Windows 组策略之软件限制策略详解对于 Windows 的组策略,也许大家使用的更多的只是 管理模板 里的各项功能。对于 软件限制策略 信任用过的筒子们不是很多:〕。软件限制策略 假如用的好的话,信任可以和某些 HIPS 类软件相类比了。假如再结合 NTFS 权限和注册表权限,完全可以实现系统的全方位的平安配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的 CPU 及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比较的,缺乏之处那么是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下 软件限制策略。 本文将以以下几方面为重点来进行讲解: 1、概述 2、附加规那么和平安级别 3、软件限制策略的优先权 4、规那么的权限分配及继承 5、如何编写规那么 6、例如规那么 1、概述 使用 软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过 散列规那么、证书规那么、路径规那么和 Internet 区域规那么,就用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的〞与“不允许的〞。在本文中我们主要用到的是路径规那么和散列规那么,而路径规那么呢那么是这些规那么中使用最为灵活的,所以后文中假如没有特别说明,所有规那么指的都是路径规那么。 2、附加规那么和平安级别 附加规那么 在使用 软件限制策略 时,使用以下规那么来对软件进行标识: 证书规那么 软件限制策略可以通过其签名证书来标识文件。证书规那么不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创立标识软件的证书,然后根据平安级别的设置,决定是否允许软件运行。 路径规那么 路径规那么通过程序的文件路径对其进行标识。由于此规那么按路径指定,所以程序发生移动后路径规那么将失效。路径规那么中可以使用诸如 %programfiles% 或 %systemroot% 之类环境变量。路径规那么也支持通配符,所支持的通配符为 * 和 ?。 散列规那么 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用 SHA-1〔平安散列算法〕和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。 例如,可以创立散列规那么并将平安级别设为“不允许的〞以防止用户运行某些文...
