|
跳过管理员 管理员可能要禁止大多数用户运行某些程序但允许管理员运行所有这些程序例如管理员可能有一台多个用户通过终端服务器连接的共享计算机管理员希望用户只运行计算机上的特定应用程序但希望本地 Administrators 组中的成员能够运行所有程序可以使用跳过管理员强制选项来执行此操作 如果在链接到 Active Directory 中的对象的 GPO 中创建了软件限制策略(而不是使用跳过管理员选项)则 Microsoft 建议拒绝将此 GPO 上的应用组策略权限授予 Administrators 组因为未下载不应用于管理员的 GPO 设置因此这将降低网络通信量 注意本地安全策略对象中定义的软件限制策略无法过滤用户组这种情况下请使用跳过管理员选项 要打开跳过管理员选项请执行下列操作 在上图 中的强制属性对话框中选择除本地管理员以外的所有用户 定义可执行文件 下图 中的指派的文件类型属性对话框中列出了软件限制策略控制的文件类型指派的文件类型被视为可执行文件例如屏幕保护文件 (scr) 便被视为可执行文件因为在 Windows 资源管理器中双击该文件时它将作为程序加载 软件限制策略规则只适用于指派的文件类型属性对话框中列出的文件类型如果环境使用要应用规则的文件类型请将该文件类型添加到列表中例如对于 Perl 脚本文件可以选择将 pl 以及其他与 Perl 引擎关联的文件类型添加到位于指派的文件类型属性对话框中常规选项卡下的指定的文件类型列表中 图 指派的文件类型属性对话框 本示例删除了文件类型 mdb并添加了 ocx下表列出了指派的文件类型 表 指派的文件类型 文件扩展名文件描述ade Microsoft Access 项目扩展名adp Microsoft Access 项目bas Visual Basic类模块bat批处理文件chm已编译的 HTML 帮助文件cmd Windows NT命令脚本com MSDOS应用程序cpl控制面板扩展名crt安全证书exe应用程序hlp Windows帮助文件hta HTML应用程序inf安装信息文件ins Internet通信设置isp Internet通信设置js JScript文件jse JScript编码的脚本文件lnk快捷方式mde Microsoft Access MDE数据库msc Microsoft Common Console文档msi Windows Installer程序包msp Windows Installer修补程序mst Visual测试源文件ocx ActiveX控件pcd Photo CD图像pif MSDOS 程序的快捷方式reg注册表项scr屏幕保护程序sct Windows 脚本组件shs外壳片段对象url Internet 快捷方式(统一资源定位器)vb VB文件vbe VBScript编码的脚本文件vbs VBScript 脚本文件wsc Windows 脚本组件wsf Windows脚本文件wsh Windows 脚本主机设置文件 已知问题 如果将软件限制策略配置为限制 位程序(如 或 )用户仍然可以启动该程序即使他们没有运行该程序的权限要解决此问题可以在环境中的客户端上安装 Windows XP Professional Service Pack 软件限制策略不禁止代码在 Microsoft Win子系统以外运行例如用户可以从便携操作系统接口 (POSIX) 子系统运行同一命令 要阻止这种情况的发生请通过删除下列 POSIX 值来关闭 POSIX 子系统 HKLM\System\CurrentControlSet\Control\SessionManager\Subsystems 受信任的出版商 可以使用受信任的出版商属性对话框来配置哪些用户可以选择受信任的出版商还可以确定在信任发布者之前执行哪些证书吊销检查(如果存在)启用证书规则后软件限制策略将检查证书吊销列表 (CRL)以确保软件的证书和签名有效这也会造成签名程序启动时系统性能的下降使用下图 中显示的受信任的出版商属性对话框中常规选项卡下的选项可以配置与 ActiveX 控件以及其他签名内容相关的设置 图 受信任的出版商属性对话框 下表显示了与 ActiveX 控件以及其他签名内容相关的受信任发布者选项 表 受信任发布者的任务和设置 设置名称任务企业管理员用于只允许企业管理员进行有关签名活动内容的决策本地计算机管理员用于允许本地计算机管理员进行有关签名活动内容的所有决策最终用户用于允许用户进行有关签名活动内容的决策发布者用于确保软件发布者使用的证书未被吊销时间戳用于确保组织用于对活动内容加时间戳的证书未被吊销 