软件限制策略的拓展和补遗

8970665

别人发的贴子:我觉得对自己工作有帮助.就发了过来.方便自己收藏查看.希望对大家都有帮助
下面是转的内容:



软件限制策略的拓展和补遗
    《Windows安全策略——系统自带的“软件”防火墙》一文中我已经详细阐述WindowsXP内置的软件限制策略的基本使用方法，这里我再对它进行一些补充和修正。软件限制策略XP和2003通用，以下以XP为例进行说明。
    WindowsXP的软件限制策略默认有两个，如图1所示：


图1
而事实上，微软还隐藏了一个安全级别——基本用户。什么是基本用户呢？它是一种介于系统管理员和受限帐户之间的用户权限，类似于Vista中的标准用户，拥有大部分权限，可以读写注册表的HKEY_CURRENT_USER字段，但却无法修改HKEY_LOCAL_MACHINE字段。微软官方的解释是“允许程序访问一般用户可以访问的资源，但没有管理员或 Power User 的访问权。”
启用这个“基本用户”的方法也很简单，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer\\CodeIdentifiers，新建一个名为Levels的DWORD值，数值为十进制的131072。关闭注册表编辑器，重新打开本地安全设置就能看到新添加的“基本用户”安全级别了，如图2所示：


图2
那么这个“基本用户”有什么作用呢？正如它所拥有的权限是介于管理员与受限用户之间的，我们可以用这个安全级别来加载IE浏览器，以杜绝恶意网站通过IE强行修改系统设置，因为即使此时用户为管理员权限，但IE依然工作在“基本用户”权限下。添加规则的方法还是和以前一样，在其他规则上点击鼠标右键，选择选择“新路径规则”，在打开的窗口中的路径栏里输入“%ProgramFiles%\\Internet Explorer\\iexplore.exe”（不包括引号），然后在安全级别中选择“基本用户”，如图3所示：


图3
点击“确定”保存，打开开始菜单，运行，输入gpupdate /force，按下回车键运行等待策略刷新完毕就可以了，下次不论以何种方式打开IE浏览器它都工作在“基本用户”下，当然上网就安全多了。
用“基本用户”方式启动IE浏览器和使用受限帐户启动IE浏览器的区别就在于受限帐户无法访问收藏夹等用户的个性化设置，而“基本用户”则没有这些限制，是在保证用户使用舒适性的前提下提供一定的安全防护，对于普通家庭用户而言，无疑“基本用户”更有现实意义。如果你使用的是其他的第三方浏览器，也只要如法炮制一一把浏览器的主程序加入软件限制策略即可。

    还有系统的临时文件夹也是病毒和木马的温床，但若是霸道得地直接禁止运行临时文件夹中的程序，将会导致大量的安装程序或者使用自解压方式制作的绿色程序无法正常运行，所以我们可以对临时文件夹及其子文件夹也使用“基本用户”安全等级，这样就可以保证大多数的程序能正常运行，而需要修改系统设置的病毒却无法正常工作。要实现这个目的我们需要添加两条策略：
%USERPROFILE%\\Local Settings\\Temp\\*.*    基本用户
%USERPROFILE%\\Local Settings\\Temp\\**\\*.*  基本用户
为什么会有两条策略？为什么不直接用%Temp%环境变量？这些我们将在下文慢慢揭晓。但要注意的是如果把临时文件夹设为基本用户权限可能会引起一定的软件兼容性问题，大家要权衡利弊后再确定是否添加此规则。

    在《Windows安全策略——系统自带的“软件”防火墙》一文中提到过软件限制策略支持系统环境变量，不过也有例外，那就是他不支持二次链接，也就是像%Temp%这种环境变量。%Temp%的变量地址在系统中是这样定义的：%USERPROFILE%\\Local Settings\\Temp。可以看到这里%USERPROFILE%本身就已经是环境变量，所以若是在软件限制策略中添加了使用%Temp%的策略，这条策略将不会生效，这就是上面不使用%Temp%的缘故。但我们可以直接用%USERPROFILE%\\Local Settings\\Temp来取代%Temp%这个变量，效果是一样的。

    软件限制策略支持通配符，即？和*，分别用来匹配任意单个字符和任意个字符。实际上，软件限制策略还支持**这个通配符，表示任意层的子文件夹，但不包括父目录本身。如上文中的的%USERPROFILE%\\Local Settings\\Temp\\**\\*.*这条规则就使用了**这个通配符，表示Temp目录下任意层的子文件夹，但不包括Temp目录本身，所以我们还需要%USERPROFILE%\\Local Settings\\Temp\\*.*这条命令来限制Temp目录下的程序。

