在组策略管理——软件限制策略(1)中我们简单的对“软件限制策略”有了初步的了解,本文将继续上文对该应用做进一步的介绍。
软件限制策略采取的规则
在组策略“软件限制策略”条目下,除了“安全级别”,还有一项目录称作“其他规则”。在对软件进行限制时,就需要使用“规则”来对软件进行标识。
右键单击“其他规则”,用户可根据不同的需要创建不同种类规则,分别有:证书规则、哈希规则、网络区域规则以及路径规则。
证书规则 软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。 路径规则 路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以程序发生移动后路径规则将失效。路径规则中可以使用诸如 %programfiles% 或 %systemroot% 之类环境变量。路径规则也支持通配符,所支持的通配符为 * 和 ?。相对其他规则而言,此规则设置更为灵活方便。 哈希规则 哈希值是通过散列算法生成的唯一标识程序或文件的一系列定长字节。需要特别注意的是,对文件进行的任何篡改都将更改其哈希值并允许其绕过限制。但是重命名或者移动操作不会对哈希值产生影响。 网络区域规则 该规则主要用于使用Windows Installer技术安装的软件,因为通过该规则,我们可以对来自不同Internet区域的软件的安装程序采取不同的限制措施。 |
软件限制策略规则的优先级
对同一个软件可以应用几个软件限制策略规则。这些规则将以下列优先权顺序应用(从高到低):
哈希规则 > 证书规则 > 路径规则 > 网络区域规则 |
例如,如果某个软件程序所驻留的文件夹被指派了具有“不允许的”安全级别的路径规则,则在为该程序创建了具有“不受限的”安全级别的哈希规则后,该程序将能运行。哈希规则比任何路径规则优先级都要高。
如果对同一对象应用了两个路径规则,则两者中更为具体的规则将具有优先权。例如,如果 C:\Windows\ 有一个具有“不允许的”安全级别的路径规则,而 C:\Windows\System32\ 有另一个具有“不受限的”安全级别的路径规则,则更为具体的路径规则将获得优先权。因此,C:\Windows\ 中的软件程序无法运行,而C:\Windows\System32\ 中的程序将运行。
如果对软件应用了两个仅在安全级别方面不同的规则,按最受限制的规则为准。例如,如果有两个哈希规则,一个具有“不允许的”的安全级别,一个具有“不受限的”的安全级别,当它们应用于同一软件程序时,具有“不允许的”安全级别的规则将获得优先权,因此该程序将不运行。
另外,对于路径规则,总的原则就是:规则越匹配越优先。
例如:
绝对路径 C:\Windows\System32\Taskmgr.exe > 通配符全路径 *:\Windows\*\Taskmgr.exe > 文件名规则 Taskmgr.exe = 通配符文件名规则 *.* > 部分绝对路径 C:\Windows\system32 = 部分通配符路径 C:\*\system32 > C:\Windows = *\* |
在路径规则中,即有如下特征:
绝对路径 > 通配符路径 文件名规则 > 目录规则 环境变量 = 相应的实际路径 = 注册表键值路径 |
对于同是目录规则,则能匹配的目录级数越多的规则越优先;对于同是文件名规则,优先级均相同。
指定文件类型
在组策略中对软件的限制,其作用范围仅限于已被指定的文件类型。在“软件限制策略”根目录树下可以看到“指定的文件类型”策略条目。该条目允许我们自定义软件限制策略的作用范围。
默认情况下列表中的文件类型包括:
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC
因此,对于正常的非可执行的文件,例如 TXT JPG GIF 这些是不受影响的,如果用户认为还有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者是认为哪些扩展无威胁,也可以将其删除。
本系列未完,欢迎持续关注!