软件限制策略的设计和部署 本部分介绍了如何使用组策略管理单元来管理软件限制策略首次编辑策略时的注意事项以及如何将软件限制策略应用于用户组此外还介绍了在部署软件限制策略时要考虑的各种问题 与组策略集成 可以对一组客户端以及登录到客户端的所有用户使用组策略管理单元来管理软件限制策略该策略将应用于本指南中定义的台式计算机和便携式计算机 OU 域 管理员应为软件限制策略创建一个单独的 GPO这样可以删除组策略而不破坏应用于该对象的其他策略 本地必须为环境中的独立客户端配置一个本地策略注意在配置和复制了本地策略之后可能会出现沖突 设计策略本部分概述了在设计和部署软件限制策略时要执行的步骤设计策略需要作出几项决策下表将对此进行详细说明 表 要进行的重要策略设计决策 决策要考虑的因素便携式计算机或工作站考虑环境中移动用户的需求以便确定便携式计算机是否需要与台式计算机不同的策略便携式计算机通常比台式计算机需要更大的灵活性服务器共享登录脚本和主驱动器需要为从服务器共享目录或主目录启动的任何应用程序定义一个路径规则可以向路径规则添加登录脚本文件如果脚本调用任何其他脚本还应向路径规则中添加可执行文件的位置GPO 或本地安全策略本指南为此设计使用了 GPO但您应该考虑本地策略对设计的影响用户或客户端策略此设计适用于客户端级的所有设置默认安全级别建议将默认设置配置为不允许的然后相应地配置策略的其余部分也可以使用默认设置不受限的其他规则使用默认策略不允许的时需要根据需要应用其他操作系统路径规则在不允许的配置中自动创建了四个规则策略选项 如果正在使用本地安全策略并且不希望该策略应用于环境中客户端上的管理员请选择策略强制选项跳过管理员 如果除了可执行文件和脚本以外还要检查 DLL请选择策略强制选项DLL 检查 如果要在指派文件类型默认列表以外的文件类型上建立规则请使用该选项根据需要将这些文件类型添加到指派的文件类型属性对话框中 如果要更改可以对下载 ActiveX 控件和其他签名内容作出决策的用户请选中受信任的出版商属性对话框中常规选项卡下的发布者的复选框 将策略应用于站点域或 OU该决策将驻留在台式计算机和便携式计算机所在的 OU 之下最佳操作 Microsoft 建议为软件限制策略创建一个单独的 GPO以便在紧急情况下需要禁用该策略时它不会影响域策略或本地策略的其余部分 此外如果您在 OU 的设计阶段使用软件限制策略意外地锁定了工作站则可以在安全模式下重新启动计算机并以本地管理员的身份登录然后修改该策略在安全模式下启动 Windows 时将不应用软件限制策略在安全模式下启动计算机后请运行 gpupdateexe然后重新启动计算机 为了获得最大安全性请将 ACL 与软件限制策略一同使用用户可能会重命名或移动不允许的文件或覆盖不受限的文件以此来尝试跳过软件限制策略为了防止发生这种情况请使用 ACL 拒绝授予用户执行这些操作的权限 登录脚本通常位于域控制器或中央服务器上的 Sysvol 下域控制器通常可以随每次登录而更改如果默认规则设置为不允许的请确保创建用于标识登录脚本位置的规则如果登录服务器具有相似的名称可考虑使用通配符来定位它们或使用具有不受限设置的登录脚本名称 注意在将新的软件限制策略设置应用于域之前应在整个测试环境中对其进行测试新策略设置的行为可能与最初的预计行为不符通过测试可以减少在网络中部署软件限制策略设置时遇到问题的可能性 过程演练 以下步骤将指导您完成设计软件限制策略并将其作为 GPO 应用于环境中的便携式计算机和台式计算机的全部过程 步骤 为 OU 创建 GPO 找到为环境中的台式计算机或便携式计算机创建的 OU如果在独立客户端上工作则设置位于本地计算机策略中在此策略中单击属性然后新建一个 GPO根据组织的命名约定来命名策略注意此策略将只用于强制实施软件限制 步骤 设置软件限制策略 突出显示此 GPO然后单击编辑遍历该树直到找到Windows 设置\安全设置\软件限制策略首次编辑该策略时您将看到下列消息 未定义软件安全策略 此消息警告您创建策略将定义默认值这些默认值可能覆盖其他软件限制策略中的设置由于尚未设置软件限制设置因此将使用默认设置启动右键单击操作菜单然后选择新建软件限制策略 步骤 设置路径规则 确定了工作站将拥有的应用程序和脚本后便可以设置路径规则某些程序将启动其他程序来执行任务环境中的软件应用程序可能依赖于一个或多个支持程序当前安装的软件上的清单和安装文档对于跟蹤路径规则非常有用工作站设计示例可能包括下列规则 Applications = *\Program Files Shared