Windows XP 客户端的软件限制策略三
管理员可能要禁止大多数用户运行某些程序,但允许管理员运行所有这些程序。例如,管理员可能有一台多个用户通过终端服务器连接的共享计算机。管理员希望用户只运行计算机上的特定应用程序,但希望本地 Administrators 组中的成员能够运行所有程序。可以使用“跳过管理员”强制选项来执行此操作。
如果在链接到 Active Directory 中的对象的 GPO 中创建了软件限制策略(而不是使用“跳过管理员”选项),则 Microsoft 建议拒绝将此 GPO 上的“应用组策略”权限授予 Administrators 组。因为未下载不应用于管理员的 GPO 设置,因此这将降低网络通信量。
注意:本地安全策略对象中定义的软件限制策略无法过滤用户组。这种情况下,请使用“跳过管理员”选项。
要打开“跳过管理员”选项,请执行下列操作:
在上图 6.9 中的“强制属性”对话框中,选择“除本地管理员以外的所有用户”。
定义可执行文件
下图 6.10 中的“指派的文件类型属性”对话框中列出了软件限制策略控制的文件类型。指派的文件类型被视为可执行文件。例如,屏幕保护文件 (。scr) 便被视为可执行文件,因为在 Windows 资源管理器中双击该文件时,它将作为程序加载。
软件限制策略规则只适用于“指派的文件类型属性”对话框中列出的文件类型。如果环境使用要应用规则的文件类型,请将该文件类型添加到列表中。例如,对于 Perl 脚本文件,可以选择将 .pl 以及其他与 Perl 引擎关联的文件类型添加到位于“指派的文件类型属性”对话框中“常规”选项卡下的“指定的文件类型:”列表中。
图 6.10
“指派的文件类型属性”对话框
本示例删除了文件类型 .mdb,并添加了 .ocx.下表列出了指派的文件类型。
表 6.3:指派的文件类型
文件扩展名 文件描述 。ade Microsoft Access 项目扩展名 。adp Microsoft Access 项目 。bas Visual Basic 类模块 。bat 批处理文件。chm已编译的 HTML 帮助文件 。cmd Windows NT 命令脚本。com MS-DOS应用程序 。cpl 控制面板扩展名 。crt 安全证书。exe 应用程序 。hlp Windows 帮助文件 。hta HTML 应用程序。inf 安装信息文件 。ins Internet 通信设置 。isp Internet 通信设置 。js JScript 文件 。jse JScript编码的脚本文件。lnk 快捷方式。mde Microsoft Access MDE 数据库 。msc Microsoft Common Console 文档 。msi Windows Installer 程序包 。msp Windows Installer 修补程序。mst Visual 测试源文件。ocx ActiveX控件。pcd Photo CD 图像 。pif MS-DOS 程序的快捷方式 。reg 注册表项 。scr 屏幕保护程序 。sct Windows 脚本组件 。shs 外壳片段对象 。url Internet 快捷方式(统一资源定位器)。vb VB 文件。vbe VBScript 编码的脚本文件 。vbs VBScript 脚本文件 。wsc Windows 脚本组件 。wsf Windows 脚本文件 。wsh Windows 脚本主机设置文件
已知问题
如果将软件限制策略配置为限制 16 位程序(如 command.com 或 edit.com),用户仍然可以启动该程序,即使他们没有运行该程序的权限。要解决此问题,可以在环境中的客户端上安装 Windows XP Professional Service Pack 1.ww.()
软件限制策略不禁止代码在 Microsoft Win32子以外运行。例如,用户可以从便携操作接口 (POSIX) 子运行同一命令。
要阻止这种情况的发生,请通过删除下列 POSIX 值来关闭 POSIX 子:
HKLM/System/CurrentControlSet/Control/SessionManager/Subsystems
受信任的出版商
可以使用“受信任的出版商属性”对话框来配置哪些用户可以选择受信任的出版商。还可以确定在信任发布者之前执行哪些证书吊销检查(如果存在)。启用证书规则后,软件限制策略将检查证书吊销列表 (CRL),以确保软件的证书和签名有效。这也会造成签名程序启动时性能的下降。使用下图 6.11 中显示的“受信任的出版商属性”对话框中“常规”选项卡下的选项,可以配置与 ActiveX 控件以及其他签名内容相关的设置。
图 6.11
“受信任的出版商属性”对话框
下表显示了与 ActiveX 控件以及其他签名内容相关的受信任发布者选项。
表 6.4:受信任发布者的任务和设置
设置名称 任务 企业管理员 用于只允许企业管理员进行有关签名活动内容的决策。 本地计算机管理员 用于允许本地计算机管理员进行有关签名活动内容的所有决策。 最终用户 用于允许用户进行有关签名活动内容的决策。发布者 用于确保软件发布者使用的证书未被吊销。 时间戳 用于确保组织用于对活动内容加时间戳的证书未被吊销。
软件限制策略的设计和部署
本部分介绍了如何使用组策略管理单元来管理软件限制策略,首次编辑策略时的注意事项,以及如何将软件限制策略应用于用户组。此外,还介绍了在部署软件限制策略时要考虑的各种问题。
与组策略集成
可以对一组客户端以及登录到客户端的所有用户使用组策略管理单元来管理软件限制策略。该策略将应用于本指南中定义的台式计算机和便携式计算机 OU.
