首先,限制用戶對文件的訪問
如果程序所在磁盤分區的文件系統是NTFS格式,管理員帳戶可以使用NTFS文件系統提供的文件和文件夾安全選項來控制用戶對程序和文件的訪問權限。通常,在系統中安裝應用程序後,本地計算機的所有帳戶都可以訪問和運行該應用程序。如果分配給指定用戶的應用程序或文件夾的訪問權限被取消,該用戶將失去運行該應用程序的能力。
例如,要防止受限用戶運行Outlook Express應用程序,您可以執行下列操作:
(1).使用管理員帳戶登錄系統。如果在當前系統中啟用了簡單文件* * *選項,則需要將其關閉。具體來說,在Windows瀏覽器窗口中,點擊“工具”菜單下的“文件夾選項”,點擊“查看”選項頁面,取消選擇“享受簡單文件* * *”選項,點擊“確定”。
(2)打開Program Files文件夾,選擇Outlook Express文件夾,右鍵單擊並選擇Properties。
(3)點擊“安全”選項頁面,可以看到用戶組中的用戶擁有讀取和運行該文件夾的權限,點擊“高級”。
(4)取消選擇“從父項繼承那些可以應用於子對象的權限項,包括那些重新明確定義的項”選項,在彈出的提示對話框中點擊“復制”。此時,您可以看到用戶的權限已更改為不可繼承。
(5)單擊確定返回到屬性窗口。在“用戶名”或“組名”列表中,選擇“用戶”項目,單擊“刪除”,然後單擊“確定”以完成權限設置。
要取消指定用戶對文件或程序的訪問限制,您需要將指定用戶或組添加到文件或文件夾中,並授予相應的訪問權限。
這種方法允許管理員限制每個用戶訪問和運行指定應用程序的權限。但這需要壹個很重要的前提,就是應用所在的分區格式應該是NTFS,否則壹切都無從談起。
對於FAT/FAT32格式的分區,不能應用文件和文件夾的安全選項。我們可以設置計算機的策略來禁止指定的應用程序運行。
其次,啟用“不運行指定的Windows應用程序”策略。
組策略中有壹個名為“不運行指定的Windows應用程序”的策略。通過啟用此策略並添加相應的應用程序,可以限制用戶運行這些應用程序。設置方法如下:
(1),在Start和Run執行gpedit.msc命令啟動組策略編輯器,或者運行mmc命令啟動控制臺,將組策略管理單元加載到控制臺;
(2)展開本地計算機策略、用戶設置和管理模板,點擊系統,在右窗格中雙擊不運行指定Windows應用程序的策略,選擇啟用選項,點擊顯示。
(3)單擊“添加”,在命令提示符下輸入將不運行的應用程序的名稱,如cmd.exe,然後單擊“確定”。此時,指定的應用程序名稱將被添加到禁止程序列表中。
(4)點擊“確定”返回組策略編輯器,點擊“確定”完成設置。
當用戶試圖運行不允許運行的程序列表中包含的應用程序時,系統會提示警告消息。將不允許運行的應用程序復制到其他目錄和分區仍然不允許運行。要恢復指定受限程序的運行能力,可以將“不運行指定的Windows應用程序”的策略設置為“未配置”或“禁用”,或者將指定的應用程序從永遠不允許運行的列表中刪除(這就要求刪除後列表不會為空)。
此方法僅阻止用戶運行從Windows資源管理器啟動的程序,但不能禁止由系統進程或其他進程啟動的程序運行。這種方式禁止應用程序運行,其用戶對象的範圍是所有用戶,不僅僅是受限用戶,管理員組中的賬戶甚至內置的管理員賬戶都會受到限制,給管理員帶來壹定的不便。當管理員需要執行不允許運行列表中包含的應用程序時,他需要先通過組策略編輯器將該應用程序從不允許運行列表中刪除,然後在程序運行後將該應用程序添加到不允許運行列表中。需要註意的是,不要將組策略編輯器(gpedit.msc)添加到禁止程序列表中,否則組策略會自鎖,任何用戶都無法啟動組策略編輯器並對設置的策略進行更改。
