Windowsソフトウェア制限ポリシーの包括的な理解

ネットワーク、インターネット、および電子メールがビジネスコンピューティングに使用されるにつれて、ユーザーは新しいソフトウェアに遭遇することが多くあります。ユーザーは、未知のソフトウェアを実行するかどうかについて常に決定を下さなければなりません。ウイルスやトロイの木馬は、しばしば意図的にユーザーの操作を欺くふりをします。どのプログラムを実行するかを安全に選択することはユーザーにとって非常に難しいため、この場合はソフトウェア制限戦略を使用する必要があります。今日はWindowsの魔法の効果を説明しましょう。概要

ソフトウェア制限ポリシーを使用して、実行が許可されているアプリケーションを特定して指定することにより、信頼できないコードからコンピュータ環境を保護します。ハッシュ規則、証明書規則、パス規則、およびインターネットゾーン規則を使用して、プログラムをポリシーで識別できます。デフォルトでは、ソフトウェアは2つのレベル（「制限なし」、「許可されていない」）で実行できます。本稿では、パス規則とハッシュ規則を主に使用しますが、パス規則はこれらの規則の中で最も柔軟性が高いため、以下に特別な説明がない場合、すべての規則はパス規則を指します。

2、追加の規則とセキュリティレベル

追加の規則

ソフトウェア制限ポリシーを使用するときは、次の規則に従ってソフトウェアを識別してください。

証明書ルール

ソフトウェア制限ポリシーでは、署名付き証明書によってファイルを識別できます。証明書規則は、拡張子が.exeまたは.dllのファイルには適用できません。それらはスクリプトやWindowsインストールパッケージに適用できます。ソフトウェアを識別する証明書を作成してから、セキュリティレベルの設定に基づいてソフトウェアの実行を許可するかどうかを決定できます。

パスルール

パスルールは、プログラムのファイルパスによって識別されます。この規則はpathによって指定されるので、プログラムが移動した後はpath規則は無効になります。パスルールでは、％programfiles％や％systemroot％などの環境変数を使用できます。パス規則もワイルドカードをサポートし、サポートされているワイルドカードは*と？です。

ハッシュ規則

ハッシュは、プログラムまたはファイルを一意に識別する一連の固定長バイトです。ハッシュはハッシュアルゴリズムによって計算されます。ソフトウェア制限ポリシーは、ファイルのハッシュに基づいてSHA-1（Secure Hash Algorithm）およびMD5 Hash Algorithmによって識別できます。ファイルの名前を変更したり、ファイルを他のフォルダに移動したりすると、同じハッシュが生成されます。

たとえば、ハッシュルールを作成してセキュリティレベルを[許可しない]に設定し、ユーザーが特定のファイルを実行できないようにすることができます。ファイルの名前を変更したり、他の場所に移動したりしても、同じハッシュが生成されます。ただし、ファイルを改ざんするとハッシュ値が変更され、制限を回避できるようになります。ソフトウェア制限ポリシーは、ソフトウェア制限ポリシーを使用して計算されたハッシュのみを識別します。

インターネットゾーンの規則

ゾーンの規則は、Windowsインストーラパッケージにのみ適用されます。地域の規則により、Internet Explorerの指定領域からソフトウェアを識別できます。これらの領域は、インターネット、ローカルコンピュータ、ローカルイントラネット、制限付きサイト、および信頼済みサイトです。

上記の規則の影響を受けるファイルの種類は、「割り当てられたファイルの種類」に記載されているものだけです。システムは、すべての規則によって共有される指定されたファイルタイプのリストを持っています。デフォルトでリスト内のファイルの種類は次のとおりです。 TXT JPG GIFなどのファイルは影響を受けません。

セキュリティレベル

ソフトウェア制限ポリシーでは、デフォルトで、「制限なし」と「許可されていません」の2つのレベルのセキュリティがシステムによって提供されます。 Br>

注：

'許可レベルにファイル保護操作は含まれていません。許可されていないファイルセットの閲覧、コピー、貼り付け、変更、削除などができます。グループポリシーはブロックされません。もちろん、あなたのユーザーレベルはそのファイルを変更する権利を持ちます。無制限レベルは完全に無制限ではありませんが、ソフトウェア制限ポリシーに対する追加の制限の対象にはなりません。実際には、「無制限」プログラムは、プログラムの起動時にプログラムの親プロセスに許可を与えますが、プログラムによって取得されたアクセストークンはその親プロセスによって決定されるため、どのプログラムの許可も制限を超えることはありません。その親プロセス

しかし、実際にはデフォルトで非表示になっている3つのレベルがありますが、手動でレジストリを変更することで他の3つのレベルを開くことができます。 p> HKEY_LOCAL_MACHINE \\ソフトウェア\\ポリシー\\ Microsoft \\ Windows \\

より安全な\\ CodeIdentifiers

0x4131000の値を持つLevelsという名前の新しいDOWRDを作成します（16システムでは4131000）。

作成したら、gpedit.mscをもう一度開くと、他の3つのレベルが有効になります。

制限なし

最高の特権ですが、完全に制限はありませんが、「ソフトウェアへのアクセスはユーザーのアクセス権によって決まります」、つまり親を継承します。プロセスの権限

基本ユーザー

基本ユーザーには「トラバーサルチェックをスキップ」の権限しかなく、管理者権限は付与されません。

制限付き

は基本ユーザーより制限がありますが、"トラバーサルチェックをスキップ"の権限も付与されています。

Untrusted

システムリソースおよびユーザーリソースへのアクセスは許可されていません直接的な結果として、プログラムは実行されません。

許可されていません

プログラムの実行または開かれているファイルを無条件にブロックします。

許可のサイズに応じて、次のように並べ替えることができます。制限なし>基本ユーザー>制限付き>信頼できない>許可されていません前のページ1234次のページ合計4ページzh-CN"],null,[1],zh-TW"]]]