域
管理员应为软件限制策略创建一个单独的 GPO.这样可以删除组策略而不破坏应用于该对象的其他策略。
本地必须为环境中的独立客户端配置一个本地策略。注意,在配置和复制了本地策略之后可能会出现冲突。
设计策略本部分概述了在设计和部署软件限制策略时要执行的步骤。设计策略需要作出几项决策,下表将对此进行详细说明。
表 6.5:要进行的重要策略设计决策
决策 要考虑的因素 便携式计算机或工作站。 考虑环境中移动用户的需求,以便确定便携式计算机是否需要与台式计算机不同的策略。便携式计算机通常比台式计算机需要更大的灵活性。 服务器共享、登录脚本和主驱动器。 需要为从服务器共享目录或主目录启动的任何应用程序定义一个路径规则。可以向路径规则添加登录脚本文件。如果脚本调用任何其他脚本,还应向路径规则中添加可执行文件的位置。 GPO 或本地安全策略。 本指南为此设计使用了 GPO,但您应该考虑本地策略对设计的影响。 用户或客户端策略。 此设计适用于客户端级的所有设置。 默认安全级别 建议将默认设置配置为“不允许的”,然后相应地配置策略的其余部分。也可以使用默认设置“不受限的”。 其他规则 使用默认策略“不允许的”时,需要根据需要应用其他操作路径规则。在“不允许的”配置中,自动创建了四个规则。 策略选项
如果正在使用本地安全策略,并且不希望该策略应用于环境中客户端上的管理员,请选择策略强制选项“跳过管理员”。
如果除了可执行文件和脚本以外,还要检查 DLL,请选择策略强制选项“DLL 检查”。
如果要在指派文件类型默认列表以外的文件类型上建立规则,请使用该选项根据需要将这些文件类型添加到“指派的文件类型属性”对话框中。
如果要更改可以对下载 ActiveX 控件和其他签名内容作出决策的用户,请选中“受信任的出版商属性”对话框中“常规”选项卡下的“发布者”的复选框。
将策略应用于站点、域或 OU. 该决策将驻留在台式计算机和便携式计算机所在的 OU 之下。最佳操作
Microsoft 建议为软件限制策略创建一个单独的 GPO,以便在紧急情况下需要禁用该策略时,它不会影响域策略或本地策略的其余部分。
此外,如果您在 OU 的设计阶段使用软件限制策略意外地锁定了工作站,则可以在“安全模式”下重新启动计算机,并以本地管理员的身份登录,然后修改该策略。在“安全模式”下启动 Windows 时将不应用软件限制策略。在“安全模式”下启动计算机后,请运行 gpupdate.exe,然后重新启动计算机。
为了获得最大安全性,请将 ACL 与软件限制策略一同使用。用户可能会重命名或移动不允许的文件,或覆盖不受限的文件,以此来尝试跳过软件限制策略。为了防止发生这种情况,请使用 ACL 拒绝授予用户执行这些操作的权限。
登录脚本通常位于域控制器或中央服务器上的 Sysvol 下。域控制器通常可以随每次登录而更改。如果默认规则设置为“不允许的”,请确保创建用于标识登录脚本位置的规则。如果登录服务器具有相似的名称,可考虑使用通配符来定位它们,或使用具有不受限设置的登录脚本名称。
注意:在将新的软件限制策略设置应用于域之前,应在整个测试环境中对其进行测试。新策略设置的行为可能与最初的预计行为不符。通过测试可以减少在网络中部署软件限制策略设置时遇到问题的可能性。
过程演练
以下步骤将指导您完成设计软件限制策略,并将其作为 GPO 应用于环境中的便携式计算机和台式计算机的全部过程。
步骤 1:为 OU 创建 GPO
找到为环境中的台式计算机或便携式计算机创建的 OU.如果在独立客户端上工作,则设置位于本地计算机策略中。在此策略中,单击“属性”,然后新建一个 GPO.根据组织的命名约定来命名策略。注意,此策略将只用于强制实施软件限制。
步骤 2:设置软件限制策略
突出显示此 GPO,然后单击“编辑”。遍历该树,直到找到“Windows 设置”/“安全设置”/“软件限制策略”。首次编辑该策略时,您将看到下列消息:
未定义软件安全策略。
此消息警告您创建策略将定义默认值。这些默认值可能覆盖其他软件限制策略中的设置。由于尚未设置软件限制设置,因此将使用默认设置启动。右键单击“操作”菜单,然后选择“新建软件限制策略”。
步骤 3:设置路径规则
确定了工作站将拥有的应用程序和脚本后,便可以设置路径规则。某些程序将启动其他程序来执行任务。环境中的软件应用程序可能依赖于一个或多个支持程序。当前安装的软件上的清单和安装文档对于跟踪路径规则非常有用。工作站设计示例可能包括下列规则:
Applications = */Program Files
Shared Group Applications= g:/Group Applications
Logon script = Logon.bat
Desktop Shortcuts = *.lnk
Malicious VB Script =*.vbs
步骤 4:设置策略选项
下列内容包括此设计的建议设置。这些选项将改变数字签名文件的强制行为范围或 Authenticode 信任设置。
强制 - 如果计算机是域的组成部分,则确保 Domain Admins 组自动添加到 Administrators 组。
应用于用户 - 此选项包含除本地管理员以外的所有用户。使用此设置将延迟每个应用程序的启动。为弥补此不足,此设计将策略设置为不检查 DLL.
