熱點推薦:
您现在的位置: 電腦知識網 >> 安全防毒 >> 正文

WindowsXP客戶端的軟件限制策略三

2022-06-13   來源: 安全防毒 

  跳過管理員

  管理員可能要禁止大多數用戶運行某些程序但允許管理員運行所有這些程序例如管理員可能有一台多個用戶通過終端服務器連接的共享計算機管理員希望用戶只運行計算機上的特定應用程序但希望本地 Administrators 組中的成員能夠運行所有程序可以使用跳過管理員強制選項來執行此操作

  如果在鏈接到 Active Directory 中的對象的 GPO 中創建了軟件限制策略(而不是使用跳過管理員選項)則 Microsoft 建議拒絕將此 GPO 上的應用組策略權限授予 Administrators 組因為未下載不應用於管理員的 GPO 設置因此這將降低網絡通信量

  注意本地安全策略對象中定義的軟件限制策略無法過濾用戶組這種情況下請使用跳過管理員選項

  要打開跳過管理員選項請執行下列操作

  在上圖 中的強制屬性對話框中選擇除本地管理員以外的所有用戶

  定義可執行文件

  下圖 中的指派的文件類型屬性對話框中列出了軟件限制策略控制的文件類型指派的文件類型被視為可執行文件例如屏幕保護文件 (scr) 便被視為可執行文件因為在 Windows 資源管理器中雙擊該文件時它將作為程序加載

  軟件限制策略規則只適用於指派的文件類型屬性對話框中列出的文件類型如果環境使用要應用規則的文件類型請將該文件類型添加到列表中例如對於 Perl 腳本文件可以選擇將 pl 以及其他與 Perl 引擎關聯的文件類型添加到位於指派的文件類型屬性對話框中常規選項卡下的指定的文件類型列表中

  “指派的文件類型屬性”對話框

  圖

  指派的文件類型屬性對話框

  本示例刪除了文件類型 mdb並添加了 ocx下表列出了指派的文件類型

  表 指派的文件類型
 文件擴展名  文件描述  ade Microsoft Access   項目擴展名  adp Microsoft Access   項目  bas Visual Basic  類模塊  bat  批處理文件 chm 已編譯的 HTML 幫助文件  cmd Windows NT  命令腳本 com MSDOS 應用程序  cpl  控制面板擴展名  crt  安全證書 exe  應用程序  hlp Windows  幫助文件  hta HTML  應用程序 inf  安裝信息文件  ins Internet  通信設置  isp Internet  通信設置  js JScript  文件  jse JScript 編碼的腳本文件 lnk  快捷方式 mde Microsoft Access MDE  數據庫  msc Microsoft Common Console  文檔  msi Windows Installer  程序包  msp Windows Installer  修補程序 mst Visual  測試源文件 ocx ActiveX 控件 pcd Photo CD  圖像  pif MSDOS  程序的快捷方式  reg  注冊表項  scr  屏幕保護程序  sct Windows  腳本組件  shs  外殼片段對象  url Internet  快捷方式(統一資源定位器) vb VB  文件 vbe VBScript  編碼的腳本文件  vbs VBScript  腳本文件  wsc Windows  腳本組件  wsf Windows  腳本文件  wsh Windows   腳本主機設置文件
已知問題

  如果將軟件限制策略配置為限制 位程序(如 或 )用戶仍然可以啟動該程序即使他們沒有運行該程序的權限要解決此問題可以在環境中的客戶端上安裝 Windows XP Professional Service Pack

  軟件限制策略不禁止代碼在 Microsoft Win子系統以外運行例如用戶可以從便攜操作系統接口 (POSIX) 子系統運行同一命令

  要阻止這種情況的發生請通過刪除下列 POSIX 值來關閉 POSIX 子系統

  HKLM\System\CurrentControlSet\Control\SessionManager\Subsystems

  受信任的出版商

  可以使用受信任的出版商屬性對話框來配置哪些用戶可以選擇受信任的出版商還可以確定在信任發布者之前執行哪些證書吊銷檢查(如果存在)啟用證書規則後軟件限制策略將檢查證書吊銷列表 (CRL)以確保軟件的證書和簽名有效這也會造成簽名程序啟動時系統性能的下降使用下圖 中顯示的受信任的出版商屬性對話框中常規選項卡下的選項可以配置與 ActiveX 控件以及其他簽名內容相關的設置

  “受信任的出版商屬性”對話框

  圖

  受信任的出版商屬性對話框

  下表顯示了與 ActiveX 控件以及其他簽名內容相關的受信任發布者選項

  表 受信任發布者的任務和設置
 設置名稱  任務  企業管理員  用於只允許企業管理員進行有關簽名活動內容的決策  本地計算機管理員  用於允許本地計算機管理員進行有關簽名活動內容的所有決策  最終用戶  用於允許用戶進行有關簽名活動內容的決策 發布者  用於確保軟件發布者使用的證書未被吊銷  時間戳  用於確保組織用於對活動內容加時間戳的證書未被吊銷
軟件限制策略的設計和部署

