摘 要:隨著網(wǎng)絡(luò)、Internet 以及電子郵件在商務(wù)計(jì)算方面的使用日益增多,用戶發(fā)現(xiàn)他們經(jīng)常會(huì)遇到新軟件。用戶必須不斷作出是否該運(yùn)行未知軟件的決定。病毒和特洛伊木馬經(jīng)常故意地偽裝自己以騙得用戶的運(yùn)行。要用戶做出安全的選擇是非常困難的。所以我們可以啟用軟件限制策略來(lái)幫助用戶選擇。
一、.軟件限制策略概述
在系統(tǒng)安全方面,有人曾說(shuō),如果把 HIPS (Host-based Intrusion Prevention System ,基于主機(jī)的入侵防御系統(tǒng))用的很好,就可以告別殺毒軟件了。其實(shí),在Windows中,如果能將組策略中的“軟件限制策略”使用的很好,再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限限制,依然可以很淡定的告別殺毒軟件。另一方面,由于組策略是原生于系統(tǒng)之上的,可能在底層與操作系統(tǒng)無(wú)縫結(jié)合,于是不會(huì)產(chǎn)生各種兼容性問(wèn)題或者產(chǎn)生 CPU 占用過(guò)高、內(nèi)存消耗太大等問(wèn)題。從這一點(diǎn)來(lái)看,組策略中的“軟件限制策略”才算是最好的系統(tǒng)管理利器。
二.部署軟件限制策略
軟件限制策略的功能描述:軟件限制策略,目的是通過(guò)標(biāo)識(shí)或指定應(yīng)用程序,實(shí)現(xiàn)控制應(yīng)用程序運(yùn)行的功能,使得計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過(guò)制定散列規(guī)則、證書(shū)規(guī)則、路徑規(guī)則和網(wǎng)絡(luò)區(qū)域規(guī)則,則可使得程序可以在策略中得到標(biāo)識(shí),其中,路徑規(guī)則在配置和應(yīng)用中顯得更加靈活。將軟件限制策略應(yīng)用于下列用戶: 除本地管理員以外的所有用戶。啟用限制策略在默認(rèn)情況下,組策略中的“軟件限制策略”是處在關(guān)閉狀態(tài)的。通過(guò)以下步驟我們來(lái)啟用它:
1. 打開(kāi)組策略編輯器:gpedit.msc
2.將樹(shù)目錄定位至:計(jì)算機(jī)配置 -> Windows 設(shè)置 -> 安全設(shè)置 -> 軟件限制策略
3.在“軟件限制策略”上點(diǎn)擊右鍵,點(diǎn)選“創(chuàng)建軟件限制策略”創(chuàng)建成功之后,組策略編輯窗口中會(huì)顯示相關(guān)配置條目。
三.配置軟件限制策略
使用軟件限制策略,通過(guò)標(biāo)識(shí)并指定允許哪些應(yīng)用程序運(yùn)行,可以保護(hù)您的計(jì)算機(jī)環(huán)境免受不可信任的代碼的侵?jǐn)_。通過(guò)哈希規(guī)則、證書(shū)規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則,應(yīng)用程序可以在策略中得到標(biāo)識(shí)。默認(rèn)情況下,軟件可以運(yùn)行在兩個(gè)級(jí)別上:“不受限制的”與“不允許的”。目前主要用到的是路徑規(guī)則和散列規(guī)則,而路徑規(guī)則則是這些規(guī)則中使用最為靈活的。
1.哈希規(guī)則
散列是唯一標(biāo)識(shí)程序或文件的一系列定長(zhǎng)字節(jié)。散列按散列算法算出來(lái)。軟件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根據(jù)文件的散列對(duì)其進(jìn)行標(biāo)識(shí)。重命名的文件或移動(dòng)到其他文件夾的文件將產(chǎn)生同樣的散列。例如,可以創(chuàng)建散列規(guī)則并將安全級(jí)別設(shè)為“不允許的”以防止用戶運(yùn)行某些文件。文件可以被重命名或移到其他位置并且仍然產(chǎn)生相同的散列。但是,對(duì)文件的任何篡改都將更改其散列值并允許其繞過(guò)限制。軟件限制策略將只識(shí)別那些已用軟件限制策略計(jì)算過(guò)的散列。
部署哈希規(guī)則安全策略
1)單擊開(kāi)始,單擊運(yùn)行,鍵入 mmc,然后單擊確定。
2)打開(kāi)軟件限制策略。
3)在控制臺(tái)樹(shù)或詳細(xì)信息窗格中,右鍵單擊其他規(guī)則,然后單擊新建哈希規(guī)則。4. 單擊瀏覽找到文件,或者將預(yù)先計(jì)算好的哈希值粘貼到文件哈??蛑?。
4)在安全級(jí)別框中,單擊不允許或無(wú)限制。
5)在描述框中,鍵入對(duì)此規(guī)則的說(shuō)明,然后單擊確定。
