Win10操作系統(tǒng)配置軟件限制策略

摘 要：隨著網(wǎng)絡、Internet 以及電子郵件在商務計算方面的使用日益增多，用戶發(fā)現(xiàn)他們經(jīng)常會遇到新軟件。用戶必須不斷作出是否該運行未知軟件的決定。病毒和特洛伊木馬經(jīng)常故意地偽裝自己以騙得用戶的運行。要用戶做出安全的選擇是非常困難的。所以我們可以啟用軟件限制策略來幫助用戶選擇。

一、.軟件限制策略概述

在系統(tǒng)安全方面，有人曾說，如果把 HIPS （Host-based Intrusion Prevention System ，基于主機的入侵防御系統(tǒng)）用的很好，就可以告別殺毒軟件了。其實，在Windows中，如果能將組策略中的“軟件限制策略”使用的很好，再結合NTFS權限和注冊表權限限制，依然可以很淡定的告別殺毒軟件。另一方面，由于組策略是原生于系統(tǒng)之上的，可能在底層與操作系統(tǒng)無縫結合，于是不會產(chǎn)生各種兼容性問題或者產(chǎn)生 CPU 占用過高、內(nèi)存消耗太大等問題。從這一點來看，組策略中的“軟件限制策略”才算是最好的系統(tǒng)管理利器。

二.部署軟件限制策略

軟件限制策略的功能描述：軟件限制策略，目的是通過標識或指定應用程序，實現(xiàn)控制應用程序運行的功能，使得計算機環(huán)境免受不可信任的代碼的侵擾。通過制定散列規(guī)則、證書規(guī)則、路徑規(guī)則和網(wǎng)絡區(qū)域規(guī)則，則可使得程序可以在策略中得到標識，其中，路徑規(guī)則在配置和應用中顯得更加靈活。將軟件限制策略應用于下列用戶： 除本地管理員以外的所有用戶。啟用限制策略在默認情況下，組策略中的“軟件限制策略”是處在關閉狀態(tài)的。通過以下步驟我們來啟用它：

1. 打開組策略編輯器：gpedit.msc

2.將樹目錄定位至：計算機配置 -> Windows 設置 -> 安全設置 -> 軟件限制策略

3.在“軟件限制策略”上點擊右鍵，點選“創(chuàng)建軟件限制策略”創(chuàng)建成功之后，組策略編輯窗口中會顯示相關配置條目。

三.配置軟件限制策略

使用軟件限制策略，通過標識并指定允許哪些應用程序運行，可以保護您的計算機環(huán)境免受不可信任的代碼的侵擾。通過哈希規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則，應用程序可以在策略中得到標識。默認情況下，軟件可以運行在兩個級別上：“不受限制的”與“不允許的”。目前主要用到的是路徑規(guī)則和散列規(guī)則，而路徑規(guī)則則是這些規(guī)則中使用最為靈活的。

1.哈希規(guī)則

散列是唯一標識程序或文件的一系列定長字節(jié)。散列按散列算法算出來。軟件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根據(jù)文件的散列對其進行標識。重命名的文件或移動到其他文件夾的文件將產(chǎn)生同樣的散列。例如，可以創(chuàng)建散列規(guī)則并將安全級別設為“不允許的”以防止用戶運行某些文件。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的散列。但是，對文件的任何篡改都將更改其散列值并允許其繞過限制。軟件限制策略將只識別那些已用軟件限制策略計算過的散列。

部署哈希規(guī)則安全策略

1）單擊開始，單擊運行，鍵入 mmc，然后單擊確定。

2）打開軟件限制策略。

3）在控制臺樹或詳細信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建哈希規(guī)則。4. 單擊瀏覽找到文件，或者將預先計算好的哈希值粘貼到文件哈希框中。

4）在安全級別框中，單擊不允許或無限制。

5）在描述框中，鍵入對此規(guī)則的說明，然后單擊確定。

2.數(shù)字證書

數(shù)字證書就是互聯(lián)網(wǎng)通訊中標志通訊各方身份信息的一串數(shù)字，提供了一種在Internet上驗證通信實體身份的方式，數(shù)字證書不是數(shù)字身份證，而是身份認證機構蓋在數(shù)字身份證上的一個章或?。ɑ蛘哒f加在數(shù)字身份證上的一個簽名）。它是由權威機構——CA機構，又稱為證書授權（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識別對方的身份。軟件限制策略可以通過其簽名證書來標識文件。證書規(guī)則不能應用到帶有 .exe 或 .dll 擴展名的文件。它們可以應用到腳本和 Windows 安裝程序包?？梢詣?chuàng)建標識軟件的證書，然后根據(jù)安全級別的設置，決定是否允許軟件運行。

部署證書規(guī)則安全策略

1）單擊開始，單擊運行，鍵入 mmc，然后單擊確定。

2）打開軟件限制策略。

3）在控制臺樹或詳細信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建證書規(guī)則。

4）單擊瀏覽，然后選擇證書。

5）選擇安全級別。在描述框中，鍵入對此規(guī)則的說明，然后單擊確定。

3.網(wǎng)絡區(qū)域規(guī)則安全策略概論

Internet Explorer 將所有網(wǎng)站分配到以下四個安全區(qū)域之一：Internet、本地 Intranet、受信任的站點或受限制的站點。網(wǎng)站所分配至的區(qū)域指定了用于該站點的安全設置。

Internet：默認情況下，Internet 區(qū)域的安全設置級別適用于所有網(wǎng)站。該區(qū)域的安全級別設置為“中高”（但可將其更改為“中”或“高”）。僅未使用安全設置的網(wǎng)站是位于本地 Intranet 區(qū)域的站點，或者是已明確進入受信任的或受限的站點區(qū)域的站點。

本地 Intranet：本地 Intranet 區(qū)域的安全設置級別適用于存儲在企業(yè)或商務網(wǎng)絡的網(wǎng)站和內(nèi)容。本地 Intranet 區(qū)域的安全級別設置為“中”（但可將其更改為任何級別）。

受信任的站點：受信任的站點的安全設置級別適用于已明確指定信任其不會損壞計算機或信息的站點。受信任的站點的安全級別設置為“中”（但可將其更改為任何級別）。

受限制的站點：受限制的站點的安全設置級別適用于可能損壞計算機或信息的站點。將站點添加到受限制的區(qū)域不會阻止這些站點，但可用阻止站點使用腳本或任何活動內(nèi)容。受限制的站點的安全級別設置為“高”并且無法更改。

四、總結

通常來說，不同的情況需要選擇不同的規(guī)則。四類規(guī)則按照優(yōu)先級的高低順序排列，依次是：哈希規(guī)則、證書規(guī)則、路徑規(guī)則、網(wǎng)絡區(qū)域規(guī)則，高優(yōu)先級規(guī)則的設置會覆蓋低優(yōu)先級規(guī)則的設置。對于同一種規(guī)則，“禁止”要優(yōu)先于“允許”，例如對某個軟件，我們無意中使用某種規(guī)則（例如哈希規(guī)則）同時創(chuàng)建了禁止運行和允許運行這兩條規(guī)則，那么最終的結果是系統(tǒng)禁止該程序運行。

作者簡介：

張志浩 淄博職業(yè)學院信息工程系教師 職稱講師。endprint