    修改了软件限制策略后，在运行对话框或者命令提示符中运行gpupdate /force命令刷新策略是使策略立即生效的最快方法。但有部分朋友在运行这条命令时发现刷新策略的对话框一闪而过，很快就结束了，而且策略也并没有生效。这时，我们可以通过以下方法解决：打开本地安全设置，切换到软件限制策略的安全级别页，即图1所示界面，在“不允许的”上点击鼠标右键，“设置为默认”，在弹出的警告对话框中点“确定”，然后再如法炮制把默认安全级别改回“不受限的”，这时再运行gpupdate /force就正常了。刷新策略时系统资源占用率会暂时升高，持续时间一般在几秒钟，由策略的多少而定，正常刷新后策略便真正的生效了。

    软件限制策略现在已经可以说已经得到很好的推广了，但令人痛心的是不少病毒木马也盯上这里了，所以我们还需要对软件限制策略加以保护才行。在命令提示符中运行“echo Y|cacls \"%windir%\\system32\\GroupPolicy\\Machine\\Registry.pol\" /C /P everyone:R”（不包括引号）命令对保存软件限制策略的Registry.pol文件设为只读权限，另外还要在注册表中将HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer项的权限也设为只读。这样软件限制策略就安全的多了。不过要注意的是进行了这两个操作后每次开机都会在系统日志里生产两个日志，表示无法访问Registry.pol文件和注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer项，这是因为系统在启动时会默认刷新软件限制策略，所以会出现这两个错误。但并不影响系统的正常运行及软件限制策略的正常工作，所以如果看这些错误日志不爽的朋友还是不要锁定了。

  另外还需要注意的是将IE设为基本用户权限后磁盘使用NTFS文件系统的XD们，用系统自带的下载软件下载时可能会遇到无法将文件保存在某个分区的情况，这个时候只要在那个无法保存的分区图标上右键属性，选安全选项卡，给Everyone用户赋予完全控制权限即可。

8970665

别人发的贴子:我觉得对自己工作有帮助.就发了过来.方便自己收藏查看.希望对大家都有帮助
下面是转的内容:



软件限制策略的拓展和补遗
    《Windows安全策略——系统自带的“软件”防火墙》一文中我已经详细阐述WindowsXP内置的软件限制策略的基本使用方法，这里我再对它进行一些补充和修正。软件限制策略XP和2003通用，以下以XP为例进行说明。
    WindowsXP的软件限制策略默认有两个，如图1所示：


图1
而事实上，微软还隐藏了一个安全级别——基本用户。什么是基本用户呢？它是一种介于系统管理员和受限帐户之间的用户权限，类似于Vista中的标准用户，拥有大部分权限，可以读写注册表的HKEY_CURRENT_USER字段，但却无法修改HKEY_LOCAL_MACHINE字段。微软官方的解释是“允许程序访问一般用户可以访问的资源，但没有管理员或 Power User 的访问权。”
启用这个“基本用户”的方法也很简单，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer\\CodeIdentifiers，新建一个名为Levels的DWORD值，数值为十进制的131072。关闭注册表编辑器，重新打开本地安全设置就能看到新添加的“基本用户”安全级别了，如图2所示：


图2
那么这个“基本用户”有什么作用呢？正如它所拥有的权限是介于管理员与受限用户之间的，我们可以用这个安全级别来加载IE浏览器，以杜绝恶意网站通过IE强行修改系统设置，因为即使此时用户为管理员权限，但IE依然工作在“基本用户”权限下。添加规则的方法还是和以前一样，在其他规则上点击鼠标右键，选择选择“新路径规则”，在打开的窗口中的路径栏里输入“%ProgramFiles%\\Internet Explorer\\iexplore.exe”（不包括引号），然后在安全级别中选择“基本用户”，如图3所示：


