Windowsグループポリシーでのソフトウェア制限ルールのアクセス許可と継承

Windowsグループポリシーでは、おそらく誰でもが "管理用テンプレート"の機能を使用しています。 「ソフトウェア制限戦略」については、それを使ったことのある友人はそれほど多くないと思います。

ソフトウェア制限戦略が適切であれば、HIPSソフトウェアと比較できると思います。 NTFSアクセス許可とレジストリアクセス許可を組み合わせると、システムの包括的なセキュリティ構成を完全に実装できますが、同時にこれはシステムの組み込み機能であるため、システムとシームレスに統合され、追加のCPUおよびメモリリソースを占有しません。互換性のない現象は、システムの最下部にあるため、その傍受機能は他のソフトウェアには匹敵しませんが、欠点はその設定が柔軟でインテリジェントではなく、ユーザーに尋ねないことです。ソフトウェア制限戦略を包括的に見てみましょう。この一連の記事では、以下の項目について説明します。

概要概要追加のセキュリティレベルセキュリティ制限ポリシーの優先順位・権利と継承の登録
・規則の書き方
・規則の例

今日、Windowsグループポリシーでのソフトウェアの割り当て規則と権利の継承について説明します。

ここでの説明の前提の1つは、次のとおりです。あなたのユーザータイプが管理者であるとします。

ソフトウェア制限ポリシーがない場合、プログラムaがプログラムbを起動すると、aはbの親になり、bはaの権限を継承します。

ここでaを基本ユーザーに設定します。bは制限しません（bを無制限にするか、またはbに同じ効果を設定しないようにします）。次にbをaで開始し、bの許可はaから継承します。これは基本ユーザーでもあります。つまり、次のようになります。

a（基本ユーザー） - > b（無制限）= b（基本ユーザー）
bが基本ユーザーとして設定されている場合、aは制限されません。 a bを起動した後も、bはまだ基本ユーザー権限です。つまり、
a（制限なし） - > b（基本ユーザー）= b（基本ユーザー）

が表示されます。プログラム取得できる最終的な権限は、次の要素によって異なります。親プロセスの権限と、最小レベルのルールで定義された権限（最小権限の原則）。

例：
IEを基本ユーザーとして設定した場合このレベルが有効になっていると、IEによって実行されるプログラムの権限は基本ユーザーレベル以下になり、それ以下になります。つまり、IEがウイルスをダウンロードして実行したとしても、許可制限のためにシステムに有害な変更を加えることはできず、再起動してもウイルスは死体しかありません。

さらに、IEのアクセス許可設定を使用して、ウイルスにチャンスを与えることなくIEがウイルスをダウンロードおよび実行できないようにすることもできます。

ここで、NTFSのアクセス許可を見てみましょう（ここでのアクセス許可は、規則に関係なく、NTFSのアクセス許可です）。 NTFSのすべての権限は以下の通りです。
トラバースフォルダ/実行ファイル（トラバースフォルダは無視できます。主に "実行ファイル"、そのような権限がない場合はファイルを起動できません。これはADのアプリケーションの実行と同じです）。または、ユーザーがフォルダーを移動する権限を持っていない場合でも、フォルダー全体を移動して他のファイルやフォルダーにアクセスするという要求を拒否します（フォルダーのみ）。

フォルダの一覧表示/データの読み取り
指定したフォルダ内のファイル名とサブフォルダ名の表示要求をユーザーに許可または拒否します。フォルダの内容にのみ影響し、権限を設定したフォルダが一覧に表示されているかどうかには影響しません（フォルダのみ）。

読み取り属性
ファイル内のデータの表示を許可または拒否する機能（ファイルにのみ適用されます）。

読み取り拡張属性
読み取り専用や非表示など、ファイルまたはフォルダのプロパティを表示するためのユーザーからの要求を許可または拒否します。この属性はNTFSによって定義されています。

ファイルの作成/データの書き込み
"ファイルの作成"は、フォルダ内にファイルを作成することを許可または拒否します（フォルダのみ）。データの書き込みは、ファイルを変更して既存のコンテンツを上書きする機能を許可または拒否します（ファイルにのみ適用されます）。

フォルダの作成/データの追加
"フォルダの作成"は、指定されたフォルダにフォルダを作成するというユーザの要求を許可または拒否します（フォルダのみ）。 [データの追加]では、既存のデータを変更、削除、または上書きすることなくファイルの末尾に変更を加えることを許可または拒否します（ファイルのみ）。

属性の書き込み
既存のデータを変更、削除、上書きすることなく、ファイルの末尾に変更を加えることをユーザーに許可または拒否します（ファイルのみ）。書き込み操作

拡張属性の書き込み
読み取り専用や非表示など、ファイルまたはフォルダの属性を変更するユーザーの要求を許可または拒否します。この属性はNTFSによって定義されています。

サブフォルダとファイルの削除サブフォルダとファイルに "削除"権限が割り当てられていない場合でも、サブフォルダとファイルを許可または拒否する機能。

削除（上記との違いは、サブディレクトリとそのファイル、ディレクトリ自体に加えて）サブフォルダーやファイル、さらにはサブフォルダーやファイルを削除する要求をユーザーに許可または拒否することです。 （フォルダに対して）割り当てられた「削除」権限はありません。

読み取りアクセス許可（NTFSアクセス許可の表示）
ファイルまたはフォルダの読み取りアクセス許可（フルコントロール、読み取り、書き込みなど）に対するユーザーの要求を許可または拒否します。

アクセス権の変更（NTFSアクセス権の変更）
ファイルまたはフォルダのアクセス権（フルコントロール、読み取り、書き込みなど）を変更する権限をユーザーに許可または拒否します。

所有権の取得
ファイルまたはフォルダの所有権を許可または拒否します。ファイルまたはフォルダの所有者は、ファイルまたはフォルダの保護に使用されている既存の権限に関係なく、常にその権限を変更できます。

システムのデフォルトのNTFSアクセス権の下では、基本ユーザーはfolder /runファイルを走査し、folder /read属性をリストし、extended属性を読み、そしてwindows \\ program filesディレクトリの権利を読むだけで済みます。 documentsディレクトリとsettingsディレクトリに対するアクセス許可は、そのすべてのディレクトリに対するフルコントロールのみを持ち、他のディレクトリは読み取り専用です。

基本的なユーザーと制限付きユーザーは、NTFSアクセス許可のUSERSグループと基本的に同じですが、制限付きユーザーはNTFSアクセス許可に関係なく、より多くの制限を受けます。制限事項