第七章 软件限制安全

第七章软件限制安全本章描述:计算机的环境配置包括硬件配置和软件配置，目前90%以上的用户常见故障是由软件故障引起的，故对用户使用软件的一些限制就尤为重要。本项目主要通过设置软件限制策略来限制应用程序的使用，从而保证系统的安全。7.1软件限制安全标准

本章通过介绍软件限制策略，结合四个限制规则进行了相应的软件限制，相应的标准有：1、会启用软件限制策略。2、会创建针对某一软件的限制策略。7.2软件限制策略概述

在系统安全方面，有人曾说，如果把

HIPS（Host-basedIntrusionPreventionSystem，基于主机的入侵防御系统）用的很好，就可以告别杀毒软件了。其实，在Windows中，如果能将组策略中的“软件限制策略”使用的很好，再结合NTFS权限和注册表权限限制，依然可以很淡定的告别杀毒软件。另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生

CPU占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。7.2.1部署软件限制策略

软件限制策略的功能描述：软件限制策略，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵活。在默认情况下，软件可以运行在“不受限”与“不允许”这两个级别上。建议将软件限制策略应用于下列文件：除

DLL以外的所有软件文件。

将软件限制策略应用于下列用户：除本地管理员以外的所有用户。7.2.2启用限制策略

在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它：●打开组策略编辑器：gpedit.msc●将树目录定位至：计算机配置

->Windows设置

->安全设置

->软件限制策略●在“软件限制策略”上点击右键，点选“创建软件限制策略”创建成功之后，组策略编辑窗口中会显示相关配置条目。7.2.3设置安全级别

在默认情况下，系统默认为我们提供了三个安全级别：“不允许”、“基本用户”以及“不受限”。不允许：不允许软件运行。受限：无论用户的访问权如何，软件都无法访问某些资源，如加密密钥和凭据。比基本用户限制更多，但也享有“跳过遍历检查”的特权。不信任：允许程序访问只对众所周知的组授权的资源，不允许访问管理员特权和个人授予的权利。不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。

7.3配置软件限制策略

使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Internet区域规则，应用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。目前主要用到的是路径规则和散列规则，而路径规则则是这些规则中使用最为灵活的。7.3.1基本软件限制策略

下列表中的文件类型包括：ADEADPBASBATCHMCMDCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBWSC，所以对于正常的非可执行的文件，例如TXTJPGGIF这些是不受影响的，如果你认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者你认为哪些扩展无威胁，也可以将其删除。7.3.2哈希规则安全策略

散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用

SHA-1（安全散列算法）和

MD5散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。1.单击开始，单击运行，键入

mmc，然后单击确定。2.打开软件限制策略。3.在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建哈希规则。4.单击浏览找到文件，或者将预先计算好的哈希值粘贴到文件哈希框中。5.在安全级别框中，单击不允许或无限制。6.在描述框中，键入对此规则的说明，然后单击确定。

7.3.3证书规则安全策略

软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有

.exe或

.dll扩展名的文件。它们可以应用到脚本和

Windows安装程序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。1.单击开始，单击运行，键入

mmc，然后单击确定。2.打开软件限制策略。3.在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建证书规则。4.单击浏览，然后选择证书。5.选择安全级别。6.在描述框中，键入对此规则的说明，然后单击确定。默认情况下不启用证书规则。要启用证书规则：1.单击开始，单击运行，键入regedit，然后单击确定。2.找到并单击以下注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers3.在详细信息窗格中，双击

AuthenticodeEnabled，然后将值数据从

0更改为

1。证书规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。7.3.4路径规则安全策略

路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所以程序发生移动后路径规则将失效。路径规则中可以使用诸如

%programfiles%或

%systemroot%之类环境变量。路径规则也支持通配符，所支持的通配符为*7.3.5网络区域规则安全策略

这种规则可以让我们针对位于不同IE区域的.msi格式的软件安装文件的运行进行限制。要创建区域规则，请在请在“其他规则”节点上单击鼠标右键，选择“新建网络区域规则”，随后可以看到如图7-10所示的对话框。首先，我们可以从“网络区域”下拉菜单中选择不同的网络区域，然后可以从“安全级别”下拉菜单选择希望进行的设置。7.3.6软件限制策略使用建议

一般来说，上述四类规则按照优先级的高低顺序排列，依次是：哈希规则、证书规则、路径规则、网络区域规则，高优先级规则的设置会覆盖低优先级规则的设置。同时，对于同一种规则，“禁止”要优先于“允许”，例如对某个软件，我们无意中使用某种规则（例如哈希规则）同时创建了禁止运行和允许运行这两条规则，那么最终的结果是系统禁止该程序运行。实训:软件限制安全配置实训

实训题目1：启用软件限制策略实训目的:理解什么是软件限制策略,启用隐藏的安全级别设置.实训内容:1、启用软件限制策略2、通过修改注册表实现将隐藏的安全级别显示出来，并进行相应的设置，以增加系统的安全性。实训过程：参照实训内容执行。实训总结:总