SERVER2003組策略之軟件限制策略教程.doc

組策略之軟件限制策略完全教程與規(guī)則示例（規(guī)則已發(fā)布）翻了一下HIPS區(qū)之前已有的組策略教程，發(fā)現(xiàn)存在幾個(gè)問(wèn)題：1.對(duì)于路徑規(guī)則的優(yōu)先級(jí)、通配符問(wèn)題沒(méi)有說(shuō)清，甚至存在誤區(qū)2.規(guī)則的權(quán)限設(shè)置只有“不允許的”和“不受限的”兩個(gè)級(jí)別，不夠靈活3.沒(méi)有涉及權(quán)限和繼承的問(wèn)題4.規(guī)則的保護(hù)范圍有限，甚至不能防網(wǎng)馬所以，就有了此文在總結(jié)前人經(jīng)驗(yàn)的基礎(chǔ)上，重新解釋組策略的軟件限制策略第一課，理論部分軟件限制策略包括證書(shū)規(guī)則、散列規(guī)則、Internet 區(qū)域規(guī)則和路徑規(guī)則。我們主要用到的是散列規(guī)則和路徑規(guī)則，其中靈活性最好的就是路徑規(guī)則了，所以一般我們談到的策略規(guī)則，若沒(méi)有特別說(shuō)明，則直接指路徑規(guī)則。組策略.jpg (32.37 KB)2008-3-2 03:53一.環(huán)境變量、通配符和優(yōu)先級(jí)關(guān)于環(huán)境變量（假定系統(tǒng)盤(pán)為 C盤(pán)） %USERPROFILE% 表示 C:Documents and Settings當(dāng)前用戶名 %HOMEPATH% 表示 C:Documents and Settings當(dāng)前用戶名%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users%ComSpec% 表示 C:WINDOWSSystem32cmd.exe %APPDATA% 表示 C:Documents and Settings當(dāng)前用戶名Application Data %ALLAPPDATA% 表示 C:Documents and SettingsAll UsersApplication Data %SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:WINDOWS %WINDIR% 表示 C:WINDOWS %TEMP% 和 %TMP% 表示 C:Documents and Settings當(dāng)前用戶名Local SettingsTemp %ProgramFiles% 表示 C:Program Files %CommonProgramFiles% 表示 C:Program FilesCommon Files 關(guān)于通配符：Windows里面默認(rèn)* ：任意個(gè)字符（包括0個(gè)），但不包括斜杠? ：1個(gè)字符幾個(gè)例子*Windows 匹配 C:Windows、D:Windows、E:Windows 以及每個(gè)目錄下的所有子文件夾。C:win* 匹配 C:winnt、C:windows、C:windir 以及每個(gè)目錄下的所有子文件夾。*.vbs 匹配 Windows XP Professional 中具有此擴(kuò)展名的任何應(yīng)用程序。C:Application Files*.* 匹配特定目錄（Application Files）中的應(yīng)用程序文件，但不包括Application Files的子目錄關(guān)于優(yōu)先級(jí):1.絕對(duì)路徑 通配符相對(duì)路徑 如 C:Windowsexplorer.exe *Windowsexplorer.exe 2.文件型規(guī)則 目錄型規(guī)則 如若a.exe在Windows目錄中，那么 a.exe C:Windows注：如何區(qū)分文件規(guī)則和目錄規(guī)則？不嚴(yán)格地說(shuō)，其區(qū)分標(biāo)志為字符“.”。例如, *.* 就比 C:WINDOWS 的優(yōu)先級(jí)要高，如果我們要排除WINDOWS根目錄下的程序，就需要這樣做 C:WINDOWS*.*而嚴(yán)格的說(shuō)法是，只要規(guī)則中的字符能夠匹配到文件名中，那么該規(guī)則就是文件型規(guī)則，否則為目錄型規(guī)則?？梢?jiàn)，文件型、目錄型都是相對(duì)而言的3.環(huán)境變量 = 相應(yīng)的實(shí)際路徑 = 注冊(cè)表鍵值路徑如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%4.若兩條規(guī)則路徑等效，那么兩條規(guī)則合成的結(jié)果是：從嚴(yán)處理，以最低的權(quán)限為準(zhǔn)。如“C:Windowsexplorer.exe 不受限的” + “C:Windowsexplorer.exe 基本用戶”=“C:Windowsexplorer.exe 基本用戶注：1. 通配符 * 并不包括斜杠 。例如*WINDOWS 匹配 C:Windows，但不匹配 C:SandboxWINDOWS2. * 和 * 是完全等效的，例如 *abc = *abc3. C:abc* 可以直接寫(xiě)為 C:abc 或者 C:abc，最后的* 是可以省去的，因?yàn)檐浖拗撇呗灾幸呀?jīng)存儲(chǔ)了執(zhí)行文件類型作為 * 的內(nèi)容了。（指派的文件類型）4. 軟件限制策略只對(duì)“指派的文件類型”列表中的格式起效。例如 *.txt 不允許的，這樣的規(guī)則實(shí)際上無(wú)效，除非你把TXT格式也加入“指派的文件類型”列表中。