摘 要：隨著網(wǎng)絡(luò)、Internet 以及電子郵件在商務(wù)計(jì)算方面的使用日益增多，用戶發(fā)現(xiàn)他們經(jīng)常會(huì)遇到新軟件。用戶必須不斷作出是否該運(yùn)行未知軟件的決定。病毒和特洛伊木馬經(jīng)常故意地偽裝自己以騙得用戶的運(yùn)行。要用戶做出安全的選擇是非常困難的。所以我們可以啟用軟件限制策略來幫助用戶選擇。

一、.軟件限制策略概述

在系統(tǒng)安全方面，有人曾說，如果把 HIPS （Host-based Intrusion Prevention System ，基于主機(jī)的入侵防御系統(tǒng)）用的很好，就可以告別殺毒軟件了。其實(shí)，在Windows中，如果能將組策略中的“軟件限制策略”使用的很好，再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限限制，依然可以很淡定的告別殺毒軟件。另一方面，由于組策略是原生于系統(tǒng)之上的，可能在底層與操作系統(tǒng)無縫結(jié)合，于是不會(huì)產(chǎn)生各種兼容性問題或者產(chǎn)生 CPU 占用過高、內(nèi)存消耗太大等問題。從這一點(diǎn)來看，組策略中的“軟件限制策略”才算是最好的系統(tǒng)管理利器。

二.部署軟件限制策略

軟件限制策略的功能描述：軟件限制策略，目的是通過標(biāo)識(shí)或指定應(yīng)用程序，實(shí)現(xiàn)控制應(yīng)用程序運(yùn)行的功能，使得計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過制定散列規(guī)則、證書規(guī)則、路徑規(guī)則和網(wǎng)絡(luò)區(qū)域規(guī)則，則可使得程序可以在策略中得到標(biāo)識(shí)，其中，路徑規(guī)則在配置和應(yīng)用中顯得更加靈活。將軟件限制策略應(yīng)用于下列用戶： 除本地管理員以外的所有用戶。啟用限制策略在默認(rèn)情況下，組策略中的“軟件限制策略”是處在關(guān)閉狀態(tài)的。通過以下步驟我們來啟用它：

1. 打開組策略編輯器：gpedit.msc

2.將樹目錄定位至：計(jì)算機(jī)配置 -> Windows 設(shè)置 -> 安全設(shè)置 -> 軟件限制策略

3.在“軟件限制策略”上點(diǎn)擊右鍵，點(diǎn)選“創(chuàng)建軟件限制策略”創(chuàng)建成功之后，組策略編輯窗口中會(huì)顯示相關(guān)配置條目。

三.配置軟件限制策略

使用軟件限制策略，通過標(biāo)識(shí)并指定允許哪些應(yīng)用程序運(yùn)行，可以保護(hù)您的計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過哈希規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則，應(yīng)用程序可以在策略中得到標(biāo)識(shí)。默認(rèn)情況下，軟件可以運(yùn)行在兩個(gè)級(jí)別上：“不受限制的”與“不允許的”。目前主要用到的是路徑規(guī)則和散列規(guī)則，而路徑規(guī)則則是這些規(guī)則中使用最為靈活的。

1.哈希規(guī)則

散列是唯一標(biāo)識(shí)程序或文件的一系列定長(zhǎng)字節(jié)。散列按散列算法算出來。軟件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根據(jù)文件的散列對(duì)其進(jìn)行標(biāo)識(shí)。重命名的文件或移動(dòng)到其他文件夾的文件將產(chǎn)生同樣的散列。例如，可以創(chuàng)建散列規(guī)則并將安全級(jí)別設(shè)為“不允許的”以防止用戶運(yùn)行某些文件。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的散列。但是，對(duì)文件的任何篡改都將更改其散列值并允許其繞過限制。軟件限制策略將只識(shí)別那些已用軟件限制策略計(jì)算過的散列。

部署哈希規(guī)則安全策略

1）單擊開始，單擊運(yùn)行，鍵入 mmc，然后單擊確定。

2）打開軟件限制策略。

3）在控制臺(tái)樹或詳細(xì)信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建哈希規(guī)則。4. 單擊瀏覽找到文件，或者將預(yù)先計(jì)算好的哈希值粘貼到文件哈?？蛑?。