提示:如果不禁止運行命令提示符程序,用戶可以通過cmd命令從命令提示符運行被禁止的程序。例如,將記事本程序(notepad.exe)添加到不運行列表受到限制,但是從命令提示符運行記事本命令可以成功啟動記事本程序。因此,為了完全禁止壹個程序的運行,cmd.exe必須被添加到不允許運行的列表中。
第三,設置軟件限制策略
軟件限制策略是本地安全策略的壹個組成部分。通過設置此策略,管理員可以識別文件和程序,將它們分為可信任和不可信任,並通過給予它們相應的安全級別來控制程序的操作。這種措施對於解決未知代碼和不可信代碼的可控操作問題非常有效。軟件設置策略使用兩種設置來限制程序:安全級別和其他規則。
安全級別可分為“不允許”和“不受限制”。其中,“不允許”會禁止程序運行,不考慮用戶權限;“無限制”允許登錄用戶以其擁有的權限運行程序。
其他規則,即管理員制定規則來標識指定的批次或文件和程序,並賦予其“不允許”或“不受限制”的安全級別。在這壹部分中,管理員可以制定四種類型的規則,根據優先級分別是哈希規則、證書規則、路徑規則和Internet zone規則,這些規則將為文件訪問和程序操作提供最大的授權級別。
軟件限制策略的設置
1,訪問軟件限制策略
作為本地安全策略的壹部分,軟件限制策略也包含在組策略中。這些策略的設置必須以管理員帳戶或管理員組成員的身份登錄到系統中。有兩種方法可以訪問軟件限制策略:
(1).在開始時運行secpol.msc,然後運行以啟動本地安全策略編輯器。在安全設置下,您可以看到軟件限制策略項目。
(2)在開始時運行gpedit.msc,然後運行以啟動組策略編輯器。您可以在計算機設置、Windows設置和安全設置下查看軟件限制策略。
2.創建新的軟件限制策略
第壹次打開軟件限制策略時,該項目為空。策略需要由管理員手動添加。方法是點擊“軟件限制策略”使其選中,然後在編輯器窗口的操作菜單下點擊“新建策略”。此時,您可以看到“軟件限制策略”下添加了“安全級別”和“其他規則”以及三個屬性,如圖2所示。壹旦執行了新的策略操作,就不能再次執行,並且不能刪除該策略。
3.設置默認安全級別
創建新的軟件限制策略後,該策略的默認安全級別是無限制。如果要更改默認安全級別,需要在安全級別中進行設置,如下所示:
(1),打開“安全級別”,在右窗格中,可以看到有兩個設置,其中圖標帶有小勾號的設置為默認設置;
(2)單擊非默認值的設置,右鍵選擇“設為默認值”。當設置“不允許”為默認值時,系統會顯示壹個提示對話框,點擊“確定”。
也可以在這壹步雙擊非默認設置,在彈出的屬性窗口中點擊“設為默認”。
4.設置策略的範圍和對象。
通過策略的“強制”屬性,您可以設置應用策略的軟件文件是否包含庫文件,以及目標是否包含管理員帳戶。壹般來說,為了避免不必要的問題和便於系統的管理,策略的範圍應該設置為所有不包含庫文件的軟件文件,目標應該設置為除本地管理員之外的所有用戶。設置方法如下:
(1),點擊“軟件限制策略”,雙擊右窗格中的“強制”屬性項;
(2)選擇“除庫文件(如Dll文件)以外的所有軟件文件”選項和“除本地管理員以外的所有用戶”選項,點擊“確定”。
5.制定規則
顯然,僅僅通過設置安全級別是無法很好地實現對文件和程序的控制的。需要制定合理的規則來識別那些被禁止或允許運行的文件和程序,進而實現對這些文件和程序的靈活控制。上面提到了四種類型的規則:哈希規則、證書規則、路徑規則和互聯網區域規則。他們通過以下方式識別文件並制定規則:
哈希規則:使用哈希算法計算指定文件的哈希,哈希是唯壹標識文件的壹系列固定長度的字節。哈希規則制定後,當用戶訪問或運行文件時,軟件限制策略會根據文件的哈希和安全級別允許或阻止文件訪問或運行。移動或重命名文件時,文件的哈希將不受影響,並且軟件限制策略對文件仍然有效。配制方法如下:
(1),單擊“軟件限制策略”下的“其他規則”,右鍵單擊“其他規則”,或者右鍵單擊右窗格中的空白區域並選擇“新建哈希規則”。