指派的文件類型 屬性.jpg (27.83 KB)2008-3-2 03:535. * 和 *.* 是有區(qū)別的，后者要求文件名或路徑必須含有“.”，而前者沒(méi)有此限制，因此，*.* 的優(yōu)先級(jí)比 * 的高6. ?:* 與 ?:*.* 是截然不同的，前者是指所有分區(qū)下的每個(gè)目錄下的所有子文件夾，簡(jiǎn)單說(shuō)，就是整個(gè)硬盤(pán)；而 ?:*.* 僅包括所有分區(qū)下的帶“.”的文件或目錄，一般情況下，指的就是各盤(pán)根目錄下的文件。那非一般情況是什么呢？請(qǐng)參考第7點(diǎn)7. ?:*.* 中的“.” 可能使規(guī)則范圍不限于根目錄。這里需要注意的是：有“.”的不一定是文件，可以是文件夾。例如 F:ab.c，一樣符合 ?:*.*，所以規(guī)則對(duì)F:ab.c下的所有文件及子目錄都生效。8.首先引用組策略軟件限制策略規(guī)則包編寫(xiě)之菜鳥(niǎo)入門(mén)（修正版）里的一段： 引用:4、如何保護(hù)上網(wǎng)的安全 在瀏覽不安全的網(wǎng)頁(yè)時(shí)，病毒會(huì)首先下載到IE緩存以及系統(tǒng)臨時(shí)文件夾中，并自動(dòng)運(yùn)行，造成系統(tǒng)染毒，在了解了這個(gè)感染途徑之后，我們可以利用軟件限制策略進(jìn)行封堵 %SYSTEMROOT%tasks*.* 不允許的 （這個(gè)是計(jì)劃任務(wù)，病毒藏身地之一） %SYSTEMROOT%Temp*.* 不允許的 %USERPROFILE%Cookies*.* 不允許的 %USERPROFILE%Local Settings*.* 不允許的 （這個(gè)是IE緩存、歷史記錄、臨時(shí)文件所在位置）說(shuō)實(shí)話，上面引用的部分不少地方都是錯(cuò)誤的先不談這樣的規(guī)則能否保護(hù)上網(wǎng)安全，實(shí)際上這幾條規(guī)則在設(shè)置時(shí)就犯了一些錯(cuò)誤例如：%USERPROFILE%Local Settings*.* 不允許的可以看出，規(guī)則的原意是阻止程序從Local Settings（包括所有子目錄）中啟動(dòng)現(xiàn)在大家不妨想想這規(guī)則的實(shí)際作用是什么？先參考注1和注2，* 和* 是等同的，而且不包含字符“”。所以，這里規(guī)則的實(shí)際效果是 “禁止程序從Local Settings文件夾的一級(jí)子目錄中啟動(dòng)”，不包括Local Settings根目錄，也不包括二級(jí)和以下的子目錄。現(xiàn)在我們?cè)賮?lái)看看Local Settings的一級(jí)子目錄有哪些：Temp、Temporary Internet Files、Application Data、History。阻止程序從Temp根目錄啟動(dòng)，直接的后果就是很多軟件不能成功安裝那么，阻止程序從Temporary Internet Files根目錄啟動(dòng)又如何呢？實(shí)際上，由于IE的緩存并不是存放Temporary Internet Files根目錄中，而是存于Temporary Internet Files的子目錄Content.IE5的子目錄里（-_-|），所以這種寫(xiě)法根本不能阻止程序從IE緩存中啟動(dòng)，是沒(méi)有意義的規(guī)則若要阻止程序從某個(gè)文件夾及所有子目錄中啟動(dòng)，正確的寫(xiě)法應(yīng)該是：某目錄* 某目錄* 某目錄 某目錄9. 引用:?:autorun.inf 不允許的這是流傳的所謂防U盤(pán)病毒規(guī)則，事實(shí)上這條規(guī)則是沒(méi)有作用的，關(guān)于這點(diǎn)在 關(guān)于各種策略防范U盤(pán)病毒的討論 已經(jīng)作了分析二.軟件限制策略的3D的實(shí)現(xiàn)：“軟件限制策略本身即實(shí)現(xiàn)AD，并通過(guò)NTFS權(quán)限實(shí)現(xiàn)FD，同時(shí)通過(guò)注冊(cè)表權(quán)限實(shí)現(xiàn)RD，從而完成3D的部署”對(duì)于軟件限制策略的AD限制，是由權(quán)限指派來(lái)完成的，而這個(gè)權(quán)限的指派，用的是微軟內(nèi)置的規(guī)則，即使我們修改“用戶權(quán)限指派”項(xiàng)的內(nèi)容，也無(wú)法對(duì)軟件限制策略中的安全等級(jí)進(jìn)行提權(quán)。所以，只要選擇好安全等級(jí)，AD部分就已經(jīng)部署好了，不能再作干預(yù)而軟件件限制策略的FD和RD限制，分別由NTFS權(quán)限、注冊(cè)表權(quán)限來(lái)完成。而與AD部分不同的是，這樣限制是可以干預(yù)的，也就是說(shuō)，我們可以通過(guò)調(diào)整NTFS和注冊(cè)表權(quán)限來(lái)配置FD和RD，這就比AD部分要靈活得多。小結(jié)一下，就是AD用戶權(quán)利指派FDNTFS權(quán)限RD注冊(cè)表權(quán)限先說(shuō)AD部分，我們能選擇的就是采用哪種權(quán)限等級(jí)，微軟提供了五種等級(jí)：不受限的、基本用戶、受限的、不信任的、不允許的。不受限的，最高的權(quán)限等級(jí)，但其意義并不是完全的不受限，而是“軟件訪問(wèn)權(quán)由用戶的訪問(wèn)權(quán)來(lái)決定”，即繼承父進(jìn)程的權(quán)限?；居脩?，基本用戶僅享有“跳過(guò)遍歷檢查”的特權(quán)，并拒絕享有管理員的權(quán)限。