第七章 軟件限制安全

第七章軟件限制安全本章描述:計(jì)算機(jī)的環(huán)境配置包括硬件配置和軟件配置，目前90%以上的用戶常見(jiàn)故障是由軟件故障引起的，故對(duì)用戶使用軟件的一些限制就尤為重要。本項(xiàng)目主要通過(guò)設(shè)置軟件限制策略來(lái)限制應(yīng)用程序的使用，從而保證系統(tǒng)的安全。7.1軟件限制安全標(biāo)準(zhǔn)

本章通過(guò)介紹軟件限制策略，結(jié)合四個(gè)限制規(guī)則進(jìn)行了相應(yīng)的軟件限制，相應(yīng)的標(biāo)準(zhǔn)有：1、會(huì)啟用軟件限制策略。2、會(huì)創(chuàng)建針對(duì)某一軟件的限制策略。7.2軟件限制策略概述

在系統(tǒng)安全方面，有人曾說(shuō)，如果把

HIPS（Host-basedIntrusionPreventionSystem，基于主機(jī)的入侵防御系統(tǒng)）用的很好，就可以告別殺毒軟件了。其實(shí)，在Windows中，如果能將組策略中的“軟件限制策略”使用的很好，再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限限制，依然可以很淡定的告別殺毒軟件。另一方面，由于組策略是原生于系統(tǒng)之上的，可能在底層與操作系統(tǒng)無(wú)縫結(jié)合，于是不會(huì)產(chǎn)生各種兼容性問(wèn)題或者產(chǎn)生

CPU占用過(guò)高、內(nèi)存消耗太大等問(wèn)題。從這一點(diǎn)來(lái)看，組策略中的“軟件限制策略”才算是最好的系統(tǒng)管理利器。7.2.1部署軟件限制策略

軟件限制策略的功能描述：軟件限制策略，目的是通過(guò)標(biāo)識(shí)或指定應(yīng)用程序，實(shí)現(xiàn)控制應(yīng)用程序運(yùn)行的功能，使得計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過(guò)制定散列規(guī)則、證書(shū)規(guī)則、路徑規(guī)則和網(wǎng)絡(luò)區(qū)域規(guī)則，則可使得程序可以在策略中得到標(biāo)識(shí)，其中，路徑規(guī)則在配置和應(yīng)用中顯得更加靈活。在默認(rèn)情況下，軟件可以運(yùn)行在“不受限”與“不允許”這兩個(gè)級(jí)別上。建議將軟件限制策略應(yīng)用于下列文件：除

DLL以外的所有軟件文件。

將軟件限制策略應(yīng)用于下列用戶：除本地管理員以外的所有用戶。7.2.2啟用限制策略

在默認(rèn)情況下，組策略中的“軟件限制策略”是處在關(guān)閉狀態(tài)的。通過(guò)以下步驟我們來(lái)啟用它：●打開(kāi)組策略編輯器：gpedit.msc●將樹(shù)目錄定位至：計(jì)算機(jī)配置

->Windows設(shè)置

->安全設(shè)置

->軟件限制策略●在“軟件限制策略”上點(diǎn)擊右鍵，點(diǎn)選“創(chuàng)建軟件限制策略”創(chuàng)建成功之后，組策略編輯窗口中會(huì)顯示相關(guān)配置條目。7.2.3設(shè)置安全級(jí)別

在默認(rèn)情況下，系統(tǒng)默認(rèn)為我們提供了三個(gè)安全級(jí)別：“不允許”、“基本用戶”以及“不受限”。不允許：不允許軟件運(yùn)行。受限：無(wú)論用戶的訪問(wèn)權(quán)如何，軟件都無(wú)法訪問(wèn)某些資源，如加密密鑰和憑據(jù)。比基本用戶限制更多，但也享有“跳過(guò)遍歷檢查”的特權(quán)。不信任：允許程序訪問(wèn)只對(duì)眾所周知的組授權(quán)的資源，不允許訪問(wèn)管理員特權(quán)和個(gè)人授予的權(quán)利。不允許對(duì)系統(tǒng)資源、用戶資源進(jìn)行訪問(wèn)，直接的結(jié)果就是程序?qū)o(wú)法運(yùn)行。

7.3配置軟件限制策略

使用軟件限制策略，通過(guò)標(biāo)識(shí)并指定允許哪些應(yīng)用程序運(yùn)行，可以保護(hù)您的計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過(guò)散列規(guī)則、證書(shū)規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則，應(yīng)用程序可以在策略中得到標(biāo)識(shí)。默認(rèn)情況下，軟件可以運(yùn)行在兩個(gè)級(jí)別上：“不受限制的”與“不允許的”。目前主要用到的是路徑規(guī)則和散列規(guī)則，而路徑規(guī)則則是這些規(guī)則中使用最為靈活的。7.3.1基本軟件限制策略

下列表中的文件類型包括：ADEADPBASBATCHMCMDCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBWSC，所以對(duì)于正常的非可執(zhí)行的文件，例如TXTJPGGIF這些是不受影響的，如果你認(rèn)為還有哪些擴(kuò)展的文件有威脅，也可以將其擴(kuò)展加入這里，或者你認(rèn)為哪些擴(kuò)展無(wú)威脅，也可以將其刪除。7.3.2哈希規(guī)則安全策略

散列是唯一標(biāo)識(shí)程序或文件的一系列定長(zhǎng)字節(jié)。散列按散列算法算出來(lái)。軟件限制策略可以用

SHA-1（安全散列算法）和

MD5散列算法根據(jù)文件的散列對(duì)其進(jìn)行標(biāo)識(shí)。重命名的文件或移動(dòng)到其他文件夾的文件將產(chǎn)生同樣的散列。例如，可以創(chuàng)建散列規(guī)則并將安全級(jí)別設(shè)為“不允許的”以防止用戶運(yùn)行某些文件。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的散列。但是，對(duì)文件的任何篡改都將更改其散列值并允許其繞過(guò)限制。軟件限制策略將只識(shí)別那些已用軟件限制策略計(jì)算過(guò)的散列。1.單擊開(kāi)始，單擊運(yùn)行，鍵入

mmc，然后單擊確定。2.打開(kāi)軟件限制策略。3.在控制臺(tái)樹(shù)或詳細(xì)信息窗格中，右鍵單