Win10操作系統配置軟件限制策略

摘 要：隨著網絡、Internet 以及電子郵件在商務計算方面的使用日益增多，用戶發現他們經常會遇到新軟件。用戶必須不斷作出是否該運行未知軟件的決定。病毒和特洛伊木馬經常故意地偽裝自己以騙得用戶的運行。要用戶做出安全的選擇是非常困難的。所以我們可以啟用軟件限制策略來幫助用戶選擇。

一、.軟件限制策略概述

在系統安全方面，有人曾說，如果把 HIPS （Host-based Intrusion Prevention System ，基于主機的入侵防御系統）用的很好，就可以告別殺毒軟件了。其實，在Windows中，如果能將組策略中的“軟件限制策略”使用的很好，再結合NTFS權限和注冊表權限限制，依然可以很淡定的告別殺毒軟件。另一方面，由于組策略是原生于系統之上的，可能在底層與操作系統無縫結合，于是不會產生各種兼容性問題或者產生 CPU 占用過高、內存消耗太大等問題。從這一點來看，組策略中的“軟件限制策略”才算是最好的系統管理利器。

二.部署軟件限制策略

軟件限制策略的功能描述：軟件限制策略，目的是通過標識或指定應用程序，實現控制應用程序運行的功能，使得計算機環境免受不可信任的代碼的侵擾。通過制定散列規則、證書規則、路徑規則和網絡區域規則，則可使得程序可以在策略中得到標識，其中，路徑規則在配置和應用中顯得更加靈活。將軟件限制策略應用于下列用戶： 除本地管理員以外的所有用戶。啟用限制策略在默認情況下，組策略中的“軟件限制策略”是處在關閉狀態的。通過以下步驟我們來啟用它：

1. 打開組策略編輯器：gpedit.msc

2.將樹目錄定位至：計算機配置 -> Windows 設置 -> 安全設置 -> 軟件限制策略

3.在“軟件限制策略”上點擊右鍵，點選“創建軟件限制策略”創建成功之后，組策略編輯窗口中會顯示相關配置條目。

三.配置軟件限制策略

使用軟件限制策略，通過標識并指定允許哪些應用程序運行，可以保護您的計算機環境免受不可信任的代碼的侵擾。通過哈希規則、證書規則、路徑規則和Internet區域規則，應用程序可以在策略中得到標識。默認情況下，軟件可以運行在兩個級別上：“不受限制的”與“不允許的”。目前主要用到的是路徑規則和散列規則，而路徑規則則是這些規則中使用最為靈活的。

1.哈希規則

散列是唯一標識程序或文件的一系列定長字節。散列按散列算法算出來。軟件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根據文件的散列對其進行標識。重命名的文件或移動到其他文件夾的文件將產生同樣的散列。例如，可以創建散列規則并將安全級別設為“不允許的”以防止用戶運行某些文件。文件可以被重命名或移到其他位置并且仍然產生相同的散列。但是，對文件的任何篡改都將更改其散列值并允許其繞過限制。軟件限制策略將只識別那些已用軟件限制策略計算過的散列。

部署哈希規則安全策略

1）單擊開始，單擊運行，鍵入 mmc，然后單擊確定。

2）打開軟件限制策略。

3）在控制臺樹或詳細信息窗格中，右鍵單擊其他規則，然后單擊新建哈希規則。4. 單擊瀏覽找到文件，或者將預先計算好的哈希值粘貼到文件哈希框中。

4）在安全級別框中，單擊不允許或無限制。

5）在描述框中，鍵入對此規則的說明，然后單擊確定。

2.數字證書

數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。它是由權威機構——CA機構，又稱為證書授權（Certificate Authority）中心發行的，人們可以在網上用它來識別對方的身份。軟件限制策略可以通過其簽名證書來標識文件。證書規則不能應用到帶有 .exe 或 .dll 擴展名的文件。它們可以應用到腳本和 Windows 安裝程序包。可以創建標識軟件的證書，然后根據安全級別的設置，決定是否允許軟件運行。

部署證書規則安全策略

1）單擊開始，單擊運行，鍵入 mmc，然后單擊確定。

2）打開軟件限制策略。

3）在控制臺樹或詳細信息窗格中，右鍵單擊其他規則，然后單擊新建證書規則。

4）單擊瀏覽，然后選擇證書。

5）選擇安全級別。在描述框中，鍵入對此規則的說明，然后單擊確定。

3.網絡區域規則安全策略概論

Internet Explorer 將所有網站分配到以下四個安全區域之一：Internet、本地 Intranet、受信任的站點或受限制的站點。網站所分配至的區域指定了用于該站點的安全設置。

Internet：默認情況下，Internet 區域的安全設置級別適用于所有網站。該區域的安全級別設置為“中高”（但可將其更改為“中”或“高”）。僅未使用安全設置的網站是位于本地 Intranet 區域的站點，或者是已明確進入受信任的或受限的站點區域的站點。

本地 Intranet：本地 Intranet 區域的安全設置級別適用于存儲在企業或商務網絡的網站和內容。本地 Intranet 區域的安全級別設置為“中”（但可將其更改為任何級別）。

受信任的站點：受信任的站點的安全設置級別適用于已明確指定信任其不會損壞計算機或信息的站點。受信任的站點的安全級別設置為“中”（但可將其更改為任何級別）。

受限制的站點：受限制的站點的安全設置級別適用于可能損壞計算機或信息的站點。將站點添加到受限制的區域不會阻止這些站點，但可用阻止站點使用腳本或任何活動內容。受限制的站點的安全級別設置為“高”并且無法更改。

四、總結

通常來說，不同的情況需要選擇不同的規則。四類規則按照優先級的高低順序排列，依次是：哈希規則、證書規則、路徑規則、網絡區域規則，高優先級規則的設置會覆蓋低優先級規則的設置。對于同一種規則，“禁止”要優先于“允許”，例如對某個軟件，我們無意中使用某種規則（例如哈希規則）同時創建了禁止運行和允許運行這兩條規則，那么最終的結果是系統禁止該程序運行。

作者簡介：

張志浩 淄博職業學院信息工程系教師 職稱講師。endprint