受限的，比基本用戶限制更多，也僅享有“跳過(guò)遍歷檢查”的特權(quán)。不信任的，不允許對(duì)系統(tǒng)資源、用戶資源進(jìn)行訪問(wèn)，直接的結(jié)果就是程序?qū)o(wú)法運(yùn)行。不允許的，無(wú)條件地阻止程序執(zhí)行或文件被打開(kāi)很容易看出，按權(quán)限大小排序?yàn)?不受限的 基本用戶 受限的 不信任的 不允許的其中，基本用戶 、受限的、不信任的 這三個(gè)安全等級(jí)是要手動(dòng)打開(kāi)的具體做法：打開(kāi)注冊(cè)表編輯器，展開(kāi)至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一個(gè)DOWRD，命名為L(zhǎng)evels，其值可以為0x10000 /增加受限的0x20000 /增加基本用戶0x30000 /增加受限的，基本用戶0x31000 /增加受限的，基本用戶，不信任的設(shè)成0x31000（即4131000）即可如圖：注冊(cè)表編輯器.jpg (49.52 KB)2008-3-5 14:16或者將下面附件中的reg雙擊導(dǎo)入注冊(cè)表即可safer.rar (279 Bytes) safer.rar (279 Bytes)Levels設(shè)置下載次數(shù): 202008-3-5 14:16再?gòu)?qiáng)調(diào)兩點(diǎn)：1.“不允許的”級(jí)別不包含任何FD操作。你可以對(duì)一個(gè)設(shè)定成“不允許的”文件進(jìn)行讀取、復(fù)制、粘貼、修改、刪除等操作，組策略不會(huì)阻止，前提當(dāng)然是你的用戶級(jí)別擁有修改該文件的權(quán)限2.“不受限的”級(jí)別不等于不受限制，只是不受軟件限制策略的附加限制。事實(shí)上，“不受限的”程序在啟動(dòng)時(shí)，系統(tǒng)將賦予該程序的父進(jìn)程的權(quán)限字，該程序所獲得的訪問(wèn)令牌決定于其主體，所以任何程序的權(quán)限將不會(huì)超過(guò)它的父進(jìn)程。權(quán)限的分配與繼承:這里的講解默認(rèn)了一個(gè)前提：假設(shè)你的用戶類型是管理員。在沒(méi)有軟件限制策略的情況下，很簡(jiǎn)單，如果程序a啟動(dòng)程序b，那么a是b的父進(jìn)程，b繼承a的權(quán)限現(xiàn)在把a(bǔ)設(shè)為基本用戶，b不做限制（把b設(shè)為不受限或者不對(duì)b設(shè)置規(guī)則效果是一樣的）然后由a啟動(dòng)b，那么b的權(quán)限繼承于a，也是基本用戶，即:a（基本用戶）- b（不受限的） = b（基本用戶）若把b設(shè)為基本用戶，a不做限制，那么a啟動(dòng)b后，b仍然為基本用戶權(quán)限，即a（不受限的）- b（基本用戶） = b（基本用戶）可以看到，一個(gè)程序所能獲得的最終權(quán)限取決于：父進(jìn)程權(quán)限 和 規(guī)則限定的權(quán)限 的最低等級(jí)，也就是我們所說(shuō)的最低權(quán)限原則舉一個(gè)例：若我們把IE設(shè)成基本用戶等級(jí)啟動(dòng)，那么由IE執(zhí)行的任何程序的權(quán)限都將不高于基本用戶級(jí)別，只能更低。所以就可以達(dá)到防范網(wǎng)馬的效果即使IE下載病毒并執(zhí)行了，病毒由于權(quán)限的限制，無(wú)法對(duì)系統(tǒng)進(jìn)行有害的更改，如果重啟一下，那么病毒就只剩下尸體了。甚至，我們還可以通過(guò)NTFS權(quán)限的設(shè)置，讓IE無(wú)法下載和運(yùn)行病毒，不給病毒任何的機(jī)會(huì)。權(quán)限的解釋：引用:以操作系統(tǒng)方式操作 （SeTcbPrivilege）此策略設(shè)置允許進(jìn)程采用任何用戶的標(biāo)識(shí)，來(lái)獲取對(duì)該用戶被授權(quán)訪問(wèn)的資源的訪問(wèn)權(quán)限。（危險(xiǎn)的權(quán)限，不建議分配給任何組）配置單一進(jìn)程 （SeProfileSingleProcessPrivilege）此策略設(shè)置確定哪些用戶可以使用工具來(lái)監(jiān)視非系統(tǒng)進(jìn)程的性能。（可以類比一下：利用事件查看器查看應(yīng)用程序的信息）配置系統(tǒng)性能此策略設(shè)置允許用戶使用工具查看不同系統(tǒng)進(jìn)程的性能，它可能會(huì)被濫用以允許攻擊者確定系統(tǒng)的活動(dòng)進(jìn)程并深入了解計(jì)算機(jī)的潛在攻擊面。（例如，利用事件查看器查看系統(tǒng)的信息）跳過(guò)遍歷檢查 （SeChangeNotifyPrivilege）當(dāng)用戶導(dǎo)航 NTFS 文件系統(tǒng)或注冊(cè)表中的對(duì)象路徑時(shí)，此策略設(shè)置允許沒(méi)有特殊訪問(wèn)權(quán)限“遍歷文件夾”的用戶“跳過(guò)”文件夾。此用戶權(quán)限并不允許用戶列出文件夾的內(nèi)容，但只允許他們遍歷目錄。更改系統(tǒng)時(shí)間 （SeSystemtimePrivilege）此策略設(shè)置確定哪些用戶和組能夠更改環(huán)境中計(jì)算機(jī)內(nèi)部時(shí)鐘的時(shí)間和日期。分配了此用戶權(quán)限的用戶可以影響事件日志的外觀。當(dāng)計(jì)算機(jī)的時(shí)間設(shè)置發(fā)生更改時(shí)，記錄的事件會(huì)反映新時(shí)間，而不是事件發(fā)生的實(shí)際時(shí)間。