应用于文件 - 此选项包括除库(如 DLL)以外的所有软件文件。使用此设置将延迟每个应用程序的启动。为弥补此不足,此设计将策略设置为不检查 DLL.
指派的文件类型 - 对于本指南中定义的 GPO 设计,未向该列表中添加其他文件类型。实际上,可以根据需要添加自定义应用程序文件类型扩展,以使其遵守相同的规则。
受信任的出版商 - 对于本指南中定义的 GPO 设计,启用了“管理员”组,并选中了“受信任的出版商属性: 本地计算机管理员”选项。
信任发布者之前,在创建 GPO 的设计阶段选中“检查: 发布者”选项,以确保该策略将验证证书。
步骤 5:应用默认设置
最好将策略配置为默认设置“不受限的”。这样可以确保在应用软件限制前已完整配置了该策略。检查策略设置后,将默认设置重新设置为“不允许的”。
步骤 6:测试策略
如果计算机是域的一部分,请将该计算机移到应用该策略的 OU 容器中。重新启动测试计算机,然后登录到该计算机。测试计划应说明在应用策略后每个应用程序的运行方式。运行应用程序,以确保它们能够完全正常运行,并确保您能够访问它们的所有功能。验证应用程序的功能后,针对这些应用程序进行一次模拟攻击,以确保该策略没有安全漏洞。
如果计算机是独立客户端,请登录到测试计算机并执行测试计划。验证应用程序后,请再次启动模拟攻击,以确保该策略没有安全漏洞。
部署软件限制策略
全面测试该策略后,请将其应用于环境中的台式计算机 OU 或便携式计算机 OU.如果它是独立客户端,请将其应用于客户端上的本地计算机设置。打开 Computers and Users MMC 管理单元并遍历该目录,直到您找到台式计算机或便携式计算机的 OU 容器。然后,使用组策略对象编辑器创建新 GPO.编辑属性,并基于下表将相应设置应用于“Windows 设置”/“安全设置”下的“软件限制策略”。
表 6.6:安全级别
用户界面中的默认规则 说明 设置 不允许的 软件不会运行,无论用户拥有哪些访问权限。 使用此默认规则
路径规则 设置 %HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/SystemRoot%不受限的 %HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/SystemRoot%/*.exe 不受限的 %HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/SystemRoot%/System32/*.exe不受限的 %HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/ProgramFilesDir% 不受限的 *.lnk 不受限的 *.vbs 不受限的 G:/Group Applications 不受限的 Logon.bat或登录脚本不受限的 */Program Files 不受限的
表 6.8:对文件和用户强制实施策略
强制选项 建议 建议将软件限制策略应用于下列文件: 除 DLL 以外的所有软件文件。 将软件限制策略应用于下列用户: 除本地管理员以外的所有用户。
表 6.9:指派的文件类型
指派的文件类型 建议 指派的文件类型属性 删除 .mdb 并添加 .ocx.
表 6.10:受信任的出版商
受信任的出版商 建议允许下列用户组选择受信任的出版商: 本地计算机管理员 确定证书是否已被吊销。选择“发布者”选项。
摘要
软件限制策略为管理员提供了策略驱动的机制,用于标识和控制域中运行 Windows XP Professional 的计算机上的软件。可以创建策略来阻止恶意脚本,然后锁定环境中的计算机或禁止应用程序运行。在企业中,最好使用组策略对象 (GPO) 来管理软件限制策略,然后调整所创建的每个策略,使其满足组织中不同用户组和计算机的需求。Microsoft 建议不要尝试管理独立环境中的用户组。如果应用正确,软件限制策略将会提高完整性和可管理性,并从根本上降低组织中计算机操作的拥有和维护成本。
其他信息
以下是在发布 Windows Server 2003 时提供的最新信息源,其内容紧紧围绕 Windows XP Professional 和 Windows Server 2003 的软件限制策略。