(2)單擊瀏覽指定要識別的文件或程序,如cmd.exe。確認後,可以在文件哈希中看到計算出來的哈希。在“安全級別”中選擇“不允許”或“不受限制”,然後單擊“確定”以在“其他規則”中查看具有哈希類型的新規則。
證書規則:用與文件或程序相關聯的簽名證書來標識。證書規則要求的證書可以是自簽名的、由證書頒發機構(CA)頒發的或由Windows2000公鑰頒發機構頒發的。證書規則不應該用於EXE文件和DLL文件,而主要用於腳本和Windows安裝包。當文件由其關聯的簽名證書標識時,當文件運行時,軟件限制策略將根據文件的安全級別決定是否可以運行該文件。文件的移動和重命名不會影響證書規則的應用。制定證書規則時,要求能夠訪問用於標識文件的證書文件,證書文件有擴展名。cer。創建方法與哈希規則相同。
路徑規則:文件或程序的路徑用於識別。該規則可以針對指定的文件、用通配符表示的壹類文件,或者某個路徑下的所有文件和子文件夾中的文件。因為標識是由路徑完成的,所以當文件被移動或重命名時,路徑規則將不起作用。在路徑規則中,根據路徑範圍的大小,優先級不同,範圍越大,優先級越低。通常,路徑的優先級從高到低依次為:指定文件、路徑用通配符表示的壹類文件、路徑用通配符表示的壹類文件、上級路徑。創建方法與哈希規則相同。
Internet區域規則:使用應用程序下載的Internet區域進行識別。區域主要包括:互聯網、本地內部網、本地計算機、受限站點和可信站點。該規則主要應用於Windows的安裝包。創建方法與哈希規則相同。
6.維護可執行代碼的文件類型。
無論是哪種規則,它影響的文件類型都只是那些在“分配的文件類型”屬性中列出的文件類型,這些文件類型由所有規則共享。在某些情況下,管理員可能需要刪除或添加某種類型的文件,以便規則可以丟失或對這類文件產生影響,這就需要我們維護“分配的文件類型”屬性。該方法如下:
(1),點擊“軟件限制策略”,雙擊右窗格中的“分配的文件類型”屬性項;
(2)如果添加了新的文件類型,在“文件擴展名”中輸入添加的擴展名,點擊“添加”;如果要刪除文件類型,請單擊列表中的配方類型,然後單擊刪除。
7.利用規則的優先級靈活控制程序的運行。
四個規則的優先級是:哈希規則、證書規則、路徑規則和Internet區域規則。如果多個規則同時作用於同壹個程序,則由具有最高優先級的規則設置的安全級別將決定該程序是否可以運行。如果壹個以上的同類規則作用於同壹個過程,那麽同類規則中限制性最強的規則將起作用。這為我們提供了壹種靈活的方式來控制程序的運行。雖然單個規則的作用是全面的,但也限制了我們需要的那些部分。壹個復合規則的綜合作用會產生“除了我們需要的/不需要的,什麽都不允許/不受限制”這樣的效果,這可能才是我們真正需要的安全級別。
提示:要使軟件限制策略生效,需要註銷並重新登錄系統。如果壹個程序在軟件限制策略中被定義為“不受限制”的規則,並且這個程序包含在“不運行指定的Windows應用程序”策略中不允許運行的程序列表中,那麽這個程序最終將不允許運行。要取消對程序的限制,您需要刪除相關的規則:在“其他規則”中的規則列表中,右鍵單擊要刪除的規則,然後選擇“刪除”。
以上三種限制程序運行的措施各有特點。從限制的實現方法和效果來看,限制用戶對文件的訪問,允許管理員以壹個管理員賬號的身份控制所有用戶的權限,作用範圍可以是所有類型的文件和文件夾,但這種方法受到應用環境的限制。采取基於策略的措施,無論是啟用“不運行指定的Windows應用程序”策略,還是設置軟件限制策略,要限制的用戶對象範圍都是壹個用戶組,不能針對特定用戶設置,要麽是所有用戶,要麽是除管理員組以外的所有用戶。但這些措施對系統環境要求低,可以在XP系統中實現。此外,基於策略的設置可以更靈活地管理計算機。特別地,軟件限制策略允許管理員以各種方式識別程序,這對於程序的運行是高度可控的。