調(diào)試程序 （SeDebugPrivilege）此策略設(shè)置確定哪些用戶可以將調(diào)試程序附加到任何進(jìn)程或附加到內(nèi)核中，它提供對(duì)敏感和關(guān)鍵操作系統(tǒng)組件的完整訪問(wèn)權(quán)限。當(dāng)管理員需要利用支持“內(nèi)存中的修補(bǔ)”（也稱為“熱修補(bǔ)”）技術(shù)的修補(bǔ)程序時(shí)，需要此用戶權(quán)限。（包含了創(chuàng)建遠(yuǎn)程線程、修改進(jìn)程內(nèi)存、直接操作系統(tǒng)內(nèi)核等內(nèi)容）從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī) （SeRemoteShutdownPrivilege）此策略設(shè)置允許用戶從網(wǎng)絡(luò)上的遠(yuǎn)程位置關(guān)閉基于 Windows XP 的計(jì)算機(jī)。任何分配了此用戶權(quán)限的用戶都可能引起拒絕服務(wù) (DoS) 情況，這將使該計(jì)算機(jī)無(wú)法為用戶請(qǐng)求提供服務(wù)。因此，Microsoft 建議僅向高度信任的管理員分配此用戶權(quán)限。（從網(wǎng)絡(luò)上或調(diào)用shutdown.exe來(lái)關(guān)閉計(jì)算機(jī)需要此特權(quán)）關(guān)閉系統(tǒng) （SeShutdownPrivilege）此策略設(shè)置確定在本地登錄到您環(huán)境中的計(jì)算機(jī)上的用戶中，哪些用戶可以使用“關(guān)機(jī)”命令關(guān)閉操作系統(tǒng)。誤用此用戶權(quán)限可能導(dǎo)致拒絕服務(wù)情形。（正如字面上所說(shuō)的）替換進(jìn)程級(jí)記號(hào) （SeAssignPrimaryTokenPrivilege ）此策略設(shè)置允許某個(gè)進(jìn)程或服務(wù)使用不同的安全訪問(wèn)令牌啟動(dòng)其他服務(wù)或進(jìn)程，它可用于修改子進(jìn)程的安全訪問(wèn)令牌并導(dǎo)致特權(quán)提升。（運(yùn)行方式、runas命令相關(guān)特權(quán)）創(chuàng)建記號(hào)對(duì)象 （SeCreateTokenPrivilege）此策略設(shè)置允許進(jìn)程創(chuàng)建訪問(wèn)令牌，這可能提供提升權(quán)限來(lái)訪問(wèn)敏感數(shù)據(jù)。在安全具有高優(yōu)先級(jí)的環(huán)境中，不應(yīng)向任何用戶分配此用戶權(quán)限（幾乎是至高無(wú)上的權(quán)限，允許進(jìn)程的提權(quán)）取得文件或其它對(duì)象的所有權(quán) （SeTakeOwnershipPrivilege）此策略設(shè)置允許用戶獲得文件、文件夾、注冊(cè)表項(xiàng)、進(jìn)程或線程的所有權(quán)。此用戶權(quán)限繞過(guò)現(xiàn)有用于保護(hù)對(duì)象的任何權(quán)限，并向指定用戶授予所有權(quán)。（一旦擁有此特權(quán)，就等于完全控制了系統(tǒng)）裝載和卸載設(shè)備驅(qū)動(dòng)程序（SeLoadDriverPrivilege）此策略設(shè)置允許用戶在系統(tǒng)上動(dòng)態(tài)裝載新的設(shè)備驅(qū)動(dòng)程序。攻擊者可能使用此功能安裝顯示為設(shè)備驅(qū)動(dòng)程序的惡意代碼。用戶需要此用戶權(quán)限和 Power Users 組或 Administrators 組的成員資格才能在 Windows XP 中添加本地打印機(jī)或打印機(jī)驅(qū)動(dòng)程序。增加進(jìn)度優(yōu)先級(jí) （SeIncreaseBasePriorityPrivilege）此策略設(shè)置允許用戶更改進(jìn)程利用的處理器時(shí)間量。攻擊者可能使用此功能將進(jìn)程的優(yōu)先級(jí)提高為實(shí)時(shí)，并為計(jì)算機(jī)創(chuàng)建一個(gè)拒絕服務(wù)情形。內(nèi)存中鎖定頁(yè) （SeLockMemoryPriv ilege）此策略設(shè)置允許進(jìn)程將數(shù)據(jù)保存在物理內(nèi)存中，這樣可以防止系統(tǒng)將數(shù)據(jù)分頁(yè)存儲(chǔ)到磁盤(pán)的虛擬內(nèi)存。如果分配了此用戶權(quán)限，系統(tǒng)性能可能顯著降低。修改固件環(huán)境值 （SeSystemEnvironmentPrivilege）此策略設(shè)置允許用戶配置影響硬件配置的系統(tǒng)范圍環(huán)境變量。此信息通常存儲(chǔ)在“最后一次正確的配置”中。修改這些值可能造成會(huì)導(dǎo)致拒絕服務(wù)情形的硬件故障。此功能的威脅相對(duì)較小作為批處理作業(yè)登錄此策略設(shè)置允許帳戶使用 Task Scheduler 服務(wù)登錄。Task Scheduler 通常用于管理目的，因此可能需要在 EC 環(huán)境中使用。但是，在 SSLF 環(huán)境中使用時(shí)，它應(yīng)該僅限于防止濫用系統(tǒng)資源或防止攻擊者獲得計(jì)算機(jī)的用戶級(jí)別訪問(wèn)權(quán)限之后使用該權(quán)限啟動(dòng)惡意代碼。作為服務(wù)登錄此策略設(shè)置允許帳戶啟動(dòng)網(wǎng)絡(luò)服務(wù)或?qū)⑦M(jìn)程注冊(cè)為系統(tǒng)上運(yùn)行的服務(wù)。