Group Applications= g\Group Applications Logon script = Logonbat Desktop Shortcuts = *lnk Malicious VB Script =*vbs 步骤 设置策略选项 下列内容包括此设计的建议设置这些选项将改变数字签名文件的强制行为范围或 Authenticode 信任设置 强制 如果计算机是域的组成部分则确保 Domain Admins 组自动添加到 Administrators 组 应用于用户 此选项包含除本地管理员以外的所有用户使用此设置将延迟每个应用程序的启动为弥补此不足此设计将策略设置为不检查 DLL 应用于文件 此选项包括除库(如 DLL)以外的所有软件文件使用此设置将延迟每个应用程序的启动为弥补此不足此设计将策略设置为不检查 DLL 指派的文件类型 对于本指南中定义的 GPO 设计未向该列表中添加其他文件类型实际上可以根据需要添加自定义应用程序文件类型扩展以使其遵守相同的规则 受信任的出版商 对于本指南中定义的 GPO 设计启用了管理员组并选中了受信任的出版商属性 本地计算机管理员选项 信任发布者之前在创建 GPO 的设计阶段选中检查 发布者选项以确保该策略将验证证书 步骤 应用默认设置 最好将策略配置为默认设置不受限的这样可以确保在应用软件限制前已完整配置了该策略检查策略设置后将默认设置重新设置为不允许的 步骤 测试策略 如果计算机是域的一部分请将该计算机移到应用该策略的 OU 容器中重新启动测试计算机然后登录到该计算机测试计划应说明在应用策略后每个应用程序的运行方式运行应用程序以确保它们能够完全正常运行并确保您能够访问它们的所有功能验证应用程序的功能后针对这些应用程序进行一次模拟攻击以确保该策略没有安全漏洞 如果计算机是独立客户端请登录到测试计算机并执行测试计划验证应用程序后请再次启动模拟攻击以确保该策略没有安全漏洞 部署软件限制策略 全面测试该策略后请将其应用于环境中的台式计算机 OU 或便携式计算机 OU如果它是独立客户端请将其应用于客户端上的本地计算机设置打开 Computers and Users MMC 管理单元并遍历该目录直到您找到台式计算机或便携式计算机的 OU 容器然后使用组策略对象编辑器创建新 GPO编辑属性并基于下表将相应设置应用于Windows 设置\安全设置下的软件限制策略 表 安全级别 用户界面中的默认规则说明设置不允许的软件不会运行无论用户拥有哪些访问权限使用此默认规则 表 其他规则路径规则设置%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%不受限的%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\*exe不受限的%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\System\*exe不受限的%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProgramFilesDir%不受限的*lnk不受限的*vbs不受限的G\Group Applications不受限的Logonbat或登录脚本不受限的*\Program Files不受限的 表 对文件和用户强制实施策略 强制选项建议建议将软件限制策略应用于下列文件除 DLL 以外的所有软件文件将软件限制策略应用于下列用户除本地管理员以外的所有用户 表 指派的文件类型 指派的文件类型建议指派的文件类型属性删除 mdb 并添加 ocx 表 受信任的出版商 受信任的出版商建议允许下列用户组选择受信任的出版商本地计算机管理员确定证书是否已被吊销选择发布者选项 摘要 软件限制策略为管理员提供了策略驱动的机制用于标识和控制域中运行 Windows XP Professional 的计算机上的软件可以创建策略来阻止恶意脚本然后锁定环境中的计算机或禁止应用程序运行在企业中最好使用组策略对象 (GPO) 来管理软件限制策略然后调整所创建的每个策略使其满足组织中不同用户组和计算机的需求Microsoft 建议不要尝试管理独立环境中的用户组如果应用正确软件限制策略将会提高完整性和可管理性并从根本上降低组织中计算机操作系统的拥有和维护成本 其他信息 以下是在发布 Windows Server 时提供的最新信息源其内容紧紧围绕 Windows XP Professional 和 Windows Server 的软件限制策略 |
