“带你全面了解Windows软件的限制策略”

今天，我们来谈谈文案，全面了解windows软件的限制战略。 这里简要介绍了全面了解windows软件限制策略的副本。 希望能帮到大家。

一、概要

通过使用软件限制策略来识别和指定允许这些应用程序运行，可以保护计算机环境免受不可靠的代码的侵害。 通过使用散列规则、证书规则、路径规则和internet区域规则，可以使用程序在策略中进行标识。 默认情况下，软件可以在无限制和不许可两个级别上运行。 本文主要使用路径规则和哈希规则，由于路径规则在这些规则中被最灵活地采用，所以在以下没有特别证明的情况下，所有的规则都是指路径规则。

2、附加规则和安全级别

附加规则

使用软件限制策略时，请遵循以下规则来标识软件:

证书规则

软件限制策略可以通过签名的证书来标识文件。 证书规则不适用于扩展名为. exe或. dll的文件。 可以应用于脚本和windows安装包。 您可以创建用于标识软件的证书，并根据安全级别的设置来决定是否允许软件运行。

路径规则

规则由程序的文件路径标识。 由于该规则是按路径指定的，因此当程序移动时，路径规则将无效。 规则可以是环境变量，如%程序文件%和%系统根目录%。 规则还支持通配符。 支持的通配符是*和？ 。

散列规则

散列是唯一标识程序或文件的固定长度字节序列。 用哈希算法计算。 软件限制策略可以使用安全散列算法( sha-1 )和md5散列算法基于文件的散列进行识别。 重命名的文件或移动到其他文件夹的文件会生成相同的哈希。

例如，可以创建散列规则，将安全级别设置为“不允许”，以防止客户运行特定的文件。 如果重命名文件或将其移动到其他位置，也可以生成相同的散列值。 但是，篡改文件会更改哈希值，从而避免限制。 软件限制策略只识别通过任何软件限制策略计算出的哈希。

网络地域规则

区域规则仅适用于windows安装软件包。 区域规则标识在internet explorer中指定的区域的软件。 这些区域包括互联网、本地计算机、本地互联网、受限网站和可靠网站。

受上述规则影响的文档类型只在分配的文档类型中列出。 所有规则共享指定文件类型的列表。 默认情况下，是adeadpbasbatchmcmdcomcplcrtexehlphtainfinsisplnkmdbmsimspocxpcdpifregscrshsurlvbwsc，因此，是通常不可执行的文件，例如TT 另外，如果您认为扩展文件有威胁，也可以在此处添加扩展文件，如果您认为扩展文件没有威胁，也可以将其删除。

安全等级

对于软件限制策略，默认情况下，系统提供两个安全级别:无限制和未经许可

注:

未经许可的级别不包括文件保护操作。 可以对设置为不允许的文件进行读取、复制、粘贴、评级、删除等操作。 不阻止组策略。 当然，前提是客户级别具有不限制对该文件进行评级的权限，这并不等于完全不受限制，而是不受软件限制策略的附加限制。 实际上，如果启动了不受限制的程序，系统将授予该程序的父进程权限，并且该程序获取的访问令牌由父进程决定，因此任何程序的权限都不会超过父进程。

但是，实际上，默认情况下隐藏了三个级别。 通过手动修改注册表，可以打开其他三个级别，打开注册表，然后展开

HKEY _本地_机器\软件\策略\微软\ windows \

安全代码标识符

新的dowrd名为levels，其值为0x4131000 (十六十制的4131000 )

创建完成后，重新打开gpedit.msc，您会看到其他三个级别此时已打开。

没有限制的

虽然是最高权限，但并不是完全不受限制，软件的访问权限取决于您的访问权限。 也就是说，继承父进程的权限。

基本客户

基本客户只拥有跳过遍历检查的权限，拒绝管理员的权限。

被限制了

虽然限制比基本客户有所增加，但您也有跳过遍历检查的特权。

不可靠

不允许访问系统资源、客户资源，直接导致程序无法执行。

不可原谅

无条件阻止程序的执行和文件的打开

根据权限的大小，可以分类为不受限制的基本客户受限制的不可靠的不许可

3、软件限制政策的优先顺序

多个不同的规则可能适用于特定的流程。 因此，这些规则可以按照以下优先顺序应用: 优先级从高到低依次如下。

散列规则证书规则路径规则互联网区域规则

如果存在多个路径规则冲突，则最受限制的规则优先。 一般来说，规则越一致越优先。

例如:

c:\ windows \系统32 \任务执行:\windows \系统执行32\* .执行* .执行

c:\ windows \系统32 \

c:\windows\

这个例子是按照优先级从高到低的顺序排列的。 由此可见:

绝对路径的通配符路径

文件名规则目录规则

在相同的目录规则中，目录数匹配越多，优先顺序越高。

并且，在存在两个相似的规则的情况下，最限制性的规则的优先顺序最高。 例如，如果c:\windows\具有不允许安全级别的路径规则，而%windir%也具有不允许安全级别的路径规则，则使用最受限制的规则，即不允许的规则