在 SSLF 環(huán)境中的任何計(jì)算機(jī)上均應(yīng)限制此用戶權(quán)限，因?yàn)樵S多應(yīng)用程序可能需要此特權(quán)。在 EC 環(huán)境中配置此用戶權(quán)限之前，應(yīng)仔細(xì)地進(jìn)行評(píng)估和測(cè)試。管理審核和安全日志此策略設(shè)置確定哪些用戶可以更改文件和目錄的審核選項(xiàng)以及清除安全日志。此功能的威脅相對(duì)較小執(zhí)行卷維護(hù)任務(wù)此策略設(shè)置允許用戶管理系統(tǒng)卷或磁盤(pán)配置，它可能允許用戶刪除卷并導(dǎo)致數(shù)據(jù)丟失以及拒絕服務(wù)情形。FD：NTFS權(quán)限* 要求磁盤(pán)分區(qū)為NTFS格式 *其實(shí)Microsoft Windows 的每個(gè)新版本都對(duì) NTFS 文件系統(tǒng)進(jìn)行了改進(jìn)。NTFS 的默認(rèn)權(quán)限對(duì)大多數(shù)組織而言都已夠用。NTFS權(quán)限的分配1.如果一個(gè)用戶屬于多個(gè)組，那么該用戶所獲得的權(quán)限是各個(gè)組的疊加2.“拒絕”的優(yōu)先級(jí)比“允許”要高例如：用戶A 同時(shí)屬于Administrators和Everyone組，若Administrators組具有完全訪問(wèn)權(quán)，但Everyone組拒絕對(duì)目錄的寫(xiě)入，那么用戶A的實(shí)際權(quán)限是：不能對(duì)目錄寫(xiě)入，但可以進(jìn)行除此之外的任何操作高級(jí)權(quán)限名稱 描述 （包括了完整的FD和部分AD） 引用:遍歷文件夾/運(yùn)行文件 （遍歷文件夾可以不管，主要是“運(yùn)行文件”，若無(wú)此權(quán)限則不能啟動(dòng)文件，相當(dāng)于AD的運(yùn)行應(yīng)用程序）允許或拒絕用戶在整個(gè)文件夾中移動(dòng)以到達(dá)其他文件或文件夾的請(qǐng)求，即使用戶沒(méi)有遍歷文件夾的權(quán)限（僅適用于文件夾）。列出文件夾/讀取數(shù)據(jù)允許或拒絕用戶查看指定文件夾內(nèi)文件名和子文件夾名的請(qǐng)求。它僅影響該文件夾的內(nèi)容，而不影響您對(duì)其設(shè)置權(quán)限的文件夾是否會(huì)列出（僅適用于文件夾）。讀取屬性 （FD的讀?。┰试S或拒絕查看文件中數(shù)據(jù)的能力（僅適用于文件）。讀取擴(kuò)展屬性允許或拒絕用戶查看文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。創(chuàng)建文件/寫(xiě)入數(shù)據(jù) （FD的創(chuàng)建）“創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件（僅適用于文件夾）?！皩?xiě)入數(shù)據(jù)”允許或拒絕對(duì)文件進(jìn)行修改并覆蓋現(xiàn)有內(nèi)容的能力（僅適用于文件）。創(chuàng)建文件夾/追加數(shù)據(jù)“創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請(qǐng)求（僅適用于文件夾）。“追加數(shù)據(jù)”允許或拒絕對(duì)文件末尾進(jìn)行更改而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力（僅適用于文件）。寫(xiě)入屬性 （即改寫(xiě)操作了，F(xiàn)D的寫(xiě)）允許或拒絕用戶對(duì)文件末尾進(jìn)行更改，而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請(qǐng)求（僅適用于文件）。 即寫(xiě)操作寫(xiě)入擴(kuò)展屬性允許或拒絕用戶更改文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。刪除子文件夾和文件 （FD的刪除）允許或拒絕刪除子文件夾和文件的能力，即使子文件夾或文件上沒(méi)有分配“刪除”權(quán)限（適用于文件夾）。刪除 （與上面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄本身）允許或拒絕用戶刪除子文件夾和文件的請(qǐng)求，即使子文件夾或文件上沒(méi)有分配“刪除”權(quán)限（適用于文件夾）。讀取權(quán)限 （NTFS權(quán)限的查看）允許或拒絕用戶讀取文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫(xiě)入”）的請(qǐng)求。更改權(quán)限 （NTFS權(quán)限的修改）允許或拒絕用戶更改文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫(xiě)入”）的請(qǐng)求。取得所有權(quán) 允許或拒絕取得文件或文件夾的所有權(quán)。文件或文件夾的所有者始終可以更改其權(quán)限，而不論用于保護(hù)該文件或文件夾的現(xiàn)有權(quán)限如何。以基本用戶為例，基本用戶能做什么？