  本部分介紹了如何使用組策略管理單元來管理軟件限制策略首次編輯策略時的注意事項以及如何將軟件限制策略應用於用戶組此外還介紹了在部署軟件限制策略時要考慮的各種問題

  與組策略集成

  可以對一組客戶端以及登錄到客戶端的所有用戶使用組策略管理單元來管理軟件限制策略該策略將應用於本指南中定義的台式計算機和便攜式計算機 OU

  

  管理員應為軟件限制策略創建一個單獨的 GPO這樣可以刪除組策略而不破壞應用於該對象的其他策略

  本地必須為環境中的獨立客戶端配置一個本地策略注意在配置和復制了本地策略之後可能會出現沖突

  設計策略本部分概述了在設計和部署軟件限制策略時要執行的步驟設計策略需要作出幾項決策下表將對此進行詳細說明

  表 要進行的重要策略設計決策
 決策  要考慮的因素  便攜式計算機或工作站  考慮環境中移動用戶的需求以便確定便攜式計算機是否需要與台式計算機不同的策略便攜式計算機通常比台式計算機需要更大的靈活性  服務器共享登錄腳本和主驅動器  需要為從服務器共享目錄或主目錄啟動的任何應用程序定義一個路徑規則可以向路徑規則添加登錄腳本文件如果腳本調用任何其他腳本還應向路徑規則中添加可執行文件的位置  GPO 或本地安全策略  本指南為此設計使用了 GPO但您應該考慮本地策略對設計的影響  用戶或客戶端策略  此設計適用於客戶端級的所有設置  默認安全級別  建議將默認設置配置為不允許的然後相應地配置策略的其余部分也可以使用默認設置不受限的  其他規則  使用默認策略不允許的需要根據需要應用其他操作系統路徑規則不允許的配置中自動創建了四個規則  策略選項

  如果正在使用本地安全策略並且不希望該策略應用於環境中客戶端上的管理員請選擇策略強制選項跳過管理員

  如果除了可執行文件和腳本以外還要檢查 DLL請選擇策略強制選項DLL 檢查

  如果要在指派文件類型默認列表以外的文件類型上建立規則請使用該選項根據需要將這些文件類型添加到指派的文件類型屬性對話框中

  如果要更改可以對下載 ActiveX 控件和其他簽名內容作出決策的用戶請選中受信任的出版商屬性對話框中常規選項卡下的發布者的復選框

 將策略應用於站點域或 OU  該決策將駐留在台式計算機和便攜式計算機所在的 OU 之下
最佳操作

  Microsoft 建議為軟件限制策略創建一個單獨的 GPO以便在緊急情況下需要禁用該策略時它不會影響域策略或本地策略的其余部分

  此外如果您在 OU 的設計階段使用軟件限制策略意外地鎖定了工作站則可以在安全模式下重新啟動計算機並以本地管理員的身份登錄然後修改該策略安全模式下啟動 Windows 時將不應用軟件限制策略安全模式下啟動計算機後請運行 gpupdateexe然後重新啟動計算機

  為了獲得最大安全性請將 ACL 與軟件限制策略一同使用用戶可能會重命名或移動不允許的文件或覆蓋不受限的文件以此來嘗試跳過軟件限制策略為了防止發生這種情況請使用 ACL 拒絕授予用戶執行這些操作的權限

  登錄腳本通常位於域控制器或中央服務器上的 Sysvol 下域控制器通常可以隨每次登錄而更改如果默認規則設置為不允許的請確保創建用於標識登錄腳本位置的規則如果登錄服務器具有相似的名稱可考慮使用通配符來定位它們或使用具有不受限設置的登錄腳本名稱

  注意在將新的軟件限制策略設置應用於域之前應在整個測試環境中對其進行測試新策略設置的行為可能與最初的預計行為不符通過測試可以減少在網絡中部署軟件限制策略設置時遇到問題的可能性

  過程演練

  以下步驟將指導您完成設計軟件限制策略並將其作為 GPO 應用於環境中的便攜式計算機和台式計算機的全部過程

  步驟 為 OU 創建 GPO

  找到為環境中的台式計算機或便攜式計算機創建的 OU如果在獨立客戶端上工作則設置位於本地計算機策略中在此策略中單擊屬性然後新建一個 GPO根據組織的命名約定來命名策略注意此策略將只用於強制實施軟件限制

