資源描述:
《Windows安全配置 教學課件 作者 馮秀彥 呂秀鑒 褚云霞 第七章 軟件限制安全.ppt》由會員上傳分享�,免費在線閱讀�,更多相關內(nèi)容在應用文檔-天天文庫����。
1��、第七章軟件限制安全本章描述:計算機的環(huán)境配置包括硬件配置和軟件配置,目前90%以上的用戶常見故障是由軟件故障引起的���,故對用戶使用軟件的一些限制就尤為重要。本項目主要通過設置軟件限制策略來限制應用程序的使用,從而保證系統(tǒng)的安全��。7.1軟件限制安全標準本章通過介紹軟件限制策略���,結合四個限制規(guī)則進行了相應的軟件限制,相應的標準有:1����、會啟用軟件限制策略。2���、會創(chuàng)建針對某一軟件的限制策略�����。7.2軟件限制策略概述在系統(tǒng)安全方面����,有人曾說,如果把HIPS(Host-basedIntrusionPreventionSystem�����,基于主機的入侵防御系統(tǒng))用的很好�����,就可以告別殺毒軟件了���。其實����,在Windows
2�����、中�,如果能將組策略中的“軟件限制策略”使用的很好����,再結合NTFS權限和注冊表權限限制,依然可以很淡定的告別殺毒軟件�����。另一方面�,由于組策略是原生于系統(tǒng)之上的,可能在底層與操作系統(tǒng)無縫結合�����,于是不會產(chǎn)生各種兼容性問題或者產(chǎn)生CPU占用過高����、內(nèi)存消耗太大等問題。從這一點來看���,組策略中的“軟件限制策略”才算是最好的系統(tǒng)管理利器��。7.2.1部署軟件限制策略軟件限制策略的功能描述:軟件限制策略,目的是通過標識或指定應用程序���,實現(xiàn)控制應用程序運行的功能��,使得計算機環(huán)境免受不可信任的代碼的侵擾�。通過制定散列規(guī)則、證書規(guī)則�、路徑規(guī)則和網(wǎng)絡區(qū)域規(guī)則,則可使得程序可以在策略中得到標識�,其中,路徑規(guī)則在配置和應用中
3�����、顯得更加靈活�����。在默認情況下�����,軟件可以運行在“不受限”與“不允許”這兩個級別上�。建議將軟件限制策略應用于下列文件:除DLL以外的所有軟件文件。將軟件限制策略應用于下列用戶:除本地管理員以外的所有用戶��。7.2.2啟用限制策略在默認情況下���,組策略中的“軟件限制策略”是處在關閉狀態(tài)的�。通過以下步驟我們來啟用它:●打開組策略編輯器:gpedit.msc●將樹目錄定位至:計算機配置->Windows設置->安全設置->軟件限制策略●在“軟件限制策略”上點擊右鍵,點選“創(chuàng)建軟件限制策略”創(chuàng)建成功之后����,組策略編輯窗口中會顯示相關配置條目。7.2.3設置安全級別在默認情況下�����,系統(tǒng)默認為我們提供了三個安全級別:
4�����、“不允許”�、“基本用戶”以及“不受限”。不允許:不允許軟件運行���。受限:無論用戶的訪問權如何���,軟件都無法訪問某些資源,如加密密鑰和憑據(jù)�。比基本用戶限制更多,但也享有“跳過遍歷檢查”的特權�。不信任:允許程序訪問只對眾所周知的組授權的資源����,不允許訪問管理員特權和個人授予的權利�����。不允許對系統(tǒng)資源����、用戶資源進行訪問�,直接的結果就是程序?qū)o法運行。7.3配置軟件限制策略使用軟件限制策略�����,通過標識并指定允許哪些應用程序運行���,可以保護您的計算機環(huán)境免受不可信任的代碼的侵擾���。通過散列規(guī)則、證書規(guī)則����、路徑規(guī)則和Internet區(qū)域規(guī)則�,應用程序可以在策略中得到標識�����。默認情況下��,軟件可以運行在兩個級別上:“不受限
5���、制的”與“不允許的”���。目前主要用到的是路徑規(guī)則和散列規(guī)則,而路徑規(guī)則則是這些規(guī)則中使用最為靈活的��。7.3.1基本軟件限制策略下列表中的文件類型包括:ADEADPBASBATCHMCMDCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBWSC�,所以對于正常的非可執(zhí)行的文件,例如TXTJPGGIF這些是不受影響的��,如果你認為還有哪些擴展的文件有威脅�����,也可以將其擴展加入這里����,或者你認為哪些擴展無威脅����,也可以將其刪除���。7.3.2哈希規(guī)則安全策略散列是唯一標識程序或文件的一系列定長字節(jié)。散列按散列算法算出來�。軟
6、件限制策略可以用SHA-1(安全散列算法)和MD5散列算法根據(jù)文件的散列對其進行標識�����。重命名的文件或移動到其他文件夾的文件將產(chǎn)生同樣的散列���。例如�����,可以創(chuàng)建散列規(guī)則并將安全級別設為“不允許的”以防止用戶運行某些文件�����。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的散列�����。但是���,對文件的任何篡改都將更改其散列值并允許其繞過限制���。軟件限制策略將只識別那些已用軟件限制策略計算過的散列。1.單擊開始��,單擊運行���,鍵入mmc����,然后單擊確定��。2.打開軟件限制策略���。3.在控制臺樹或詳細信息窗格中�����,右鍵單擊其他規(guī)則�����,然后單擊新建哈希規(guī)則����。4.單擊瀏覽找到文件,或者將預先計算好的哈希值粘貼到文件哈??蛑小?.在安全
7�、級別框中,單擊不允許或無限制����。6.在描述框中���,鍵入對此規(guī)則的說明�����,然后單擊確定����。7.3.3證書規(guī)則安全策略軟件限制策略可以通過其簽名證書來標識文件��。證書規(guī)則不能應用到帶有.exe或.dll擴展名的文件���。它們可以應用到腳本和Windows安裝程序包�。可以創(chuàng)建標識軟件的證書����,然后根據(jù)安全級別的設置,決定是否允許軟件運行����。1.單擊開始,單擊運行��,鍵入mmc�����,然后單擊確定���。2.打開軟件限制策略����。3.在控制臺樹或詳細信