在系統(tǒng)默認(rèn)的NTFS權(quán)限下，基本用戶對(duì)系統(tǒng)變量和用戶變量有完全訪問(wèn)權(quán)，對(duì)系統(tǒng)文件夾只讀，對(duì)Program Files的公共文件夾只讀，Document and Setting下，僅對(duì)當(dāng)前用戶目錄有完全訪問(wèn)權(quán)，其余不能訪問(wèn)如果覺(jué)得以上的限制嚴(yán)格了或者寬松了，可以自行調(diào)整各個(gè)目錄和文件的NTFS權(quán)限。如果發(fā)現(xiàn)瀏覽器在基本用戶下無(wú)法使用某些功能的，很多都是由于NTFS權(quán)限造成的，可以嘗試調(diào)整對(duì)應(yīng)的NTFS權(quán)限基本用戶、受限用戶屬于以下組UsersAuthenticated UsersEveryoneINTERACTIVE但受限用戶權(quán)限更低，無(wú)論NTFS權(quán)限如何，受限用戶始終受到限制。調(diào)整權(quán)限時(shí)，主要利用到的組為 Users 或 Authenticated Users例：對(duì)用戶變量Temp目錄進(jìn)行設(shè)置，禁止基本用戶從該目錄運(yùn)行程序，可以這樣做：首先進(jìn)入“高級(jí)”選項(xiàng)，取消勾選“從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目(I)”WINDOWS 的高級(jí)安全設(shè)置.jpg (38.4 KB)2008-3-2 03:53然后設(shè)置Users的權(quán)限如圖組策略NTFS.jpg (27.94 KB)2008-3-2 03:53這樣基本用戶下的程序就無(wú)法從Temp啟動(dòng)文件了 引用:更正一下，由于Temp目錄的默認(rèn)權(quán)限不同的系統(tǒng)可能不同，所以在調(diào)整權(quán)限時(shí)要注意?？傊毐ＷCAdministrators、System組具有完全訪問(wèn)權(quán)，everyone組可以刪除，然后再設(shè)置Users組的權(quán)限注意不要使用“拒絕”，不然Admin組也會(huì)受影響又例如，如果想保護(hù)某些文件不被修改或刪除，可以取消Users的刪除和寫(xiě)入權(quán)限，從而限制基本用戶，達(dá)到保護(hù)重要文件的效果當(dāng)然，也可以防止基本用戶運(yùn)行指定的程序以下為微軟建議進(jìn)行限制的程序：regedit.exearp.exeat.exeattrib.execacls.exedebug.exeedlin.exeeventcreate.exeeventtriggers.exeftp.exenbtstat.exenet.exenet1.exenetsh.exenetstat.exenslookup.exentbackup.exercp.exereg.exeregedt32.exeregini.exeregsvr32.exerexec.exeroute.exersh.exesc.exesecedit.exesubst.exesysteminfo.exetelnet.exetftp.exetlntsvr.exeRD部分：注冊(cè)表權(quán)限。由于微軟默認(rèn)的注冊(cè)表權(quán)限分配已經(jīng)做得很好了，不需要作什么改動(dòng)，所以這里就直接略過(guò)了三.關(guān)于組策略規(guī)則的設(shè)置：規(guī)則要顧及方便性，因此不能對(duì)自己有過(guò)多的限制，或者最低限度地，即使出現(xiàn)限制的情況，也能方便地進(jìn)行排除規(guī)則要顧及安全性，首先要考慮的對(duì)象就是瀏覽器等上網(wǎng)類軟件和可移動(dòng)設(shè)備所帶來(lái)的威脅。沒(méi)有這種防外能力的規(guī)則都是不完整或者不合格的基于文件名防病毒、防流氓的規(guī)則不宜多設(shè)，甚至可以舍棄。一是容易誤阻，二是病毒名字可以隨便改，特征庫(kù)式的黑名單只會(huì)跟殺軟的病毒庫(kù)一樣滯后。于是，我們有兩種方案：如果想限制少一點(diǎn)的，可以只設(shè)防“入口”規(guī)則，主要面向U盤(pán)和瀏覽器如果想安全系數(shù)更高、全面一點(diǎn)的，可以考慮全局規(guī)則+白名單具體做法可以是： IE 基本用戶 U盤(pán) 不允許的 閱讀器的受限，如hh.exe，pdf Reader Documents and Settings 不允許的 + Application Data 不受限 CMD基本用戶 桌面受限的 + lnk不受限的 全局基本用戶 + 白名單不受限（系統(tǒng)默認(rèn)的四條規(guī)則+Program Files+自定義程序+某些格式的排除）注意全局規(guī)則中最好使用 “* 基本用戶”這樣的形式，大家不妨對(duì)比一下與 “*.* 基本用戶”或者“*.exe 基本用戶” 的不同待續(xù).最后布置幾道作業(yè) ，看看大家對(duì)上面的內(nèi)容消化得如何 1. 在規(guī)則“F:*.* 不允許”下，下面那些文件不能被打開(kāi)？A:F:a.exeB.F:Folder.1b.exeC.F:Folder1Folder.2C.txtD.F:Folder1Folder.2Folder.3d.exe2. 在以管理員身份登陸的情況下，建立規(guī)則如下：%Temp% 受限的%USERPROFILE%Local SettingsTemporary Internet Files 不允許的%ProgramFiles%Internet Exploreriexplore.exe 基本用戶%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersDesktop% 不受限的在這四條規(guī)則下，假設(shè)這樣的情況：iexplore.exe 下載一個(gè)test.exe到Temporary Internet Files目錄，然后復(fù)制到Temp目錄，再?gòu)腡emp目錄中運(yùn)行test.exe，（復(fù)制和運(yùn)行的操作都是IE在做），然后由text.exe釋放test2.exe到桌面，并運(yùn)行test2.exe。