应用软件限制策略加强系统安全
前言:版块的“繁华”需要大家共同创造。[安全技术讨论]版块从“开张”到现在显得有些冷清,大家有空就经常进来讨论下相关问题,多发发贴吧,不要让本版块太寂寞了-_-|| 这样也可以促进大家共同进步。本文算是我学习软件限制策略的一个小总结吧,有的地方还没涉及到,因为能力有限,越往下研究越发感到自己的知识是多么肤浅......
下面的内容我参考了绝大部分关于软件限制策略以其Vista
中新增加的安全特性的相关文章,尽量做到准确。我相信也但愿您们能找出更多的问题来,如果有兴趣可以共同探讨。
软件限制策略是Windows2000
以后系统增加的一特性。通过软件限制策略,管理员可以控制软件在本机上的运行能力。合理利用软件软件限制策略,在一定程度上可以增强系统安全性。当然不能替代反毒软件、防火墙以其其他安全特性等。 由于Vista
系统中系统安全性有很大提高,其中包括软件限制策略的部分变更。下面我会分别指出Vista
和XP
系统在这方面的不同点。运行secpol.msc
打开“本地安全策略”,选择“软件限制策略”。如果之前没有配置,会出现图示:
附件:
您所在的用户组无法下载或查看附件
通过“操作”选择“创建软件限制策略”即可: 附件:
您所在的用户组无法下载或查看附件
默认“安全级别”有不允许的、基本用户(Vista
系统)、不受限的,xp
下没有基本用户。上面也解释了各个含义。可以通过修改注册表,增加额外的安全级别。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
下新建名为Levels
的DWORD
值,其数据与安全级别对应关系:
1000H(4096)增加不信任的
10000H(65536)增加受限的
20000H(131072)增加基本用户(针对XP,vsita下默认包含)
注:H表示数据为十六进制,括号中的是对应的十进制数据,实际在注册表中添加时不要带H。通过数据相加可以得到多个安全级别。如添加H110000(=H01000+H10000)可以同时添加不信任的与受限的,添加H31000可以添加不信任的,受限的以及基本用户。
软件限制策略中标志软件的四条规则:
1.
哈希规则/散列规则(Hash Rule):使用可执行文件的加密指印。仅针对特定的文件。XP系统中文件散列由3部分组成:MD5 或 SHA-1 哈希值、文件长度、哈希算法ID编号。
哈希规则的格式如下所示:
[MD5 或SHA1 哈希值]:[文件长度]:[哈希算法 ID]如哈希规则中添加level.txt,文件散列显示为:
1456f5cc7728e474b312368bd4886d98:87:32771
可以看出该文件MD5为:1456f5cc7728e474b312368bd4886d98
文件长度:87字节
哈希算法ID:32771
如下图示:
附件:
您所在的用户组无法下载或查看附件用别的工具检验下该文件:
附件:
您所在的用户组无法下载或查看附件
是相符的。
在Vista系统中,支持SHA256算法,并且不显示文件散列:
附件:
您所在的用户组无法下载或查看附件2.证书规则证书规则指定代码签名软件发布者的证书。证书规则是一种非常有效的标识软件的方法,因为它使用已签名文件的签名中包含的已签名哈希来匹配文件,而不管文件的名称或位置如何。
添加证书规则步骤:先导出文件证书,然后再添加进去。下面以IE
示例:进入C:\Program Files\Internet Explorer
,右键iexplore.exe
选择属性——数字签名——详细信息——查看证书——详细信息——复制到文件,然后一直下一步就行了,中间选择证书保存路径。添加规则时右键控制台左侧“其他规则”选择新建证书规则即可,通过“浏览”添加证书: 附件:
您所在的用户组无法下载或查看附件在Vista
系统中默认是忽略证书规则的,这可以在“强制”中设置,勾选“执行证书规则”:
附件: 您所在的用户组无法下载或查看附件
[img]file:///C:/Users/backway/AppData/Local/Temp/moz-screenshot.png[/img]
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)