4）在安全級(jí)別框中，單擊不允許或無限制。

5）在描述框中，鍵入對(duì)此規(guī)則的說明，然后單擊確定。

2.數(shù)字證書

數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式，數(shù)字證書不是數(shù)字身份證，而是身份認(rèn)證機(jī)構(gòu)蓋在數(shù)字身份證上的一個(gè)章或?。ɑ蛘哒f加在數(shù)字身份證上的一個(gè)簽名）。它是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)，又稱為證書授權(quán)（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識(shí)別對(duì)方的身份。軟件限制策略可以通過其簽名證書來標(biāo)識(shí)文件。證書規(guī)則不能應(yīng)用到帶有 .exe 或 .dll 擴(kuò)展名的文件。它們可以應(yīng)用到腳本和 Windows 安裝程序包?？梢詣?chuàng)建標(biāo)識(shí)軟件的證書，然后根據(jù)安全級(jí)別的設(shè)置，決定是否允許軟件運(yùn)行。

部署證書規(guī)則安全策略

1）單擊開始，單擊運(yùn)行，鍵入 mmc，然后單擊確定。

2）打開軟件限制策略。

3）在控制臺(tái)樹或詳細(xì)信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建證書規(guī)則。

4）單擊瀏覽，然后選擇證書。

5）選擇安全級(jí)別。在描述框中，鍵入對(duì)此規(guī)則的說明，然后單擊確定。

3.網(wǎng)絡(luò)區(qū)域規(guī)則安全策略概論

Internet Explorer 將所有網(wǎng)站分配到以下四個(gè)安全區(qū)域之一：Internet、本地 Intranet、受信任的站點(diǎn)或受限制的站點(diǎn)。網(wǎng)站所分配至的區(qū)域指定了用于該站點(diǎn)的安全設(shè)置。

Internet：默認(rèn)情況下，Internet 區(qū)域的安全設(shè)置級(jí)別適用于所有網(wǎng)站。該區(qū)域的安全級(jí)別設(shè)置為“中高”（但可將其更改為“中”或“高”）。僅未使用安全設(shè)置的網(wǎng)站是位于本地 Intranet 區(qū)域的站點(diǎn)，或者是已明確進(jìn)入受信任的或受限的站點(diǎn)區(qū)域的站點(diǎn)。

本地 Intranet：本地 Intranet 區(qū)域的安全設(shè)置級(jí)別適用于存儲(chǔ)在企業(yè)或商務(wù)網(wǎng)絡(luò)的網(wǎng)站和內(nèi)容。本地 Intranet 區(qū)域的安全級(jí)別設(shè)置為“中”（但可將其更改為任何級(jí)別）。

受信任的站點(diǎn)：受信任的站點(diǎn)的安全設(shè)置級(jí)別適用于已明確指定信任其不會(huì)損壞計(jì)算機(jī)或信息的站點(diǎn)。受信任的站點(diǎn)的安全級(jí)別設(shè)置為“中”（但可將其更改為任何級(jí)別）。

受限制的站點(diǎn)：受限制的站點(diǎn)的安全設(shè)置級(jí)別適用于可能損壞計(jì)算機(jī)或信息的站點(diǎn)。將站點(diǎn)添加到受限制的區(qū)域不會(huì)阻止這些站點(diǎn)，但可用阻止站點(diǎn)使用腳本或任何活動(dòng)內(nèi)容。受限制的站點(diǎn)的安全級(jí)別設(shè)置為“高”并且無法更改。

四、總結(jié)

通常來說，不同的情況需要選擇不同的規(guī)則。四類規(guī)則按照優(yōu)先級(jí)的高低順序排列，依次是：哈希規(guī)則、證書規(guī)則、路徑規(guī)則、網(wǎng)絡(luò)區(qū)域規(guī)則，高優(yōu)先級(jí)規(guī)則的設(shè)置會(huì)覆蓋低優(yōu)先級(jí)規(guī)則的設(shè)置。對(duì)于同一種規(guī)則，“禁止”要優(yōu)先于“允許”，例如對(duì)某個(gè)軟件，我們無意中使用某種規(guī)則（例如哈希規(guī)則）同時(shí)創(chuàng)建了禁止運(yùn)行和允許運(yùn)行這兩條規(guī)則，那么最終的結(jié)果是系統(tǒng)禁止該程序運(yùn)行。

作者簡(jiǎn)介：

張志浩 淄博職業(yè)學(xué)院信息工程系教師 職稱講師。endprint