第七章 软件限制安全

7.3.4路径规则安全策略
路径规则通过程序的文件路径对其进行标识。 由于此规则按路径指定，所以程序发生移 动后路径规则将失效。路径规则中可以使 用诸如 %programfiles% 或 %systemroot% 之 类环境变量。路径规则也支持通配符，所 支持的通配符为 *
7.3.5网络区域规则安全策略
7.3.6软件限制策略使用建议
一般来说，上述四类规则按照优先级的高低 顺序排列，依次是：哈希规则、证书规则、 路径规则、网络区域规则，高优先级规则 的设置会覆盖低优先级规则的设置。同时， 对于同一种规则，“禁止”要优先于“允许”， 例如对某个软件，我们无意中使用某种规 则（例如哈希规则）同时创建了禁止运行 和允许运行这两条规则，那么最终的结果 是系统禁止该程序运行。
• 这种规则可以让我们针对位于不同IE区域 的.msi格式的软件安装文件的运行进行限制。 要创建区域规则，请在请在“其他规则”节点 上单击鼠标右键，选择“新建网络区域规则”， 随后可以看到如图7-10所示的对话框。 • 首先，我们可以从“网络区域”下拉菜单中选 择不同的网络区域，然后可以从“安全级别” 下拉菜单选择希望进行的设置。
默认情况下不启用证书规则。要启用证书规则： 1. 单击开始，单击运行，键入regedit，然后单击确定。 2. 找到并单击以下注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safe r\CodeIdentifiers 3. 在详细信息窗格中，双击 AuthenticodeEnabled，然后将值数据 从 0 更改为 1。 证书规则只影响指派的文件类型中列出的那些文件类型。存在一 个由所有规则共享的指派文件类型的列表。 要使软件限制策略生效，用户必须从他们的计算机上注销然后再 次登录以更新策略设置。 当应用于策略设置的规则不止一个时，存在处理冲突的规则优先 权。
7.3.2 哈希规则安全策略
• 散列是唯一标识程序或文件的一系列定长字节。 散列按散列算法算出来。软件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根据 文件的散列对其进行标识。重命名的文件或移 动到其他文件夹的文件将产生同样的散列。 • 例如，可以创建散列规则并将安全级别设为“ 不允许的”以防止用户运行某些文件。文件可 以被重命名或移到其他位置并且仍然产生相同 的散列。但是，对文件的任何篡改都将更改其 散列值并允许其绕过限制。软件限制策略将只 识别那些已用软件限制策略计算过的散列。
7.2.2启用限制策略
在默认情况下，组策略中的“软件限制策略” 是处在关闭状态的。通过以下步骤我们来 启用它： ● 打开组策略编辑器：gpedit.msc ● 将树目录定位至：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 ● 在“软件限制策略”上点击右键，点选“创建 软件限制策略”创建成功之后，组策略编辑 窗口中会显示相关配置条目。
实训题目2: 配置软件限制策略 实训目的: 通过设置不同的规则，对不同类软 件的运行进行限制。 实训内容: 仿照例题在家庭环境中进行 Windows Live Mesenger 程序的限制。 实训过程：参照实训内容执行。 实训总结:总结哈希规则、证书规则、路径规 则和网络区域规则的软件适用场合。
7.3 配置软件限制策略
使用软件限制策略，通过标识并指定允许哪 些应用程序运行，可以保护您的计算机环 境免受不可信任的代码的侵扰。通过散列 规则、证书规则、路径规则和Internet区域 规则，应用程序可以在策略中得到标识。 默认情况下，软件可以运行在两个级别上： “不受限制的”与“不允许的”。目前主要用到 的是路径规则和散列规则，而路径规则则 是这些规则中使用最为灵活的。
实训: 软件限制安全配置实训