在这里，顺便介绍一下环境变量和通配符吧。

规则允许使用环境变量，如%windir% %userprofile%。 我们的系统通常位于光驱中，但由于安装双重系统等其他原因，有些人会将系统安装在光驱下。 这种情况下，我们平时使用的c:\windows\这样的路径将无效。 为了避免这种情况，系统可以使用系统变量(如%windir% )自动匹配目录。 这些环境变量也可以在创建规则时应用于各种系统。 以下是常用的环境变量，在执行cmd后，可通过set命令进行确认的环境变量不断增加。

所有用户配置文件= c:\文档标准设置\所有用户

appdata = c:\文档标准设置\管理员\应用程序数据

公共程序文件= c:\程序文件\公共文件

概念规格= c:\ windows \系统32\cmd.exe

家庭驱动器= c :

homepath = \文档标准设置\管理员

程序文件= c:\程序文件

系统驱动器= c :

系统根目录= c:\ windows

temp = c:\文档和设置\当前客户名称\本地设置\ temp

tmp = c:\ windows \临时版

用户配置文件= c:\文档标准设置\管理员

窗口= c:\ windows

同样，路径规则也支持采用通配符。 熟悉dos的奶酪应该知道这个。 是吗？ 和*。

？ * :包含1个字符或0个字符* :包含任意字符，包含0个字符。 不包括斜线

关于通配符，其实网上很多教程的方法都错了。

例如，%用户配置文件% \本地设置\ * * \ “. *中不允许的规则旨在防止所有分配的文件从包含其子目录的本地设置目录启动，但经过验证，**和*完全相等，*。 local settings目录本身也不包括级别2及其下的所有子目录。 让我们看看local settings目录下的1级目录中是否有它们。 默认值为temp、temporary internet files、应用程序数据和历史记录，但该规则包含禁止执行temp目录中所有分配的文件的含义 因为有些软件在安装时会解压缩到temp目录中。

影响最大的(可以进入本年度10个最错误的方法中)之一)？ :\autorun.inf不允许

正在研究软件限制战略的奶酪应该看过这个规则吧。 该规则的目的是阻止所有磁盘根目录下的autorun.inf文件的执行，从而阻止USB内存病毒的执行。 它也确实达到了这个目的，在双击autorun.inf文件时被阻止了。 但是病毒被阻止了吗？ 答案是否定的。 病毒能正常工作。

为什么呢？ 让我们看看系统是如何解决autorun.inf文件的。

首先，svchost.exe读取autorun.inf，然后explorer.exe读取autorun.inf，然后explorer.exe将autorun.inf的相关内容输入到注册表中的mount poore 如果explorer.exe成功写入注册表，则该autorun.inf文件的使命完成，等待USB内存中的病毒双击USB内存。

那么，在我们的软件限制战略中，不允许autorun.inf这种方法在这个过程中是如何起作用的呢？

很遗憾，没什么用。

虽然说真的起那个作用，但只是阻止你打开名为autorun.inf的文件。 因此，autorun.inf中的所有策略都是无效的。

真的想防止USB内存病毒的运行，但是战略的设定只有一种方法。 ？ \*.*不允许意味着阻止执行所有磁盘下的分配文件。 当然，如果想停止执行USB存储器下的文件，需要规则中的？ 请更改为具体的驱动器号。 当然，还有很多其他方法可以防止USB内存病毒。 这个在句子之后附加其他处理方法。 欢迎奶酪们验证。 虚伪地保存真相，找到最好的应对方法吧:)

4、规则的权限分配和继承

这里的一个说明前提是假设客户类型为管理员。

如果没有软件限制策略，当程序a启动程序b时，a是b的父进程，b继承a的权限

现在，以a为基本顾客，b不限制(和不限制b或者不为b制定规则有同样的效果)，然后a启动b，b的权限就会被a继承，也是基本顾客。 也就是说，如下所示。

a (基本客户(- b )无限制) = b )基本客户) ) ) ) ) )。

假设b为基本顾客，a不限制，则a启动b后b也是基本顾客权限，即

a (无限制(- b )基本客户) = b )基本客户) ) )。

一个进程获得的最终权限大致取决于父进程的权限和规则中定义的权限的最低级别，即我们所说的最低权限

举一个例子:

如果将ie设置为基本客户级别并启动，则ie运行的程序的权限不会超过基本客户级别，而只能在基本客户级别以下。 因此，可以起到防止网民的效果。 即使ie下载并运行了病毒，由于权限限制，病毒也无法对系统进行有害的更改。 如果重新启动，病毒只会变成尸体。

此外，通过设置ntfs权限，ie可以禁止下载和运行病毒，也可以禁止给病毒任何机会。

现在，让我们来看看ntfs的权限。 这里的权限是ntfs权限，与规则无关。 ntfs的所有权限如下:

遍历文件夹/运行文件(与遍历文件夹无关，运行文件是首要的，没有此权限，就无法启动文件。 相当于ad的执行应用程序) )。

或者，拒绝客户移动整个文件夹到达其他文件或文件夹的请求。 也就是说，用户没有遍历文件夹的权限(仅限文件夹)。

文件夹/读取数据的一览显示

允许或拒绝显示指定文件夹的内容文件名和子文件夹名。 这只会影响文件夹的副本，而不会影响是否列出您已设置权限的文件夹(仅限文件夹)。

读取属性

允许或拒绝显示文件中的数据的功能。 仅适用于文件。

装入扩展属性

允许或拒绝客户显示文件或文件夹属性(如只读或隐藏)的请求。 属性由ntfs定义。

文件创建/数据写入

文件创建允许或拒绝在文件夹中创建文件(仅限文件夹)。 通过写入数据，可以对文件进行更改或复盖现有的副本(仅适用于文件)。

创建文件夹/添加数据

创建文件夹接受或拒绝客户在指定文件夹中创建文件夹的请求。 (仅限文件夹)。 添加数据允许或拒绝对文件末尾进行更改而不更改、删除或复盖现有数据的功能(仅适用于文件)。

写入属性

允许或拒绝客户修改文件末尾，而不修改、删除或复盖现有数据(仅限文件)。 即，写入

写入扩展属性

接受或拒绝客户更改文件或文件夹属性(如只读或隐藏)的请求。 属性由ntfs定义。

删除子文件夹和文件

即使没有为子文件夹和文件分配删除权限，也可以允许或拒绝删除子文件夹和文件。

删除(与上述不同的是，这里除了子目录及其文件外，还包括目录本身) ) ) )。

接受或拒绝删除子文件夹和文件的请求，即使没有为子文件夹或文件分配删除权限。

读取权限(显示ntfs权限)

接受或拒绝对客户文件或文件夹的读取权限(完全控制、读取、写入等)的请求。

权限的变更( ntfs权限的变更) ) )。

允许或拒绝修改文件或文件夹的权限(完全控制、读取、写入等)。

获得所有权利

允许或拒绝获取文件或文件夹的所有权。 无论文件或文件夹的现有权限是用于保护文件或文件夹的，文件或文件夹的所有者始终可以更改权限。

在系统默认的ntfs权限下，基本客户对windows\program files目录只有文件夹/可执行文件列表文件夹/读取属性读取扩展属性读取权限四种权限。 对于“文档”和“设置”目录，只有对所有目录的完全控制权限。 其他目录是只读的吗？

我们规则中所说的基本客户、受限制的客户基本上与ntfs权限的users集团相同，但受限制的客户与ntfs权限无关，始终受到限制的限制在增加。

ntfs权限的设定有所增加，请参阅ntfs相关内容。

5、如何写规则

关于规则制定，基本上遵循以下规则。 必须方便。 不要对自己施加过度的限制。 这样的话，即使有问题也要排队安全。 考虑到你的系统中毒的原因在于它们，必须与之进行比较防护。

尽量不要使用基于文件名的病毒规则。 容易发生阴影，病毒的文件名可以自由更改。 我们建立的不是特征库。

介绍规则的具体制定方法

开始-执行- gpedit.msc

在左窗格中，展开计算机配置- windows设置-安全设置-软件限制策略

如果以前没有设置过，则可以右键单击软件限制策略，选择“创建新策略”，右键单击其他规则，然后选择“新建路径规则”来创建规则。

规则的设定很简单。 请根据需要设置五个安全级别。 难点在于规则的正确性和比较的有效性，这必须通过大量的实践来提高。

另外，在设置规则时，请注意不要更改以下四个系统默认规则，同时也要考虑它们的影响。

% HKEY _ local _ machine \软件\微软\ windows nt \当前版本\系统根目录%路径不受限制

% HKEY _ local _ machine \软件\微软\ windows nt \当前版本\系统根目录% *.exe路径没有限制

% HKEY _ local _ machine \软件\微软\ windows nt \当前版本\系统根目录%系统32\*.exe路径受到限制

% HKEY _本地_机器\软件\微软\ windows \当前版本\

程序文件目录%路径没有限制

相当于规则:

%systemroot%不受限制的整个windows目录不受限制

%systemroot%\*.exe不受限制的windows下的exe文件不受限制

%systemroot%\system32\*.exe不受限制system32下的exe文件不受限制

%programfiles%不受限制整个programfiles目录不受限制

这里需要注意的一点是，新添加规则或更改评级后，有些机器会在1-2分钟内生效，而不会立即生效。 如果不能长期启用，可以通过注销并重新登录来启用，也可以使用命令gpupdate /force强制更新。

我相信带你全面了解windows软件的限制战略这个文案对你有帮助，在和好朋友分享的时候，也欢迎有兴趣的朋友们一起探讨。

本文：《“带你全面了解Windows软件的限制策略”》