónico en la informática empresarial, los usuarios descubren que a menudo se encuentran con software nuevo. Los usuarios deben tomar decisiones constantemente sobre si ejecutar software desconocido. Los virus y los caballos de Troya a menudo pretenden deliberadamente engañar a las operaciones de los usuarios. Es muy difícil para los usuarios tomar decisiones seguras para determinar qué programas deben ejecutarse. En este caso, debe usar la estrategia de restricción de software. Permítanos explicar el efecto mágico de Windows hoy.
1. Visión general
Use políticas de restricción de software para proteger su entorno informático de códigos no confiables identificando y especificando qué aplicaciones pueden ejecutarse. Con reglas hash, reglas de certificado, reglas de ruta y reglas de zona de Internet, los programas pueden identificarse en las políticas. De forma predeterminada, el software puede ejecutarse en dos niveles: " no restringido " " " no permitido " En este documento, usamos principalmente reglas de ruta y hash, mientras que las reglas de ruta son las más flexibles en estas reglas, por lo que si no hay una descripción especial en el siguiente texto, todas las reglas hacen referencia a las reglas de ruta.
2. Reglas adicionales y niveles de seguridad
Reglas adicionales
Al usar políticas de restricción de software, se utilizan las siguientes reglas para identificar el software:
Reglas de certificado
Las políticas de restricción de software pueden estar firmadas por sus certificados Para identificar el archivo. Las reglas de certificado no pueden aplicarse a archivos con una extensión .exe o .dll. Se pueden aplicar a scripts y paquetes de Windows Installer. Puede crear un certificado que identifique el software y luego decidir si permite que el software se ejecute según la configuración del nivel de seguridad.
Reglas de ruta
Las reglas de ruta identifican el programa por su ruta de archivo. Como esta regla se especifica por ruta, la regla de ruta no será válida después de que el programa se mueva. Las variables de entorno como% programfiles% o% systemroot% se pueden usar en las reglas de ruta. Los comodines también son compatibles con las reglas de ruta, y los comodines admitidos son * y?.
Hash Rules
Un hash es una serie de bytes de longitud fija que identifican de forma única un programa o archivo. El hash es calculado por el algoritmo de hash. Las políticas de restricción de software se pueden identificar mediante SHA-1 (algoritmo de hash seguro) y el algoritmo de hash MD5 según el hash del archivo. Los archivos renombrados o los archivos movidos a otras carpetas producirán el mismo hash.
Por ejemplo, puede crear una regla de hash y establecer el nivel de seguridad en " no permitido " para evitar que los usuarios ejecuten ciertos archivos. Los archivos pueden ser renombrados o movidos a otras ubicaciones y aún así producir el mismo hash. Sin embargo, cualquier manipulación del archivo cambiará su valor hash y le permitirá evitar el límite. La política de restricción de software solo identificará aquellos hashes que se han calculado utilizando la política de restricción de software.
Reglas de zona de Internet
Las reglas regionales solo se aplican a los paquetes de Windows Installer. Las reglas regionales pueden identificar el software de un área designada de Internet Explorer. Estas áreas son Internet, computadoras locales, intranets locales, sitios restringidos y sitios de confianza.
Los tipos de archivos afectados por las reglas anteriores son solo aquellos enumerados en el "tipo de archivo asignado". El sistema tiene una lista de tipos de archivos especificados que son compartidos por todas las reglas. De forma predeterminada, los tipos de archivo en la lista son: ADE ADP BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSP MST OCX PCD PIF REG SCR SHS URL VB WSC, por lo que no es normalmente ejecutable Los archivos como TXT JPG GIF no se ven afectados. Si cree que existen amenazas para los archivos extendidos, puede agregarlos o pensar qué extensiones no están amenazadas. Niveles de seguridad de
Para las políticas de restricción de software, de forma predeterminada, el sistema nos brinda dos niveles de seguridad: "sin restricciones" y "no permitido" - Nota:
Los niveles "" No permitidos" no contienen ninguna operación de protección de archivos. Puede leer, copiar, pegar, modificar, eliminar, etc. un archivo establecido en " no permitido; la política de grupo no se bloqueará; por supuesto, su nivel de usuario tiene derecho a modificar el archivo " Los niveles no restringidos no están completamente restringidos, pero no están sujetos a restricciones adicionales en las políticas de restricción de software. De hecho, el programa "no restringido" otorgará permiso al proceso principal del programa cuando este se inicie. El token de acceso obtenido está determinado por su proceso principal, por lo que los permisos de cualquier programa no excederán Su proceso padre.
Pero en realidad, hay tres niveles que están ocultos por defecto. Podemos abrir los otros tres niveles modificando manualmente el registro. Abra el Editor del Registro y expándalo a:
HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Políticas \\ Microsoft \\ Windows \\
Safer \\ CodeIdentifiers
Cree un nuevo DOWRD llamado Niveles con un valor de 0x4131000 (4131000 para los dieciséis sistemas)
Reabrir gpedit.msc después de la creación, veremos En los otros tres niveles, ya se ha activado.
Unrestricted
El privilegio más alto, pero no está completamente sin restricciones, pero "el acceso al software está determinado por los derechos de acceso del usuario", es decir, los permisos del proceso principal se heredan.
Los usuarios básicos
Los usuarios básicos solo tienen el privilegio de " omitir la comprobación de recorrido " y se niegan a tener privilegios de administrador.
Restricted
tiene más restricciones que los usuarios básicos, pero también tiene el privilegio de " omitir comprobación de recorrido "
Untrusted
no permite el acceso a los recursos del sistema y los recursos del usuario. El resultado directo es que el programa no se ejecutará.
No permitido
Bloquear incondicionalmente la ejecución del programa o abrir archivos. Según el tamaño de los permisos, puede clasificar a: Sin restricciones> Usuario básico> Restringido> Sin confianza> No permitido de