图3
点击“确定”保存，打开开始菜单，运行，输入gpupdate /force，按下回车键运行等待策略刷新完毕就可以了，下次不论以何种方式打开IE浏览器它都工作在“基本用户”下，当然上网就安全多了。
用“基本用户”方式启动IE浏览器和使用受限帐户启动IE浏览器的区别就在于受限帐户无法访问收藏夹等用户的个性化设置，而“基本用户”则没有这些限制，是在保证用户使用舒适性的前提下提供一定的安全防护，对于普通家庭用户而言，无疑“基本用户”更有现实意义。如果你使用的是其他的第三方浏览器，也只要如法炮制一一把浏览器的主程序加入软件限制策略即可。

    还有系统的临时文件夹也是病毒和木马的温床，但若是霸道得地直接禁止运行临时文件夹中的程序，将会导致大量的安装程序或者使用自解压方式制作的绿色程序无法正常运行，所以我们可以对临时文件夹及其子文件夹也使用“基本用户”安全等级，这样就可以保证大多数的程序能正常运行，而需要修改系统设置的病毒却无法正常工作。要实现这个目的我们需要添加两条策略：
%USERPROFILE%\\Local Settings\\Temp\\*.*    基本用户
%USERPROFILE%\\Local Settings\\Temp\\**\\*.*  基本用户
为什么会有两条策略？为什么不直接用%Temp%环境变量？这些我们将在下文慢慢揭晓。但要注意的是如果把临时文件夹设为基本用户权限可能会引起一定的软件兼容性问题，大家要权衡利弊后再确定是否添加此规则。

    在《Windows安全策略——系统自带的“软件”防火墙》一文中提到过软件限制策略支持系统环境变量，不过也有例外，那就是他不支持二次链接，也就是像%Temp%这种环境变量。%Temp%的变量地址在系统中是这样定义的：%USERPROFILE%\\Local Settings\\Temp。可以看到这里%USERPROFILE%本身就已经是环境变量，所以若是在软件限制策略中添加了使用%Temp%的策略，这条策略将不会生效，这就是上面不使用%Temp%的缘故。但我们可以直接用%USERPROFILE%\\Local Settings\\Temp来取代%Temp%这个变量，效果是一样的。

    软件限制策略支持通配符，即？和*，分别用来匹配任意单个字符和任意个字符。实际上，软件限制策略还支持**这个通配符，表示任意层的子文件夹，但不包括父目录本身。如上文中的的%USERPROFILE%\\Local Settings\\Temp\\**\\*.*这条规则就使用了**这个通配符，表示Temp目录下任意层的子文件夹，但不包括Temp目录本身，所以我们还需要%USERPROFILE%\\Local Settings\\Temp\\*.*这条命令来限制Temp目录下的程序。

    修改了软件限制策略后，在运行对话框或者命令提示符中运行gpupdate /force命令刷新策略是使策略立即生效的最快方法。但有部分朋友在运行这条命令时发现刷新策略的对话框一闪而过，很快就结束了，而且策略也并没有生效。这时，我们可以通过以下方法解决：打开本地安全设置，切换到软件限制策略的安全级别页，即图1所示界面，在“不允许的”上点击鼠标右键，“设置为默认”，在弹出的警告对话框中点“确定”，然后再如法炮制把默认安全级别改回“不受限的”，这时再运行gpupdate /force就正常了。刷新策略时系统资源占用率会暂时升高，持续时间一般在几秒钟，由策略的多少而定，正常刷新后策略便真正的生效了。

    软件限制策略现在已经可以说已经得到很好的推广了，但令人痛心的是不少病毒木马也盯上这里了，所以我们还需要对软件限制策略加以保护才行。在命令提示符中运行“echo Y|cacls \"%windir%\\system32\\GroupPolicy\\Machine\\Registry.pol\" /C /P everyone:R”（不包括引号）命令对保存软件限制策略的Registry.pol文件设为只读权限，另外还要在注册表中将HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer项的权限也设为只读。这样软件限制策略就安全的多了。不过要注意的是进行了这两个操作后每次开机都会在系统日志里生产两个日志，表示无法访问Registry.pol文件和注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer项，这是因为系统在启动时会默认刷新软件限制策略，所以会出现这两个错误。但并不影响系统的正常运行及软件限制策略的正常工作，所以如果看这些错误日志不爽的朋友还是不要锁定了。

  另外还需要注意的是将IE设为基本用户权限后磁盘使用NTFS文件系统的XD们，用系统自带的下载软件下载时可能会遇到无法将文件保存在某个分区的情况，这个时候只要在那个无法保存的分区图标上右键属性，选安全选项卡，给Everyone用户赋予完全控制权限即可。