  步驟 設置軟件限制策略

  突出顯示此 GPO然後單擊編輯遍歷該樹直到找到Windows 設置\安全設置\軟件限制策略首次編輯該策略時您將看到下列消息

  未定義軟件安全策略

  此消息警告您創建策略將定義默認值這些默認值可能覆蓋其他軟件限制策略中的設置由於尚未設置軟件限制設置因此將使用默認設置啟動右鍵單擊操作菜單然後選擇新建軟件限制策略

  步驟 設置路徑規則

  確定了工作站將擁有的應用程序和腳本後便可以設置路徑規則某些程序將啟動其他程序來執行任務環境中的軟件應用程序可能依賴於一個或多個支持程序當前安裝的軟件上的清單和安裝文檔對於跟蹤路徑規則非常有用工作站設計示例可能包括下列規則

  Applications = *\Program Files

  Shared Group Applications= g\Group Applications

  Logon script = Logonbat

  Desktop Shortcuts = *lnk

  Malicious VB Script =*vbs

  步驟 設置策略選項

  下列內容包括此設計的建議設置這些選項將改變數字簽名文件的強制行為范圍或 Authenticode 信任設置

  強制 如果計算機是域的組成部分則確保 Domain Admins 組自動添加到 Administrators 組

  應用於用戶 此選項包含除本地管理員以外的所有用戶使用此設置將延遲每個應用程序的啟動為彌補此不足此設計將策略設置為不檢查 DLL

  應用於文件 此選項包括除庫(如 DLL)以外的所有軟件文件使用此設置將延遲每個應用程序的啟動為彌補此不足此設計將策略設置為不檢查 DLL

  指派的文件類型 對於本指南中定義的 GPO 設計未向該列表中添加其他文件類型實際上可以根據需要添加自定義應用程序文件類型擴展以使其遵守相同的規則

  受信任的出版商 對於本指南中定義的 GPO 設計啟用了管理員並選中了受信任的出版商屬性 本地計算機管理員選項

  信任發布者之前在創建 GPO 的設計階段選中檢查 發布者選項以確保該策略將驗證證書

  步驟 應用默認設置

  最好將策略配置為默認設置不受限的這樣可以確保在應用軟件限制前已完整配置了該策略檢查策略設置後將默認設置重新設置為不允許的

  步驟 測試策略

  如果計算機是域的一部分請將該計算機移到應用該策略的 OU 容器中重新啟動測試計算機然後登錄到該計算機測試計劃應說明在應用策略後每個應用程序的運行方式運行應用程序以確保它們能夠完全正常運行並確保您能夠訪問它們的所有功能驗證應用程序的功能後針對這些應用程序進行一次模擬攻擊以確保該策略沒有安全漏洞

  如果計算機是獨立客戶端請登錄到測試計算機並執行測試計劃驗證應用程序後請再次啟動模擬攻擊以確保該策略沒有安全漏洞

  部署軟件限制策略

  全面測試該策略後請將其應用於環境中的台式計算機 OU 或便攜式計算機 OU如果它是獨立客戶端請將其應用於客戶端上的本地計算機設置打開 Computers and Users MMC 管理單元並遍歷該目錄直到您找到台式計算機或便攜式計算機的 OU 容器然後使用組策略對象編輯器創建新 GPO編輯屬性並基於下表將相應設置應用於Windows 設置\安全設置下的軟件限制策略

  表 安全級別

 用戶界面中的默認規則  說明  設置  不允許的  軟件不會運行無論用戶擁有哪些訪問權限  使用此默認規則

  表 其他規則
 路徑規則  設置  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot% 不受限的   %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\*exe  不受限的  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\System\*exe 不受限的   %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProgramFilesDir%  不受限的  *lnk  不受限的  *vbs  不受限的  G\Group Applications  不受限的  Logonbat或登錄腳本 不受限的  *\Program Files  不受限的

  表 對文件和用戶強制實施策略
 強制選項  建議  建議將軟件限制策略應用於下列文件  除 DLL 以外的所有軟件文件  將軟件限制策略應用於下列用戶  除本地管理員以外的所有用戶

  表 指派的文件類型
 指派的文件類型  建議  指派的文件類型屬性  刪除 mdb 並添加 ocx

  表 受信任的出版商
 受信任的出版商  建議 允許下列用戶組選擇受信任的出版商  本地計算機管理員  確定證書是否已被吊銷 選擇發布者選項

  摘要

  軟件限制策略為管理員提供了策略驅動的機制用於標識和控制域中運行 Windows XP Professional 的計算機上的軟件可以創建策略來阻止惡意腳本然後鎖定環境中的計算機或禁止應用程序運行在企業中最好使用組策略對象 (GPO) 來管理軟件限制策略然後調整所創建的每個策略使其滿足組織中不同用戶組和計算機的需求Microsoft 建議不要嘗試管理獨立環境中的用戶組如果應用正確軟件限制策略將會提高完整性和可管理性並從根本上降低組織中計算機操作系統的擁有和維護成本

  其他信息

  以下是在發布 Windows Server 時提供的最新信息源其內容緊緊圍繞 Windows XP Professional 和 Windows Server 的軟件限制策略


From:http://tw.wingwit.com/Article/Security/201312/30110.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.