本文將接著上篇文章組策略管理——軟體限制策略(2)繼續講解軟體限制策略。
規則的許可權分配及繼承
作業系統對軟體執行進行層次劃分時,存在 子程序、父程序 的概念,若 b 程式是由 a 程式啟動執行的,則稱 a 為 b 的父程序,b 為 a 的子程序。在沒有軟體限制策略的情況下,如果程式 b 是由程式 a 啟動,a 與 b 都在正常未受限的環境下工作。但是如果對 a 或者 b 設定了軟體限制策略,就存在許可權繼承和分配的問題。
在 windows 組策略管理——軟體限制策略中,對於程式許可權的繼承與分配,遵循的是最低許可權原則。例如:在軟體限制策略中,把 a 設為「基本使用者」,對 b 不做任何限制(或設定為「不受限」),再由程式 a 啟動程式 b,那麼 b 將許可權繼承 a 的限制策略,執行於「基本使用者」策略之下。
繼承時的兩種典型情況
a(基本使用者)run-->b(不受限) =>b(基本使用者)
解釋:a 為「基本使用者」,b 不做限制或「不受限」且繼由 a 執行啟動,b 繼承 a 的許可權策略,執行於「基本使用者」策略之下。
a(不受限)run-->b(基本使用者) =>b(基本使用者)
解釋:b 為「基本使用者」,a 不做限制或「不受限」,那麼 a 啟動 b 後,b 依然保持為「基本使用者」許可權。
由上面兩種情況可以看到,乙個程式所能獲得的最終許可權取決於其父程序許可權和規則限定的許可權的最低等級,也就是我們所說的最低許可權原則。
例項受信任的發布者
可以使用「受信任的發布者」對話方塊來配置哪些使用者可以選擇和管理受信任的發布者。還可以確定在信任發布者之前執行哪些證書吊銷檢查(如果存在)。當啟用證書規則後,軟體限制策略將檢查證書吊銷列表 crl,以確保軟體的證書和簽名有效。不過,這同時也會因為簽名程式的啟動而造成系統效能的下降。
配置「受信任的發布者」屬性
受信任發布者管理:
企業管理員
用於只允許企業管理員進行有關簽名活動內容的決策
本地計算機管理員
用於允許本地計算機管理員進行有關簽名活動內容的所有決策
終端使用者
用於允許使用者進行有關簽名活動內容的決策
簽名驗證檢查:
發布者用於確保軟體發布者使用的證書未被吊銷
時間戳用於確保組織用於對活動內容加時間戳的證書未被吊銷
軟體限制策略的作用範圍
在組策略設定條目「強制」中,可以根據需要進一步確定軟體限制策略的作用範圍。
在該組策略條目中,可以設定軟體限制策略是否作用於管理員賬戶,是否應用到所有軟體檔案以及是否強制要求證書規則。
強制 屬性
組策略管理 軟體限制策略(5)
防範移動儲存裝置攜毒 將系統中可分配給移動裝置的碟符通通進行限制,例如 g h i j 等。使用規則 autorun.inf 不允許的 注 使用時請將問號替換為相應的移動裝置碟符 根據需要,限制為 受限 不允許 不信任 即可。其中,不允許 的安全度更高一些,並且不會對移動儲存裝置的正常操作有什麼影響...
組策略中的軟體限制策略
軟體限制策略可以控制某個路路下的可執行檔案 包括指令碼 是否可以執行。相關的配置檔案 gpedit.msc在啟動和關閉的時候會讀取以下檔案 c windows system32 grouppolicy machine registry.pol 該檔案中儲存且只儲存軟體限制策略的配置內容。這個檔案基本...
利用組策略部署軟體
步驟過程 預備 msi mst zap檔案 利用工具箱下的轉換工具wininstall le將install.exe setup.exel轉換為.zap檔案 不可自動修復,只能重灌 布置 發布 指派 設定組策略,啟動 登入 啟用 維護 公升級 重新布置 刪除 啟動 登入時自動刪除 步驟 準備好win...