应用程序权限的继承 (父子进程的权限继承)
IE浏览器的组策略设置
(与NTFS文件权限不同):
这里的讲解默认了一个前提:假设你的用户类型是管理员。
在还没有软件限制策略的情况下,
如果a启动b,那么a是b的父进程,b继承a的权限
现在把a设为基本用户,b不做限制(不对b设置规则)
然后由a启动b,那么b的权限继承于a,也是基本用户,即:
a(基本用户)---> b(不受限的) = b(基本用户)
若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即
a(不受限的)---> b(基本用户) = b(基本用户)
这就是说,一个程序所能获得的最终权限取决于:父进程权限和它自己的最低权限等级
特别注意,复制、创建文件等操作不会构成权限的继承(仅限进程之间的启动)
若我们把IE设成基本用户等级启动,
路径规则为:
C:\Program Files\Internet Explorer\iexplore.exe 受限的
那么由IE执行的任何程序的权限都将低于基本用户级。所以就可以达到防范网马的效果——即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只有尸体没机会运行。(理论上)
关于浏览器 见此处
http://bbs.ikaka.com/showtopic-8528742-3.aspx#9281804配合下列规则
*\Documents and Settings 不允许的
程序一般不会从Documents and Settings中启动
%APPDATA% 不允许的
当前用户的Application Data根目录限制
%APPDATA%\*\ 不受限的
允许程序从Application Data的子目录启动
%Temp% 不受限的
允许程序从Temp目录启动,安装软件必须
%TMP% 不受限的
允许程序从Temp目录启动,安装软件必须