组策略管理——软件限制策略(3) 

标签:
原创作品,允许转载,转载时请务必以超链接形式标明文章 、作者信息和本声明。否则将追究法律责任。

本文将接着上篇文章继续讲解软件限制策略。

规则的权限分配及继承

操作系统对软件运行进行层次划分时,存在 子进程、父进程 的概念,若 B 程序是由 A 程序启动运行的,则称 A 为 B 的父进程,B 为 A 的子进程。在没有软件限制策略的情况下,如果程序 B 是由程序 A 启动,A 与 B 都在正常未受限的环境下工作。但是如果对 A 或者 B 设置了软件限制策略,就存在权限继承和分配的问题。

在 Windows 组策略管理——软件限制策略中,对于程序权限的继承与分配,遵循的是最低权限原则。例如:在软件限制策略中,把 A 设为“基本用户”,对 B 不做任何限制(或设置为“不受限”),再由程序 A 启动程序  B,那么 B 将权限继承 A 的限制策略,运行于“基本用户”策略之下。

 

继承时的两种典型情况

A(基本用户)run--> B(不受限) => B(基本用户)

解释:

A 为“基本用户”,B 不做限制或“不受限”且继由 A 运行启动,B 继承 A 的权限策略,运行于“基本用户”策略之下。

A(不受限)run--> B(基本用户) => B(基本用户)

解释:

B 为“基本用户”,A 不做限制或“不受限”,那么 A 启动 B 后,B 依然保持为“基本用户”权限。

 

由上面两种情况可以看到,一个程序所能获得的最终权限取决于其 父进程权限规则限定的权限 的最低等级,也就是我们所说的最低权限原则

实例

若我们将 IE 的软件限制策略设置为“基本用户”等级,当运行 IE 之后,所有由 IE 执行的程序的权限都将不高于 其父进程 IE 所在的“基本用户”级别,换句话说,由 IE 执行的程序所处的限制等级只可能更低。因此,使用这种限制手法,就可以很好的达到防范网页挂马等恶意代码的效果——即使 IE 下载***或病毒并执行了,病毒由于权限的限制,无法对系统进行有害的操作,这样,病毒就丧失了行动能力,不会对系统构成危害,包括添加恶意启动项等操作, 此时,杀毒软件等即可对其进行轻松查杀。

受信任的发布者

可以使用“受信任的发布者”对话框来配置哪些用户可以选择和管理受信任的发布者。还可以确定在信任发布者之前执行哪些证书吊销检查(如果存在)。当 启用证书规则后,软件限制策略将检查证书吊销列表 CRL,以确保软件的证书和签名有效。不过,这同时也会因为签名程序的启动而造成系统性能的下降。

配置“受信任的发布者”属性

受信任发布者管理:

企业管理员 用于只允许企业管理员进行有关签名活动内容的决策
本地计算机管理员 用于允许本地计算机管理员进行有关签名活动内容的所有决策
最终用户 用于允许用户进行有关签名活动内容的决策

签名验证检查:

发布者 用于确保软件发布者使用的证书未被吊销
时间戳 用于确保组织用于对活动内容加时间戳的证书未被吊销
软件限制策略的作用范围

在组策略设置条目“强制”中,可以根据需要进一步确定软件限制策略的作用范围。

在该组策略条目中,可以设置软件限制策略是否作用于管理员账户,是否应用到所有软件文件以及是否强制要求证书规则。

强制 属性