type
status
date
slug
summary
tags
category
icon
password
AD域控软件限制策略、证书规则、哈希规则、网络区域规则和路径规则都是Windows操作系统中用于实施安全策略和访问控制的功能。它们的作用和区别如下:
- 软件限制策略:
- 作用:软件限制策略用于限制计算机上可以运行的软件程序,包括禁止或允许特定的软件程序执行。
- 区别:可以基于程序的文件路径、数字签名、哈希值等特征进行限制。
- 证书规则:
- 作用:证书规则用于基于数字证书来限制软件的安装和执行,确保软件的合法性和安全性。
- 区别:需要软件程序具备有效的数字证书,且必须在计算机上信任相关的根证书颁发机构。
- 哈希规则:
- 作用:哈希规则基于文件的哈希值(通常是SHA-1或SHA-256)来限制软件的安装和执行。
- 区别:通过计算文件的哈希值,确保软件程序的完整性和安全性。
- 网络区域规则:
- 作用:网络区域规则用于配置计算机在不同网络环境下的安全策略,包括防火墙规则、网络访问规则等。
- 区别:可以根据网络的安全性等级,对计算机的网络访问进行限制和控制。
- 路径规则:
- 作用:路径规则用于限制计算机上特定路径下的软件程序的执行。
- 区别:可以限制特定目录下的软件程序的执行权限,以加强对系统文件夹等关键目录的安全保护。
这些规则和策略可以帮助管理员实施细粒度的访问控制和安全管理,保护系统免受恶意软件和未经授权的程序的威胁。在实际应用中,根据安全需求和管理策略,可以结合使用这些规则和策略,以提高系统的安全性和稳定性。
方法一:软件限制策略
- 依次展开【计算机配置】-【Windows设置】-【软件限制策略】
- 【安全级别】-【不允许】
在默认情况下,系统默认为我们提供了三个安全级别:“不允许”、“基本用户”以及“不受限”。
不允许:不允许软件运行。
此级别不包含任何文件保护操作。只要用户的具有修改该文件的权限,即可对一个设定成“不允许”的文件进行读取、复制、粘贴、修改、删除等操作,组策略不会进行阻止。
不受限:允许软件在登录到计算机的用户的完全权限下运行。
此级别不等于完全不受限制,只是不受软件限制策略的附加限制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。
基本用户:允许程序访问一般用户可以访问的资源,但没有管理员的访问权。
基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。
在高级配置中,还有两个处于隐藏状态的安全级别供用户选择,我们可以通过修改注册表进行启用:
● 打开注册表编辑器:regedit.exe
● 定位注册表位置至:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建名为 Levels 的 DOWRD 项,其值为十六进制的 0x4131000(十进制为:1094791424)
注册表项创建完毕后重新打开组策略编辑器,可以看到另外两个级别此时可以显示出来。
受限:无论用户的访问权如何,软件都无法访问某些资源,如加密密钥和凭据。
比基本用户限制更多,但也享有“跳过遍历检查”的特权。
不信任:允许程序访问只对众所周知的组授权的资源,不允许访问管理员特权和个人授予的权利。
不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。
根据权限限制程度,对所有安全级别进行排序的顺序依次为:
- 【其他规则】-【新建哈希规则】-【下载QQ音乐的安装包】,导入进去
终端测试
方法二 :Windows安装程序规则
- 在组策略编辑器窗口中,找到“计算机配置”→“Windows设置”→“安全设置”→“应用程序控制策略”→“AppLocker”→“Windows安装程序规则”,然后右键单击右侧的空白,单击“创建新规则(N)
- 选择权限设置,选择操作单选以拒绝该应用程序,选择用户组(您可以在其中指定一个或所有用户),最后单击下一步按钮继续。
- 然后,单选路径类型,然后单击“下一步”按钮。
- 在路径中输入指定的磁盘根目录,例如:D:(执行此设置,只要不对D磁盘根目录执行软件安装操作),然后单击“创建”按钮。
- 此时将弹出一个警告提示窗口,单击“是”按钮继续。
- 此时D:路径拒绝所有人(所有用户)操作D的说明。
方法三:关闭Windows Installer
终端测试
移除本地管理员bat脚本
参考
- 作者:胡凯
- 链接:https://hukai.fun/article/8284b15c-a973-4eab-80db-b3bd28f5a72e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。