在系统安全方面,有人曾说,如果把 HIPS (Host-based Intrusion Prevention System ,基于主机的入侵防御系统)用的很好,就可以告别杀毒软件了。其实,在 Windows 中,如果能将组策略中的“软件限制策略”使用的很好,再结合 NTFS 权限和注册表权限限制,依然可以很淡定的告别杀软。
另一方面,由于组策略是原生于系统之上的,可能在底层与操作系统无缝结合,于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看,组策略中的“软件限制策略”才算是最好的系统管理利器。
当然,对于大多数用户来说,使用组策略来配置“软件管理策略”未免显得太过于繁杂专业,不得不承认的是,组策略的设计并没有为了最终用户体验而进行过优化的,相比其他 HIPS 软件,它在智能与灵活性上稍显不足。
注:本文实现环境基于 Windows 7 Ultimate x64 版本
软件限制策略的基本概念
“软件限制策略”,目的是通过标识或指定应用程序,实现控制应用程序运行的功能,使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则,则可使得程序可以在策略中得到标识,其中,路径规则在配置和应用中显得更加灵活。在默认情况下,软件可以运行在“不受限”与“不允许”这两个级别上。
启用软件限制策略
在默认情况下,组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它:
● 打开组策略编辑器:gpedit.msc
● 将树目录定位至:计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略
● 在“软件限制策略”上点击右键,点选“创建软件限制策略”
创建成功之后,组策略编辑窗口中会显示相关配置条目:
什么是“安全级别”?
安全级别
在默认情况下,系统默认为我们提供了三个安全级别:“不允许”、“基本用户”以及“不受限”。
| 不允许:不允许软件运行。 此级别不包含任何文件保护操作。只要用户的具有修改该文件的权限,即可对一个设定成“不允许”的文件进行读取、复制、粘贴、修改、删除等操作,组策略不会进行阻止。 不受限:允许软件在登录到计算机的用户的完全权限下运行。 此级别不等于完全不受限制,只是不受软件限制策略的附加限制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。 基本用户:允许程序访问一般用户可以访问的资源,但没有管理员的访问权。 基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。 |
在高级配置中,还有两个处于隐藏状态的安全级别供用户选择,我们可以通过修改注册表进行启用:
● 打开注册表编辑器:regedit.exe
● 定位注册表位置至:
| HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers |
● 新建名为 Levels 的 DOWRD 项,其值为十六进制的 0x4131000(十进制为:1094791424)
注册表项创建完毕后重新打开组策略编辑器,可以看到另外两个级别此时已经显示出来了。
| 受限:无论用户的访问权如何,软件都无法访问某些资源,如加密密钥和凭据。 比基本用户限制更多,但也享有“跳过遍历检查”的特权。 不信任:允许程序访问只对众所周知的组授权的资源,不允许访问管理员特权和个人授予的权利。 不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。 |
根据权限限制程度,对所有安全级别进行排序的顺序依次为:
不受限 > 基本用户 > 受限 > 不信任 > 不允许
本系列未完,欢迎持续关注!
本文转自melvillo 51CTO博客,原文链接:http://blog.51cto.com/marui/344446,如需转载请自行联系原作者
