关于组策略-软件限制策略以及权限的研究.doc

关于软件限制策略以及权限的研究说是研究，其实也就是对相关方面内容的一个汇总，并加入细节方面的实践性分析。首先，我们打开组策略中一个隐藏开关，开启“基本用户”和“受限的”权限类型。具体做法：打开注册表编辑器，展开至HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers新建一个DOWRD，命名为Levels，其值可以为0x10000 /增加受限的0x20000 /增加基本用户0x30000 /增加受限的，基本用户0x31000 /增加受限的，基本用户，不信任的（不信任和不允许差不了多少）建议设成0x30000或0x31000。或者有人抱怨软件限制策略不够灵活，其实打开受限的、基本用户之后，情况就会大大的不同。在建立策略之前，我们先要了解一下软件限制策略的权限类型和规则的优先级。1.权限类型：不受限的 基本用户 受限的 不信任的 不允许的 （以权限的高低排序，与优先级无关）2.绝对路径 通配符相对路径（以优先级高低排序，下同）如 C:Windowsexplorer.exe *Windowsexplorer.exe3.文件规则 目录规则 如若a.exe在Windows目录中，那么 a.exe C:Windows4.环境变量 = 相应的实际路径 = 注册表键值路径如 %ProgramFiles% = C:Program Files = %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%5.若两条规则路径等效，那么两条规则合成的结果是：从严处理，以最低的权限为准。如“C:Windowsexplorer.exe 不受限的” + “C:Windowsexplorer.exe 基本用户”=“C:Windowsexplorer.exe 基本用户”6.权限的继承。这个正是本文的重点。当运行一个程序时，权限分配流程是这样的：首先继承父进程的权限，然后搜索软件限制策略，检查是否有匹配的规则，若有，则按优先级最高的规则的内容与父进程的权限内容进行对比，以最低权限的原则匹配。若无，则仍然继承父进程的权限。若父进程无指定权限，则以当前用户的类型的权限运行。以上内容应该很容易理解吧。举个例：假设你的用户帐户类型是管理员，并建立了这样的两条软件限制策略：1.c:program filesinternet exploreriexplore.exe “基本用户”2.C:Windowscmd.exe “不受限的”那么，我们以explorer.exe运行iexplore.exe，则实际分配给iexplore.exe的权限类型为“基本用户”。如果再以iexplore.exe启动cmd.exe的话，那么根据最低权限原则（“基本用户”低于“不受限的”），cmd.exe的实际权限仍然是“基本用户”再如我们以explorer.exe运行cmd.exe，由cmd执行命令 runas.exe /trustlevel:不受限的 “c:program filesinternet exploreriexplore.exe” 来启动浏览器，那么其权限继承情况为：不受限的 - 不受限的 - 不受限的，也就是说这时IE也具有不受限的权限。实际上runas命令在这里起到临时规则的作用了解好以上内容后，我们就可以开始设置软件限制策略了。规则当然是由自己定制的最好，我在这里仅给出一个参考的方案。推荐的设置：1.首先，浏览器是一定要加入限制的，假设你使用浏览器是IE，那么建立路径规则%Programfiles%internet exploreriexplore.exe “基本用户”这样足以防绝大部分的网马了。如果使用的是其它的浏览器，也为其设置相应的规则2.加入U盘规则，例如 ?:*.* 、?:*“不允许的”采取哪种形式可以自行决定，也可以把第一个 ? 改成你的U盘的实际盘符3.防范危险的双后缀格式的程序启动，建立如下规则*.jpg.exe、*.bmp.exe、*.xls*.exe、*.ppt*.exe、*.rar.exe、*.doc*.exe、*.mdb.exe、*.txt.exe、*.gif.exe、*.htm.exe、*.rm*.exe、*.wm?.exe、*.mp3.exe等等，全部设为“不允许的”其实还可以有很多，这里就不一一列出了。如果想更全面一点的，可以合成一条：*.?.exe然后再加几条，*.?.vbs、*.?.com、*.?.bat、*.?.cmd、*.?.scr、*.?.msi、*.?.chm、*.?.pif。如果再想严格一点的考虑写成：*.?.? ,再疯狂一点的，写成 *.?.* ，不过出了什么问题就不要来找偶了 4.这条规则较严厉，可以先衡量利弊再考虑是否加入。设立规则：%Windir%explorer.exe “基本用户”这条规则其实是很强大的，由于用户的大部分操作都是通过explorer.exe来完成的，因此限制了explorer.exe也就相当于限制了很多由用户运行的程序，例如QQ，甚至你不小心运行了一个病毒，那么这个病毒也是受限的。或者你会问，安装软件或者要运行一些需要高权限的软件（如杀软）时怎么办？有一个YD的方法，那就是通过ATL+CTRL+DEL呼出任务管理器，然后选择“文件”“新建任务”来执行程序，即可解决问题。或者你又会问了，为什么任务管理器就能正常安装或运行软件呢，它不是继承explorer.exe的权限吗？其实，通过ATL+CTRL+DEL呼出任务管理器，其执行关系为：Winlogon.exe - taskmgr.exe也就是说，taskmgr.exe继承的是Winlogon.exe的“不受限的”权限，因此不受规则限制事实上，在把explorer.exe加入“基本用户”类型后，你会发现用一般方法关不了机其实解决方法也是同上，呼出任务管理器，选择关机即可。组策略其实是一个很强大的工具，虽然灵