1、CHAPTER 05組策略5：軟件限制策略1、概述 使用軟件限制策略，通過標識并指定允許哪些應用程序運行，可以保護您的計算機環(huán)境免受不可信任的代碼的侵擾。通過哈希（散列）規(guī)則、證書規(guī)則、路徑規(guī)則和Internet 區(qū)域規(guī)則，就用程序可以在策略中得到標識。 證書規(guī)則 軟件限制策略可以通過其簽名證書來標識文件。證書規(guī)則不能應用到帶有 .exe 或 .dll 擴展名的文件。它們可以應用到腳本和 Windows 安裝程序包?？梢詣?chuàng)建標識軟件的證書，然后根據(jù)安全級別的設(shè)置，決定是否允許軟件運行。路徑規(guī)則 路徑規(guī)則通過程序的文件路徑對其進行標識。由于此規(guī)則按路徑指定，所以程序發(fā)生移動后路徑規(guī)則將失效。路徑

2、規(guī)則中可以使用諸如 %programfiles% 或 %systemroot% 之類環(huán)境變量。路徑規(guī)則也支持通配符，所支持的通配符為 * 和 ?。 哈希（散列）規(guī)則 哈希（散列）是唯一標識程序或文件的一系列定長字節(jié)。哈希按哈希算法算出來。軟件限制策略可以用 SHA-1（安全哈希算法）和 MD5 哈希算法根據(jù)文件的哈希對其進行標識。重命名的文件或移動到其他文件夾的文件將產(chǎn)生同樣的哈希。 哈希（散列）規(guī)則 例如 可以創(chuàng)建哈希規(guī)則并將安全級別設(shè)為“不允許的”以防止用戶運行某些文件。 文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的哈希。 對文件的任何篡改都將更改其哈希值并允許其繞過限制。軟件限制策略

3、將只識別那些已用軟件限制策略計算過的哈希。 Internet 區(qū)域規(guī)則 區(qū)域規(guī)則只適用于 Windows 安裝程序包。區(qū)域規(guī)則可以標識那些來自 Internet Explorer 指定區(qū)域的軟件。這些區(qū)域是 Internet、本地計算機、本地 Intranet、受限站點和可信站點。 2、安全級別 對于軟件限制策略，默認情況下，系統(tǒng)為我們提供了兩個安全級別：“不受限的”和“不允許的”（1）“不允許的”級別 “不允許的”級別不包含任何文件保護操作。你可以對一個設(shè)定成“不允許的”文件進行讀取、復制、粘貼、修改、刪除等操作，組策略不會阻止，前提當然是你的用戶級別擁有修改該文件的權(quán)限（2）“不受限的”級別 “不受限的”級別不等于完全不受限制，只是不受軟件限制策略的附加限制。事實上，“不受限的”程序在啟動時，系統(tǒng)將賦予該程序的父進程的權(quán)限，該程序所獲得的訪問令牌決定于其父進程，所以任何程序的權(quán)限將不會超過它的父進程。操作演示1、“AD用戶和計算機”中選定OU2、組策略管理中創(chuàng)建組策略（ GPO ）3、編輯創(chuàng)建的策略，找到“用戶配置”中的“軟件限制策略”4、右擊，選擇創(chuàng)建軟件限制策略5、生成軟件限制策略菜單6、選擇“其他規(guī)則”右擊后新建所需規(guī)則7、例如哈希規(guī)則，通過瀏覽找到C:WindowsSystem32中的notepad.exe返回后，如圖設(shè)置安全