2.數(shù)字證書(shū)
數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字,提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式,數(shù)字證書(shū)不是數(shù)字身份證,而是身份認(rèn)證機(jī)構(gòu)蓋在數(shù)字身份證上的一個(gè)章或?。ɑ蛘哒f(shuō)加在數(shù)字身份證上的一個(gè)簽名)。它是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu),又稱(chēng)為證書(shū)授權(quán)(Certificate Authority)中心發(fā)行的,人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。軟件限制策略可以通過(guò)其簽名證書(shū)來(lái)標(biāo)識(shí)文件。證書(shū)規(guī)則不能應(yīng)用到帶有 .exe 或 .dll 擴(kuò)展名的文件。它們可以應(yīng)用到腳本和 Windows 安裝程序包??梢詣?chuàng)建標(biāo)識(shí)軟件的證書(shū),然后根據(jù)安全級(jí)別的設(shè)置,決定是否允許軟件運(yùn)行。
部署證書(shū)規(guī)則安全策略
1)單擊開(kāi)始,單擊運(yùn)行,鍵入 mmc,然后單擊確定。
2)打開(kāi)軟件限制策略。
3)在控制臺(tái)樹(shù)或詳細(xì)信息窗格中,右鍵單擊其他規(guī)則,然后單擊新建證書(shū)規(guī)則。
4)單擊瀏覽,然后選擇證書(shū)。
5)選擇安全級(jí)別。在描述框中,鍵入對(duì)此規(guī)則的說(shuō)明,然后單擊確定。
3.網(wǎng)絡(luò)區(qū)域規(guī)則安全策略概論
Internet Explorer 將所有網(wǎng)站分配到以下四個(gè)安全區(qū)域之一:Internet、本地 Intranet、受信任的站點(diǎn)或受限制的站點(diǎn)。網(wǎng)站所分配至的區(qū)域指定了用于該站點(diǎn)的安全設(shè)置。
Internet:默認(rèn)情況下,Internet 區(qū)域的安全設(shè)置級(jí)別適用于所有網(wǎng)站。該區(qū)域的安全級(jí)別設(shè)置為“中高”(但可將其更改為“中”或“高”)。僅未使用安全設(shè)置的網(wǎng)站是位于本地 Intranet 區(qū)域的站點(diǎn),或者是已明確進(jìn)入受信任的或受限的站點(diǎn)區(qū)域的站點(diǎn)。
本地 Intranet:本地 Intranet 區(qū)域的安全設(shè)置級(jí)別適用于存儲(chǔ)在企業(yè)或商務(wù)網(wǎng)絡(luò)的網(wǎng)站和內(nèi)容。本地 Intranet 區(qū)域的安全級(jí)別設(shè)置為“中”(但可將其更改為任何級(jí)別)。
受信任的站點(diǎn):受信任的站點(diǎn)的安全設(shè)置級(jí)別適用于已明確指定信任其不會(huì)損壞計(jì)算機(jī)或信息的站點(diǎn)。受信任的站點(diǎn)的安全級(jí)別設(shè)置為“中”(但可將其更改為任何級(jí)別)。
受限制的站點(diǎn):受限制的站點(diǎn)的安全設(shè)置級(jí)別適用于可能損壞計(jì)算機(jī)或信息的站點(diǎn)。將站點(diǎn)添加到受限制的區(qū)域不會(huì)阻止這些站點(diǎn),但可用阻止站點(diǎn)使用腳本或任何活動(dòng)內(nèi)容。受限制的站點(diǎn)的安全級(jí)別設(shè)置為“高”并且無(wú)法更改。
四、總結(jié)
通常來(lái)說(shuō),不同的情況需要選擇不同的規(guī)則。四類(lèi)規(guī)則按照優(yōu)先級(jí)的高低順序排列,依次是:哈希規(guī)則、證書(shū)規(guī)則、路徑規(guī)則、網(wǎng)絡(luò)區(qū)域規(guī)則,高優(yōu)先級(jí)規(guī)則的設(shè)置會(huì)覆蓋低優(yōu)先級(jí)規(guī)則的設(shè)置。對(duì)于同一種規(guī)則,“禁止”要優(yōu)先于“允許”,例如對(duì)某個(gè)軟件,我們無(wú)意中使用某種規(guī)則(例如哈希規(guī)則)同時(shí)創(chuàng)建了禁止運(yùn)行和允許運(yùn)行這兩條規(guī)則,那么最終的結(jié)果是系統(tǒng)禁止該程序運(yùn)行。
作者簡(jiǎn)介:
張志浩 淄博職業(yè)學(xué)院信息工程系教師 職稱(chēng)講師。endprint