那么test2.exe的訪問(wèn)令牌為：A.不受限的 B.不允許的 C.基本用戶 D.受限的3. 試說(shuō)出 F:win* 和 F:win* 的區(qū)別4. 若想限制QQ的行為，例如右下方彈出的廣告，并不允許QQ調(diào)用瀏覽器，可以怎么做？答對(duì)兩題即及格。不過(guò)貌似還是有些難度第二課，規(guī)則詳解書(shū)接上回 基礎(chǔ)部分，如何建立規(guī)則：首先，打開(kāi)組策略開(kāi)始-運(yùn)行，輸入 “gpedit.msc”（不包含引號(hào)）并回車。在彈出的對(duì)話框中，依次展開(kāi) 計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-軟件限制策略如果你之前沒(méi)有配置過(guò)軟件限制策略，那么可以在菜單欄上選擇 操作-創(chuàng)建新的策略如圖創(chuàng)建規(guī)則.jpg (33.71 KB)2008-3-4 00:13然后轉(zhuǎn)到“其它規(guī)則”項(xiàng)，在菜單欄選擇“操作”，在下拉菜單選擇“新路徑規(guī)則”在彈出的對(duì)話框中，就可以編輯規(guī)則了建立規(guī)則.jpg (31.71 KB)2008-3-4 00:13華麗麗的分割線軟件限制策略的其實(shí)并不復(fù)雜，在規(guī)則設(shè)置上是十分簡(jiǎn)單的，只有五個(gè)安全級(jí)別，不像HIPS那樣，光AD部分就細(xì)分成N項(xiàng)。但軟件限制策略的難點(diǎn)在于：如何確保你的規(guī)則真正有效并按你的意愿去工作，即如何保證規(guī)則的正確性和有效性。從四道題目的答對(duì)率來(lái)看，發(fā)現(xiàn)問(wèn)題還是不少的 附上題目的參考答案參考答案.rar (1019 Bytes) 參考答案.rar (1019 Bytes)下載次數(shù): 312008-3-4 00:13下面將詳細(xì)討論規(guī)則部分一、再次強(qiáng)調(diào)一下通配符的使用Windows里面默認(rèn)* ：任意個(gè)字符（包括0個(gè)），但不包括斜杠? ：1個(gè)字符在組策略中*不包括斜杠，這和HIPS是不同的，一定要注意例如：C:Windowssystem32 可以表示為 *system32而以下的表達(dá)式都是無(wú)效的：*system32 、system32*、system32二、根目錄規(guī)則軟件限制策略對(duì)初學(xué)者來(lái)說(shuō)有一定的難度，因?yàn)樗鼪](méi)有HIPS那么豐富的功能選項(xiàng)，故利用規(guī)則實(shí)現(xiàn)某一功能需要一定的技巧。根目錄規(guī)則就是一例（禁止在某個(gè)目錄的根目錄下的程序行為）若在EQ中，設(shè)置規(guī)則時(shí)取消“包含該目錄下面的所有文件”選項(xiàng)就可以保證規(guī)則僅對(duì)根目錄起效而組策略卻不是那么簡(jiǎn)單就可以做到?？纯聪旅娴囊?guī)則： 引用:C:Program Files*.* 不允許的前面已經(jīng)提過(guò)，* 不包含斜杠，因此這個(gè)規(guī)則可視為Program Files的根目錄規(guī)則。在此規(guī)則下，形如 C:Program Filesa.exe 等程序?qū)⒉荒軉?dòng)。但這規(guī)則可能導(dǎo)致一些問(wèn)題，因?yàn)橥ㄅ浞纯梢云ヅ涞轿募?，也可以匹配到文件夾。如果Program Files存在帶有“.”的目錄（形如C:Program FilesTTplayer5.2），一樣可以和規(guī)則 C:Program Files*.* 匹配，這將導(dǎo)致該文件夾下的程序無(wú)法運(yùn)行，造成誤傷。改進(jìn)一下的話，可以用兩條規(guī)則來(lái)實(shí)現(xiàn)根目錄限制如 引用:C:Program Files 不允許的C:Program Files* 不受限的這樣就保證了子目錄的程序不受規(guī)則影響三、一些規(guī)則的模板根目錄規(guī)則： 某目錄* + 某目錄*目錄規(guī)則（包含目錄中所有文件）：某目錄* 或 某目錄 或 某目錄含“*”的目錄規(guī)則： 某目錄* （注意要加上斜杠“”）文件型規(guī)則： a.exe 、*.com 等絕對(duì)路徑規(guī)則： 如 C:Windowsexplorer.exe全局型規(guī)則： *這里需要說(shuō)明的是，為什么全局型規(guī)則要使用“*”？因?yàn)?* 屬于僅有通配符的規(guī)則，其覆蓋范圍是最大的，而優(yōu)先級(jí)是最低的，不會(huì)遺漏，便于排除，最適合作為全局規(guī)則。對(duì)比“*.*”，一個(gè)字符“.”的存在使規(guī)則的優(yōu)先級(jí)提高了，這將會(huì)給排除工作帶來(lái)不便四、規(guī)則實(shí)例1. 保證上網(wǎng)安全很多人問(wèn)，瀏覽毒網(wǎng)時(shí)，病毒會(huì)下載到什么位置執(zhí)行？首先是，下載到網(wǎng)頁(yè)緩存中（Content.IE5），這點(diǎn)很多人都注意到了。不過(guò)呢，病毒一般卻不會(huì)選擇在緩存中執(zhí)行，而是通過(guò)瀏覽器復(fù)制病毒文件到其它目錄，例如Windows。