本文将接着上篇文章组策略管理——软件限制策略(2)继续讲解软件限制策略。
规则的权限分配及继承
操作系统对软件运行进行层次划分时,存在 子进程、父进程 的概念,若 B 程序是由 A 程序启动运行的,则称 A 为 B 的父进程,B 为 A 的子进程。在没有软件限制策略的情况下,如果程序 B 是由程序 A 启动,A 与 B 都在正常未受限的环境下工作。但是如果对 A 或者 B 设置了软件限制策略,就存在权限继承和分配的问题。
在 Windows 组策略管理——软件限制策略中,对于程序权限的继承与分配,遵循的是最低权限原则。例如:在软件限制策略中,把 A 设为“基本用户”,对 B 不做任何限制(或设置为“不受限”),再由程序 A 启动程序 B,那么 B 将权限继承 A 的限制策略,运行于“基本用户”策略之下。
继承时的两种典型情况 A(基本用户)run--> B(不受限) => B(基本用户) 解释: A 为“基本用户”,B 不做限制或“不受限”且继由 A 运行启动,B 继承 A 的权限策略,运行于“基本用户”策略之下。 A(不受限)run--> B(基本用户) => B(基本用户) 解释: B 为“基本用户”,A 不做限制或“不受限”,那么 A 启动 B 后,B 依然保持为“基本用户”权限。 |
由上面两种情况可以看到,一个程序所能获得的最终权限取决于其 父进程权限 和 规则限定的权限 的最低等级,也就是我们所说的最低权限原则。
实例
若我们将 IE 的软件限制策略设置为“基本用户”等级,当运行 IE 之后,所有由 IE 执行的程序的权限都将不高于 其父进程 IE 所在的“基本用户”级别,换句话说,由 IE 执行的程序所处的限制等级只可能更低。因此,使用这种限制手法,就可以很好的达到防范网页挂马等恶意代码的效果——即使 IE 下载木马或病毒并执行了,病毒由于权限的限制,无法对系统进行有害的操作,这样,病毒就丧失了行动能力,不会对系统构成危害,包括添加恶意启动项等操作, 此时,杀毒软件等即可对其进行轻松查杀。
受信任的发布者
可以使用“受信任的发布者”对话框来配置哪些用户可以选择和管理受信任的发布者。还可以确定在信任发布者之前执行哪些证书吊销检查(如果存在)。当 启用证书规则后,软件限制策略将检查证书吊销列表 CRL,以确保软件的证书和签名有效。不过,这同时也会因为签名程序的启动而造成系统性能的下降。
配置“受信任的发布者”属性
受信任发布者管理:
企业管理员 | 用于只允许企业管理员进行有关签名活动内容的决策 |
本地计算机管理员 | 用于允许本地计算机管理员进行有关签名活动内容的所有决策 |
最终用户 | 用于允许用户进行有关签名活动内容的决策 |
签名验证检查:
发布者 | 用于确保软件发布者使用的证书未被吊销 |
时间戳 | 用于确保组织用于对活动内容加时间戳的证书未被吊销 |
软件限制策略的作用范围
在组策略设置条目“强制”中,可以根据需要进一步确定软件限制策略的作用范围。
在该组策略条目中,可以设置软件限制策略是否作用于管理员账户,是否应用到所有软件文件以及是否强制要求证书规则。
强制 属性