ビジネスコンピューティングにおけるインターネット、インターネット、および電子メールの使用が増加するにつれて、ユーザーは新しいソフトウェアに遭遇することが多くあります。ユーザーは、未知のソフトウェアを実行するかどうかについて常に決定を下さなければなりません。ウイルスやトロイの木馬は、しばしば意図的にユーザーの操作を欺くふりをします。プログラムを決定するために、ユーザーより安全な選択が実行されなければならないようにするには、あなたは誰のためにそれの魔法の効果を説明するために、今日のWindowsでソフトウェア制限ポリシーを使用する必要があり、現時点では、非常に困難である。
ページ1、概要
利用ソフトウェア制限ポリシーは、アプリケーションを実行し、指定することが許可されている識別することによって、あなたは信頼されていない侵入コードからコンピュータ環境を保護することができます。ハッシュ規則、証明書規則、パス規則、およびインターネットゾーン規則を通じて、プログラムをポリシーで識別できます。デフォルトでは、ソフトウェアは「無制限」と「不許可」の2つのレベルで実行できます。本稿では、パス規則とハッシュ規則を主に使用しますが、パス規則はこれらの規則の中で最も柔軟性が高いため、以下に特別な説明がない場合、すべての規則はパス規則を指します。
2、追加のルールおよびセキュリティレベル
追加規則
ソフトウェア制限ポリシーを使用して、ソフトウェアを識別するために、以下の規則を使用:
証明書はルール
ソフトウェア制限ポリシーは、そのファイルの署名付き証明書によって識別することができます。証明書規則は、拡張子が.exeまたは.dllのファイルには適用できません。それらはスクリプトやWindowsインストーラパッケージに適用できます。ソフトウェアを識別する証明書を作成してから、セキュリティレベルの設定に基づいてソフトウェアの実行を許可するかどうかを決定できます。で
パスの規則で
パスの規則は、プログラムへのファイルパスで識別されます。この規則はpathによって指定されるので、プログラムが移動した後はpath規則は無効になります。パスルールでは、%programfiles%や%systemroot%などの環境変数を使用できます。ワイルドカードもパス規則でサポートされており、サポートされているワイルドカードは*と?です。で
ハッシュハッシュルールは、一意のプログラムまたはファイルを特定する固定長バイトのシリーズです。ハッシュはハッシュアルゴリズムによって計算されます。ソフトウェア制限ポリシーは、ファイルのハッシュに基づいてSHA-1(Secure Hash Algorithm)およびMD5 Hash Algorithmによって識別できます。ファイルの名前を変更したり、ファイルを他のフォルダに移動したりすると、同じハッシュが生成されます。で
たとえば、あなたは、ハッシュルールを作成し、実行しているからユーザーを防ぐために、「許されない」特定の文書のセキュリティレベルを設定することができます。ファイルの名前を変更したり、他の場所に移動したりしても、同じハッシュが生成されます。ただし、ファイルを改ざんするとハッシュ値が変更され、制限を回避できるようになります。ソフトウェア制限ポリシーは、ソフトウェア制限ポリシーを使用して計算されたハッシュのみを識別します。
インターネットゾーンルールで
ゾーンルールは、Windowsインストーラパッケージに適用されます。地域の規則により、Internet Explorerの指定領域からこれらのソフトウェアを識別できます。これらの領域は、インターネット、ローカルコンピュータ、ローカルイントラネット、制限付きサイト、および信頼済みサイトです。ファイルの種類は、ルールの上に記載されている「指定ファイルタイプ」のものだけ種類を
に影響を与えました。システムは、すべての規則によって共有される指定されたファイルタイプのリストを持っています。デフォルトでは、リストのファイルタイプには次のものが含まれます:ADADEDPBASBATCHMCMDCOMCPLCRTEXEHLPHTAINFINSISPLNKMDBMDEMSCMSIMSPMSTOCXPCDPIFREGSCRSHSURLVBWSC、したがって、ここに含まれていない場合でも、ファイルが追加されている可能性があると考えられます。または、どのエクステンションが危険ではないと思われるのか、それらを削除することもできます。ソフトウェア制限ポリシーのためで
のセキュリティレベルは、デフォルトでは、システムは2つのレベルのセキュリティを提供してくれます:「無制限」と「容認」
注:ファイル保護動作のいずれかのレベルが含まれていない「許可」
。 「許可しない」に設定されているファイルは、読み取り、コピー、貼り付け、変更、削除などができますが、グループポリシーはブロックされません。 「レベル」は、それが完全に制限されていないことを意味するのではなく、ソフトウェア制限ポリシーの追加の制限の対象とはなりません。実際には、「無制限」プログラムが起動すると、システムはそのプログラムの親プロセスに許可を与えますが、そのプログラムによって取得されたアクセストークンはその親プロセスによって決定されるため、どのプログラムの許可も制限を超えません親プロセス
しかし、実際には、デフォルトでは三つのレベルがありますが隠されている、我々はに拡大し、レジストリエディタを開いて、他の三つのレベルのレジストリを変更することにより、手動でオンにすることができます。
< BR> HKEY_LOCAL_MacHINESOFTWAREPolicIEsMicrosoftWindows
SaferCodeIdentifIErs
レベルという新しいDOWRD、値0x4131000(1610年は4131000を作った)再オープンgpedit.mscをは
後に作成されてします他の3つのレベルは現在開いていることがわかります。
最高権威
は限定されないが、それは親プロセスを継承した「ソフトウェアへのアクセスは、ユーザーのアクセス権によって決定された」完全無制限ではありませんが、アクセス許可
基本的なユーザー
基本的なユーザー権限は唯一の「走査チェックのバイパス」と管理者権限へのアクセスを拒否されました。
はに「走査チェックのバイパス」
は、より基本的なユーザーよりも限定的でなく、特権制限されています。
不信
は、システムリソース、リソースへのユーザーアクセスに許可され、プログラムの直接の結果は実行されません。で
は無条件
は、サイズの権限に応じて並べ替えることができます開いているプログラムファイルを実行または停止することができ:無制限>基本ユーザー>限定>信頼できない>許可されていませんzh-CN"],null,[1],zh-TW"]]]