隨著網(wǎng)絡(luò)、Internet 以及電子郵件在商務(wù)計算方面的使用日益增多，用戶發(fā)現(xiàn)他們經(jīng)常會遇到新軟件。用戶必須不斷作出是否該運行未知軟件的決定。病毒和特洛伊木馬經(jīng)常故意地偽裝自己以騙得用戶的運行。要用戶做出安全的選擇來確定應(yīng)運行的程序是非常困難的,這時候就需要用到軟件限制策略,今天就為大家講解windows中這一神奇的功效吧.

　　1、概述

　　使用 軟件限制策略，通過標(biāo)識并指定允許哪些應(yīng)用程序運行，可以保護(hù)您的計算機環(huán)境免受不可信任的代碼的侵?jǐn)_。通過散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet 區(qū)域規(guī)則，就用程序可以在策略中得到標(biāo)識。默認(rèn)情況下，軟件可以運行在兩個級別上：“不受限制的”與“不允許的”。在本文中我們主要用到的是路徑規(guī)則和散列規(guī)則，而路徑規(guī)則呢則是這些規(guī)則中使用最為靈活的，所以后文中如果沒有特別說明，所有規(guī)則指的都是路徑規(guī)則。

　　2、附加規(guī)則和安全級別

　　附加規(guī)則

　　在使用 軟件限制策略 時，使用以下規(guī)則來對軟件進(jìn)行標(biāo)識：

　　證書規(guī)則

　　軟件限制策略可以通過其簽名證書來標(biāo)識文件。證書規(guī)則不能應(yīng)用到帶有 .exe 或 .dll 擴展名的文件。它們可以應(yīng)用到腳本和Windows 安裝程序包。可以創(chuàng)建標(biāo)識軟件的證書，然后根據(jù)安全級別的設(shè)置，決定是否允許軟件運行。

　　路徑規(guī)則

　　路徑規(guī)則通過程序的文件路徑對其進(jìn)行標(biāo)識。由于此規(guī)則按路徑指定，所以程序發(fā)生移動后路徑規(guī)則將失效。路徑規(guī)則中可以使用諸如 %programfiles% 或 %systemroot% 之類環(huán)境變量。路徑規(guī)則也支持通配符，所支持的通配符為 * 和 ?。

　　散列規(guī)則

　　散列是唯一標(biāo)識程序或文件的一系列定長字節(jié)。散列按散列算法算出來。軟件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根據(jù)文件的散列對其進(jìn)行標(biāo)識。重命名的文件或移動到其他文件夾的文件將產(chǎn)生同樣的散列。

　　例如，可以創(chuàng)建散列規(guī)則并將安全級別設(shè)為“不允許的”以防止用戶運行某些文件。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的散列。但是，對文件的任何篡改都將更改其散列值并允許其繞過限制。軟件限制策略將只識別那些已用軟件限制策略計算過的散列。

　　Internet區(qū)域規(guī)則

　　區(qū)域規(guī)則只適用于 Windows 安裝程序包。區(qū)域規(guī)則可以標(biāo)識那些來自 Internet Explorer 指定區(qū)域的軟件。這些區(qū)域是 Internet、本地計算機、本地 Intranet、受限站點和可信站點。

　　以上規(guī)則所影響的文件類型只有“指派的文件類型”中列出的那些類型。系統(tǒng)存在一個由所有規(guī)則共享的指定文件類型的列表。默認(rèn)情況下列表中的文件類型包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以對于正常的非可執(zhí)行的文件，例如TXT JPG GIF這些是不受影響的，如果你認(rèn)為還有哪些擴展的文件有威脅，也可以將其擴展加入這里，或者你認(rèn)為哪些擴展無威脅，也可以將其刪除。

　　安全級別

　　對于軟件限制策略，默認(rèn)情況下，系統(tǒng)為我們提供了兩個安全級別：“不受限的”和“不允許的”

　　注：

　　“不允許的”級別不包含任何文件保護(hù)操作。你可以對一個設(shè)定成“不允許的”文件進(jìn)行讀取、復(fù)制、粘貼、修改、刪除等操作，組策略不會阻止，前提當(dāng)然是你的用戶級別擁有修改該文件的權(quán)限“不受限的”級別不等于完全不受限制，只是不受軟件限制策略的附加限制。事實上，“不受限的”程序在啟動時，系統(tǒng)將賦予該程序的父進(jìn)程的權(quán)限，該程序所獲得的訪問令牌決定于其父進(jìn)程，所以任何程序的權(quán)限將不會超過它的父進(jìn)程。

　　但實際上，還有三個級別在默認(rèn)情況是隱藏掉的，我們可以通過手動修改注冊表來開啟其它的三個級別，打開注冊表編輯器，展開至：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

　　Safer\CodeIdentifiers

　　新建一個DOWRD，命名為Levels，其值為 0x4131000(十六十制的4131000)

　　創(chuàng)建完畢后重新打開gpedit.msc，我們會看到另外三個級別此時已經(jīng)開啟了。

　　不受限的

　　最高權(quán)限，但其也并不是完全的不受限，而是“軟件訪問權(quán)由用戶的訪問權(quán)來決定”，即繼承父進(jìn)程的權(quán)限。

　　基本用戶

　　基本用戶僅享有“跳過遍歷檢查”的特權(quán)，并拒絕享有管理員的權(quán)限。

　　受限的

　　比基本用戶限制更多，但也享有“跳過遍歷檢查”的特權(quán)。

　　不信任的

　　不允許對系統(tǒng)資源、用戶資源進(jìn)行訪問，直接的結(jié)果就是程序?qū)�無法運行。

　　不允許的

　　無條件地阻止程序執(zhí)行或文件被打開

　　根據(jù)權(quán)限大小可以排序為：不受限的>基本用戶>受限的>不信任的>不允許的