Una comprensión completa de las directivas de restricción de software de Windows

Con el uso de la red, Internet y correo electrónico en términos de aumento de la informática empresarial, los usuarios encuentran que a menudo se encuentran el nuevo software. Los usuarios deben tomar decisiones constantemente sobre si ejecutar software desconocido. Los virus y los caballos de Troya a menudo pretenden deliberadamente engañar a las operaciones de los usuarios. Para hacer la elección más segura a los usuarios para determinar el programa debe ser ejecutado es muy difícil, en este momento es necesario utilizar las directivas de restricción de software hoy para explicar las ventanas en este efecto mágico para todo el mundo ahora.

1, Listado de

utilizar las directivas de restricción de software, mediante la identificación de las aplicaciones que se pueden ejecutar y especificar, puede proteger su entorno de intrusión informática de código no confiable. Según las reglas de hash, las reglas de certificado, reglas de ruta, y las reglas de zona de Internet, se puede conseguir con el programa identificado en la estrategia. Por defecto, el software se puede ejecutar en dos niveles: " Bushouxianzhi de y " y " " permitido y;. En este documento, usamos principalmente reglas de ruta y hash, mientras que las reglas de ruta son las más flexibles en estas reglas, por lo que si no hay una descripción especial en el siguiente texto, todas las reglas hacen referencia a las reglas de ruta.

2, reglas adicionales y niveles de seguridad

Las normas adicionales

Cuando la política de restricción de software, utilice las siguientes reglas para identificar el software:

Certificados normas

Las directivas de restricción de software pueden ser identificados por su certificado firmado de archivos. Las reglas de certificado no se pueden aplicar a los archivos con la extensión .exe o extensión .dll. Pueden ser aplicados a los guiones y los paquetes de Windows Installer. Puede crear un certificado que identifique el software y luego decidir si permite que el software se ejecute según la configuración del nivel de seguridad.

Las rutas indicadas

regla de ruta por la ruta del archivo al programa para identificarlo. Como esta regla se especifica por ruta, la regla de ruta no será válida después de que el programa se mueva. Camino puede ser utilizado, como regla% programfiles% o% SystemRoot% variable de entorno o similares. Path gobierna comodines de apoyo, es compatible con caracteres comodín como * y ?.

regla hash

Un hash es una serie de bytes de longitud fija que identifica de forma exclusiva un programa o archivo. El hash es calculado por el algoritmo de hash. Las directivas de restricción de software pueden ser identificados por SHA-1 (Secure Hash Algorithm) y el algoritmo hash MD5 basado en un hash del archivo. Los archivos renombrados o los archivos movidos a otras carpetas producirán el mismo hash.

Por ejemplo, puede crear una regla hash y el nivel de seguridad está establecido en " permitido y " para evitar que los usuarios ejecuten determinados archivos. Los archivos pueden ser renombrados o movidos a otras ubicaciones y aún así producir el mismo hash. Sin embargo, cualquier manipulación del archivo cambiará su valor hash y le permitirá evitar el límite. La política de restricción de software solo identificará aquellos hashes que se han calculado utilizando la política de restricción de software.

Internet Zona Regla

normas regionales sólo se aplican a los paquetes de Windows Installer. Las reglas pueden identificar las áreas de software de Internet Explorer desde el área especificada. Estas zonas están a Internet, equipo local, Intranet local, Sitios de confianza y Sitios restringidos. Afectada

Las reglas anteriores tipo de archivo solamente y " Tipos de archivo designados " esos tipos enumerados. El sistema tiene una lista de tipos de archivos especificados que son compartidos por todas las reglas. La lista predeterminada de tipos de archivo incluye el caso: ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SHS SCR URL VB CSM, así que por lo normal no ejecutable archivos, como TXT JPG GIF éstos no se ven afectados si le parece que es una amenaza que se extendía archivo, también se pueden añadir para expandir aquí, o cree usted que lo extienda no amenazante, que se puede eliminar.

Nivel de seguridad

Para una política de restricción de software, por defecto, el sistema nos proporciona dos niveles de seguridad: " ilimitada y " y " permitido y "

Nota:

" permitido y " nivel que no contiene ningún archivo de las operaciones de protección. Se puede establecer como y " permitido y " lectura de archivos, copiar, pegar, modificar y eliminar, no impide que la directiva de grupo, siempre, naturalmente, que tiene permiso para modificar el archivo a nivel de usuario y " sin restricciones y " nivel no significa completamente Bushouxianzhi, pero no está limitado por las políticas de restricción de software adicionales. De hecho, y " ilimitadas y " derechos del programa en el arranque, el sistema le dará proceso principal del programa, el programa obtuvo token de acceso está determinado por su matriz, la autoridad de cualquier programa no excederá su proceso padre.

Pero, de hecho, hay tres niveles en forma predeterminada está escondido, que se puede activar manualmente en modificando el registro de los otros tres niveles, abra el Editor del Registro, expanda a:

HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Policies \\ Microsoft \\ Windows \\

Safer \\ CodeIdentifiers

Crea un DOWRD, los niveles mencionados, el valor 0x4131000 (dieciséis diez los que 4.131.000)
reabrir gpedit.msc

Una vez creado, veremos otros tres niveles se han abierto este momento.

sin restricciones

máxima autoridad, pero no es enteramente libre, pero en " el acceso del software está determinada por los derechos y " de acceso del usuario;, que se hereda de los padres proceso de autorización.

Usuario básico

Los usuarios básicos para disfrutar única y " Omitir comprobación de recorrido y " privilegio, y se les niega el acceso a los privilegios de administrador.

limitado

Más que el límite básico, sino también disfrutar y " Omitir comprobación de recorrido y " privilegios.

desconfianza

permitidos en los recursos del sistema, el acceso del usuario a los recursos, el resultado directo del programa no se ejecutará.

permitió

o incondicionalmente detener la ejecución del programa de archivos se abre

se pueden clasificar de acuerdo con el permiso de tamaño: No restringido > > usuario básico; limitado > no confían > permitido Anterior 1234 Siguiente total de 4