ネットワーク、インターネット、および電子メールがビジネスコンピューティングでますます使用されるにつれて、ユーザーは新しいソフトウェアに遭遇することが多くあります。ユーザーは、未知のソフトウェアを実行するかどうかについて常に決定を下さなければなりません。ウイルスやトロイの木馬は、しばしば意図的にユーザーの操作を欺くふりをします。どのプログラムを実行するかを安全に選択することはユーザーにとって非常に困難ですので、この場合はソフトウェア制限戦略を使用する必要があります。今日、Windowsの魔法の効果を説明しましょう。 >ソフトウェア制限ポリシーを使用して、実行が許可されているアプリケーションを識別および指定することにより、信頼できないコードからコンピュータ環境を保護します。ハッシュ規則、証明書規則、パス規則、およびインターネットゾーン規則を使用して、プログラムをポリシーで識別できます。デフォルトでは、ソフトウェアは2つのレベル(「制限なし」、「許可されていない」)で実行できます。本稿では、パス規則とハッシュ規則を主に使用しますが、パス規則はこれらの規則の中で最も柔軟性が高いため、以下に特別な説明がない場合、すべての規則はパス規則を指します。
2.追加の規則とセキュリティレベル
追加の規則
ソフトウェア制限ポリシーを使用する場合は、ソフトウェアを識別するために次の規則が使用されます。
証明書の規則
ソフトウェアの制限の規則は、それらの証明書によって署名できます。ファイルを識別します。証明書規則は、拡張子が.exeまたは.dllのファイルには適用できません。それらはスクリプトやWindowsインストールパッケージに適用できます。ソフトウェアを識別する証明書を作成してから、セキュリティレベルの設定に基づいてソフトウェアの実行を許可するかどうかを決定できます。
パスの規則
パスの規則は、プログラムのファイルパスによって識別されます。この規則はpathによって指定されるので、プログラムが移動した後はpath規則は無効になります。パスルールでは、%programfiles%や%systemroot%などの環境変数を使用できます。パス規則もワイルドカードをサポートし、サポートされているワイルドカードは*と?です。
ハッシュルール
ハッシュは、プログラムまたはファイルを一意に識別する一連の固定長バイトです。ハッシュはハッシュアルゴリズムによって計算されます。ソフトウェア制限ポリシーは、ファイルのハッシュに基づいてSHA-1(Secure Hash Algorithm)およびMD5 Hash Algorithmによって識別できます。ファイルの名前を変更したり、ファイルを他のフォルダに移動したりすると、同じハッシュが生成されます。
たとえば、ハッシュルールを作成し、セキュリティレベルを「許可しない」に設定して、ユーザーが特定のファイルを実行できないようにすることができます。ファイルの名前を変更したり、他の場所に移動したりしても、同じハッシュが生成されます。ただし、ファイルを改ざんするとハッシュ値が変更され、制限を回避できるようになります。ソフトウェア制限ポリシーは、ソフトウェア制限ポリシーを使用して計算されたハッシュのみを識別します。
インターネットゾーンの規則
地域の規則は、Windowsインストーラパッケージにのみ適用されます。地域の規則により、Internet Explorerの指定領域からソフトウェアを識別できます。これらの領域は、インターネット、ローカルコンピュータ、ローカルイントラネット、制限付きサイト、および信頼済みサイトです。
上記の規則の影響を受けるファイルの種類は、「割り当てられたファイルの種類」に記載されているもののみです。システムは、すべての規則によって共有される指定されたファイルタイプのリストを持っています。デフォルトでリスト内のファイルタイプは次のとおりです。ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC TXT JPG GIFなどのファイルは影響を受けません拡張ファイルに脅威があると思われる場合は、それらをそれらに追加するか、またはどの拡張子が脅威にさらされていないかを考えることができます。
セキュリティレベル
ソフトウェア制限ポリシーでは、デフォルトで、「制限なし」と「許可されていません」の2つのセキュリティレベルが設定されています。
注:
「許可されていない」レベルには、ファイル保護操作は含まれません。許可されていないファイルセットの閲覧、コピー、貼り付け、変更、削除などができます。グループポリシーはブロックされません。もちろん、あなたのユーザーレベルはそのファイルを変更する権利を持ちます。無制限レベルは完全に無制限ではありませんが、ソフトウェア制限ポリシーに対する追加の制限の対象にはなりません。実際には、「無制限」プログラムは、プログラムの起動時にプログラムの親プロセスに許可を与えますが、プログラムによって取得されたアクセストークンはその親プロセスによって決定されるため、どのプログラムの許可も制限を超えることはありません。その親プロセス
実際には、デフォルトで非表示になっている3つのレベルがありますが、手動でレジストリを変更することで他の3つのレベルを開くことができますレジストリエディタを開いて、展開します。
HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Policies \\ Microsoft \\ Windows \\
Safer \\ CodeIdentifiers
Levelsという名前の新しいDOWRDを0x4131000(16システムの場合は4131000)の名前で作成します。
作成後にgpedit.mscを再度開くと表示されます。他の3つのレベルは現時点でオンになっています。
Unrestricted
最高の特権ですが、完全に無制限ではありませんが、「ソフトウェアへのアクセスはユーザーのアクセス権によって決まります」、つまり親プロセスの権限が継承されます。
基本ユーザー
基本ユーザーは"走査チェックをスキップ"する権限のみを持ち、管理者権限を持つことを拒否します。
Restricted
には基本ユーザーよりも多くの制限がありますが、"トラバーサルチェックをスキップ"の権限も付与されています。
Untrusted
は、システムリソースやユーザーリソースへのアクセスを許可していません直接的な結果として、プログラムは実行されません。
許可されていない
プログラムの実行または開かれているファイルを無条件にブロックする
許可のサイズに応じて、次の順にソートできます。制限なし>基本ユーザー>制限付き>信頼できない>許可しないのzh-CN"],null,[1],zh-TW"]]]