對於Windows的組策略,也許大家使用的更多的只是“管理模板”裡的各項功能。對於“軟件限制策略”相信用過的朋友們不是很多。
軟件限制策略如果用的好的話,相信可以和某些HIPS類軟件相類比了。如果再結合NTFS權限和注冊表權限,完全可以實現系統的全方位的安全配置,同時由於這是系統內置的功能,與系統無縫結合,不會占用額外的CPU及內存資源,更不會有不兼容的現象,由於其位於系統的最底層,其攔截能力也是其它軟件所無法比擬的,不足之處則是其設置不夠靈活和智能,不會詢問用戶。下面我們就來全面的了解一下軟件限制策略。
本系列文章將從以下幾方面為重點來進行講解:
·概述
·附加規則和安全級別
·軟件限制策略的優先權
·規則的權限分配及繼承
·如何編寫規則
·示例規則
今天我們介紹Windows的組策略中軟件限制規則的權限分配及繼承。
這裡的講解的一個前提是:假設你的用戶類型是管理員。
在沒有軟件限制策略的情況下,如果程序a啟動程序b,那麼a是b的父進程,b繼承a的權限。
現在把a設為基本用戶,b不做限制(把b設為不受限或者不對b設置規則效果是一樣的)然後由a啟動b,那麼b的權限繼承於a,也是基本用戶,即:
a(基本用戶)-> b(不受限的) = b(基本用戶)
若把b設為基本用戶,a不做限制,那麼a啟動b後,b仍然為基本用戶權限,即
a(不受限的)-> b(基本用戶) = b(基本用戶)
可以看到,一個程序所能獲得的最終權限取決於:父進程權限 和 規則限定的權限 的最低等級,也就是我們所說的最低權限原則
舉一個例子:
若我們把IE設成基本用戶等級啟動,那麼由IE執行的任何程序的權限都將不高於基本用戶級別,只能更低。所以就可以達到防范網馬的效果——即使IE下載病毒並執行了,病毒由於權限的限制,無法對系統進行有害的更改,如果重啟一下,那麼病毒就只剩下屍體了。
甚至,我們還可以通過NTFS權限的設置,讓IE無法下載和運行病毒,不給病毒任何的機會。
這裡,我們來看一下NTFS的權限(這裡的權限是NTFS權限,與規則無關)。NTFS的所有權限如下:
遍歷文件夾/運行文件 (遍歷文件夾可以不管,主要是“運行文件”,若無此權限則不能啟動文件,相當於AD的運行應用程序)
允許或拒絕用戶在整個文件夾中移動以到達其他文件或文件夾的請求,即使用戶沒有遍歷文件夾的權限(僅適用於文件夾)。
列出文件夾/讀取數據
允許或拒絕用戶查看指定文件夾內文件名和子文件夾名的請求。它僅影響該文件夾的內容,而不影響您對其設置權限的文件夾是否會列出(僅適用於文件夾)。
讀取屬性
允許或拒絕查看文件中數據的能力(僅適用於文件)。
讀取擴展屬性
允許或拒絕用戶查看文件或文件夾屬性(例如只讀和隱藏)的請求。屬性由 NTFS 定義。
創建文件/寫入數據
“創建文件”允許或拒絕在文件夾中創建文件(僅適用於文件夾)。“寫入數據”允許或拒絕對文件進行修改並覆蓋現有內容的能力(僅適用於文件)。
創建文件夾/追加數據
“創建文件夾”允許或拒絕用戶在指定文件夾中創建文件夾的請求(僅適用於文件夾)。“追加數據”允許或拒絕對文件末尾進行更改而不更改、刪除或覆蓋現有數據的能力(僅適用於文件)。
寫入屬性
允許或拒絕用戶對文件末尾進行更改,而不更改、刪除或覆蓋現有數據的請求(僅適用於文件)。 即寫操作。
寫入擴展屬性
允許或拒絕用戶更改文件或文件夾屬性(例如只讀和隱藏)的請求。屬性由 NTFS 定義。
刪除子文件夾和文件
允許或拒絕刪除子文件夾和文件的能力,即使子文件夾或文件上沒有分配“刪除”權限(適用於文件夾)。
刪除 (與上面的區別是,這裡除了子目錄及其文件,還包括了目錄本身)
允許或拒絕用戶刪除子文件夾和文件的請求,即使子文件夾或文件上沒有分配“刪除”權限(適用於文件夾)。
讀取權限 (NTFS權限的查看)
允許或拒絕用戶讀取文件或文件夾權限(例如“完全控制”、“讀取”和“寫入”)的請求。
更改權限 (NTFS權限的修改)
允許或拒絕用戶更改文件或文件夾權限(例如“完全控制”、“讀取”和“寫入”)的請求。
取得所有權
允許或拒絕取得文件或文件夾的所有權。文件或文件夾的所有者始終可以更改其權限,而不論用於保護該文件或文件夾的現有權限如何。
在系統默認的NTFS權限下,基本用戶對於windows\program files目錄只有 遍歷文件夾/運行文件、列出文件夾/讀取屬性、讀取擴展屬性、讀取權限這四項權限,對於documents and settings目錄,僅對其所有的目錄有完全控制的權限,其它目錄只讀?
我們的規則裡面所說到的基本用戶、受限用戶,基本上等同於 NTFS 權限裡的 USERS 組,但受限用戶受到的限制更多,不管NTFS權限如何,其始終受到限制。