实训题目1：启用软件限制策略 实训目的:理解什么是软件限制策略,启用隐藏的 安全级别设置. 实训内容:1、启用软件限制策略 2、通过修改注册表实现将隐藏的安全级别显示 出来，并进行相应的设置，以增加系统的安全 性。 实训过程：参照实训内容执行。 实训总结:总结软件限制策略可以实现软件哪些 方面的限制。
7.2软件限制策略概述
• 在系统安全方面，有人曾说，如果把 HIPS （Hostbased Intrusion Prevention System ，基于主机的入侵 防御系统）用的很好，就可以告别杀毒软件了。其 实，在Windows中，如果能将组策略中的“软件限制 策略”使用的很好，再结合NTFS权限和注册表权限限 制，依然可以很淡定的告别杀毒软件。 • 另一方面，由于组策略是原生于系统之上的，可能 在底层与操作系统无缝结合，于是不会产生各种兼 容性问题或者产生 CPU 占用过高、内存消耗太大等 问题。从这一点来看，组策略中的“软件限制策略” 才算是最好的系统管理利器。
7.3.3证书规则安全策略
软件限制策略可以通过其签名证书来标识文 件。证书规则不能应用到带有 .exe 或 .dll 扩 展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件 的证书，然后根据安全级别的设置，决定 是否允许软件运行。
1. 单击开始，单击运行，键入 mmc，然后单击 确定。 2. 打开软件限制策略。 3. 在控制台树或详细信息窗格中，右键单击其他 规则，然后单击新建证书规则。 4. 单击浏览，然后选择证书。 5. 选择安全级别。 6. 在描述框中，键入对此规则的说明，然后单击 确定。
7.3.1 基本软件限制策略
下列表中的文件类型包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以对 于正常的非可执行的文件，例如TXT JPG GIF 这些是不受影响的，如果你认为还有哪些 扩展的文件有威胁，也可以将其扩展加入 这里，或者你认为哪些扩展无威胁，也可 以将其删除。
第七章 软件限制安全
本章描述:计算机的环境配置包括硬件配 置和软件配置，目前90%以上的用户常见故 障是由软件故障引起的，故对用户使用软 件的一些限制就尤为重要。本项目主要通 过设置软件限制策略来限制应用程序的使 用，从而保证系统的安全。
7.1 软件限制安全标准
本章通过介绍软件限制策略，结合四个限 制规则进行了相应的软件限制，相应的标 准有： 1、会启用软件限制策略。 2、会创建针对某一软件的限制策略。
1. 单击开始，单击运行，键入 mmc，然后单击 确定。 2. 打开软件限制策略。 3. 在控制台树或详细信息窗格中，右键单击其他 规则，然后单击新建哈希规则。 4. 单击浏览找到文件，或者将预先计算好的哈希 值粘贴到文件哈希框中。 5. 在安全级别框中，单击不允许或无限制。 6. 在描述框中，键入对此规则的说明，然后单击 确定。
7.2.3设置安全级别
在默认情况下，系统默认为我们提供了三个安全级别： “不允许”、“基本用户”以及“不受限”。 不允许：不允许软件运行。 受限：无论用户的访问权如何，软件都无法访问某些 资源，如加密密钥和凭据。 比基本用户限制更多，但也享有“跳过遍历检查”的特权。 不信任：允许程序访问只对众所周知的组授权的资源， 不允许访问管理员特权和个人授予的权利。 不允许对系统资源、用户资源进行访问，直接的结果就是 程序将无法运行。
7.2.1部署软件来自百度文库制策略
• 软件限制策略的功能描述：软件限制策略，目的是 通过标识或指定应用程序，实现控制应用程序运行 的功能，使得计算机环境免受不可信任的代码的侵 扰。通过制定散列规则、证书规则、路径规则和网 络区域规则，则可使得程序可以在策略中得到标识， 其中，路径规则在配置和应用中显得更加灵活。在 默认情况下，软件可以运行在“不受限”与“不允许” 这两个级别上。 • 建议将软件限制策略应用于下列文件： 除 DLL 以外 的所有软件文件。 • 将软件限制策略应用于下列用户： 除本地管理员以 外的所有用户。