system32、Temp，當(dāng)前用戶文件夾、桌面、系統(tǒng)盤(pán)根目錄、ProgramFiles根目錄及其公有子目錄、瀏覽器所在目錄等所以在這里再重復(fù)一次已說(shuō)過(guò)N次的話，不要以為把緩存目錄設(shè)為不允許的就萬(wàn)事大吉了。 至于防范，比較好的方法就是禁止瀏覽器在敏感位置新建文件，這點(diǎn)使用“瀏覽器基本用戶”就可以做到，規(guī)則如下 引用:%ProgramFiles%Internet Exploreriexplore.exe 基本用戶如果使用的是其它瀏覽器，也可以設(shè)成 基本用戶若配合以下規(guī)則，效果更佳： 引用:*Documents and Settings 不允許的 程序一般不會(huì)從Documents and Settings中啟動(dòng)%APPDATA% 不允許的 當(dāng)前用戶的Application Data根目錄限制%APPDATA%* 不受限的 允許程序從Application Data的子目錄啟動(dòng)%SystemDrive%*.* 不允許的 禁止程序從系統(tǒng)盤(pán)根目錄啟動(dòng)%Temp% 不受限的 允許程序從Temp目錄啟動(dòng)，安裝軟件必須%TMP% 不受限的 同上并設(shè)置用戶變量Temp的NTFS權(quán)限：Temp的默認(rèn)路徑為 Documents and SettingsAdministratorLocal SettingsTemp在系統(tǒng)盤(pán)格式為NTFS的情況下，右擊Temp文件夾，選擇“安全”項(xiàng)，取消Users組的“讀取與運(yùn)行”權(quán)限即可。（同時(shí)要取消Everyone組的訪問(wèn)權(quán)，且保證Administrators組具有完全訪問(wèn)權(quán)限）如此設(shè)置的作用是：基本用戶下的程序?qū)o(wú)法從Temp文件夾運(yùn)行程序2.U盤(pán)規(guī)則比較實(shí)際的做法是 引用:U盤(pán): 不允許的、不信任的、受限的，都可以不允許的安全度更高一些，這樣也不會(huì)影響U盤(pán)的一般使用（拷貝、刪除等）假設(shè)你的U盤(pán)一般盤(pán)符是I，那么規(guī)則可以寫(xiě)成： 引用:I: 不允許的3.雙后綴文件防范規(guī)則以下是微軟的幫助： 引用:注意某些病毒使用的文件具有兩個(gè)擴(kuò)展名以使得危險(xiǎn)文件看起來(lái)像安全的文件。例如，Document.txt.exe 或 Photos.jpg.exe。最后面的擴(kuò)展名是 Windows 將嘗試打開(kāi)的擴(kuò)展名。具有兩個(gè)擴(kuò)展名的合法文件非常少，因此避免下載或打開(kāi)這種類型的文件。 有些文件下載起來(lái)比程序或宏文件更安全，例如文本 (.txt) 或圖像 (.jpg, .gif, .png) 文件。但是，仍然要警惕未知的來(lái)源，因?yàn)橐阎@些文件中的一些文件使用了特意精心設(shè)計(jì)的格式，可以利用計(jì)算機(jī)系統(tǒng)的漏洞。雙后綴文件可能的形式比較多，這里僅放出諜照一張雙后綴n.jpg (74.64 KB)2008-3-4 00:134.全局規(guī)則就一條： 引用:* 基本用戶如果設(shè)成受限的或者不信任/不允許的話，無(wú)疑會(huì)更安全，但也會(huì)帶來(lái)一些不便。綜合考慮還是基本用戶比較適合在全局規(guī)則下，肯定需要對(duì)合法的程序進(jìn)行排除的。在排除的時(shí)候，你就會(huì)發(fā)現(xiàn)使用 * 作為全局規(guī)則的優(yōu)越性了任何一條規(guī)則的優(yōu)先級(jí)都比它高，所以我們可以很方便地進(jìn)行排除。為了減少排除的工作量，這里建議大家把軟件集中安裝在少數(shù)的目錄，例如ProgramFiles目錄，那么排除時(shí)就可以對(duì)整個(gè)目錄進(jìn)行，不必慢慢添加示例排除規(guī)則： 引用:%ProgramFiles% 不受限的 （軟件所在目錄）*ApplicationSetups 不受限的 （安裝軟件用的文件夾）還要排除一些文件格式，以使其被正常打開(kāi)： 引用:*.ade 不受限的*.adp 不受限的*.msi 不受限的*.msp 不受限的*.chm 不受限的*.hlp 不受限的*.pcd 不受限的5. 其它輔助規(guī)則CMD限制策略： 引用:%Comspec% 基本用戶由于桌面一般只放快捷方式，所以 引用:%HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersDesktop% 不允許的同時(shí)要讓快捷方式能夠正常工作： 引用:*.lnk 不受限的計(jì)劃任務(wù)功能很少會(huì)用到，所以 引用:%SystemRoot%task 不允許的幫助文件閱讀器的管制策略： 引用:%WinDir%hh.exe 受限的 （防范CHM捆毒）%WinDir%winhelp.exe 受限的%WinDir%winhlp32.exe 受限的腳本宿主管制 引用:%WinDir%system32?script.exe 受限的（或者直接不允許）一些不會(huì)有程序啟動(dòng)的位置、一些極少用到的系統(tǒng)程序，你不用但病毒會(huì)用，所以.規(guī)則可以有很多，大可自己發(fā)揮，放出圖一張：系統(tǒng)程序.jpg (69.96 KB)2008-3-4 00:13禁止偽裝系統(tǒng)程序如： 引用:lsass.exe 不允許的%WinDir%system32ls