Windows XP 客户端的软件限制策略三

　　管理员可能要禁止大多数用户运行某些程序，但允许管理员运行所有这些程序。例如，管理员可能有一台多个用户通过终端服务器连接的共享计算机。管理员希望用户只运行计算机上的特定应用程序，但希望本地 Administrators 组中的成员能够运行所有程序。可以使用“跳过管理员”强制选项来执行此操作。

　　如果在链接到 Active Directory 中的对象的 GPO 中创建了软件限制策略（而不是使用“跳过管理员”选项），则 Microsoft 建议拒绝将此 GPO 上的“应用组策略”权限授予 Administrators 组。因为未下载不应用于管理员的 GPO 设置，因此这将降低网络通信量。

　　注意：本地安全策略对象中定义的软件限制策略无法过滤用户组。这种情况下，请使用“跳过管理员”选项。

　　要打开“跳过管理员”选项，请执行下列操作：

　　在上图 6.9 中的“强制属性”对话框中，选择“除本地管理员以外的所有用户”。

　　定义可执行文件

　　下图 6.10 中的“指派的文件类型属性”对话框中列出了软件限制策略控制的文件类型。指派的文件类型被视为可执行文件。例如，屏幕保护文件 （。scr） 便被视为可执行文件，因为在 Windows 资源管理器中双击该文件时，它将作为程序加载。

　　软件限制策略规则只适用于“指派的文件类型属性”对话框中列出的文件类型。如果环境使用要应用规则的文件类型，请将该文件类型添加到列表中。例如，对于 Perl 脚本文件，可以选择将 .pl 以及其他与 Perl 引擎关联的文件类型添加到位于“指派的文件类型属性”对话框中“常规”选项卡下的“指定的文件类型：”列表中。

　　图 6.10

　　“指派的文件类型属性”对话框

　　本示例删除了文件类型 .mdb，并添加了 .ocx.下表列出了指派的文件类型。

　　表 6.3：指派的文件类型

　　如果将软件限制策略配置为限制 16 位程序（如 command.com 或 edit.com），用户仍然可以启动该程序，即使他们没有运行该程序的权限。要解决此问题，可以在环境中的客户端上安装 Windows XP Professional Service Pack 1.

　　软件限制策略不禁止代码在 Microsoft Win32子系统以外运行。例如，用户可以从便携操作系统接口 （POSIX） 子系统运行同一命令。

　　要阻止这种情况的发生，请通过删除下列 POSIX 值来关闭 POSIX 子系统：

　　HKLM\System\CurrentControlSet\Control\SessionManager\Subsystems

　　受信任的出版商

　　可以使用“受信任的出版商属性”对话框来配置哪些用户可以选择受信任的出版商。还可以确定在信任发布者之前执行哪些证书吊销检查（如果存在）。启用证书规则后，软件限制策略将检查证书吊销列表 （CRL），以确保软件的证书和签名有效。这也会造成签名程序启动时系统性能的下降。使用下图 6.11 中显示的“受信任的出版商属性”对话框中“常规”选项卡下的选项，可以配置与 ActiveX 控件以及其他签名内容相关的设置。

　　图 6.11

　　“受信任的出版商属性”对话框

　　下表显示了与 ActiveX 控件以及其他签名内容相关的受信任发布者选项。

　　表 6.4：受信任发布者的任务和设置

　　本部分介绍了如何使用组策略管理单元来管理软件限制策略，首次编辑策略时的注意事项，以及如何将软件限制策略应用于用户组。此外，还介绍了在部署软件限制策略时要考虑的各种问题。

　　与组策略集成

　　可以对一组客户端以及登录到客户端的所有用户使用组策略管理单元来管理软件限制策略。该策略将应用于本指南中定义的台式计算机和便携式计算机 OU.

　　域

　　管理员应为软件限制策略创建一个单独的 GPO.这样可以删除组策略而不破坏应用于该对象的其他策略。

　　本地必须为环境中的独立客户端配置一个本地策略。注意，在配置和复制了本地策略之后可能会出现冲突。

　　设计策略本部分概述了在设计和部署软件限制策略时要执行的步骤。设计策略需要作出几项决策，下表将对此进行详细说明。

　　表 6.5：要进行的重要策略设计决策

　　Microsoft 建议为软件限制策略创建一个单独的 GPO，以便在紧急情况下需要禁用该策略时，它不会影响域策略或本地策略的其余部分。

　　此外，如果您在 OU 的设计阶段使用软件限制策略意外地锁定了工作站，则可以在“安全模式”下重新启动计算机，并以本地管理员的身份登录，然后修改该策略。在“安全模式”下启动 Windows 时将不应用软件限制策略。在“安全模式”下启动计算机后，请运行 gpupdate.exe，然后重新启动计算机。

　　为了获得最大安全性，请将 ACL 与软件限制策略一同使用。用户可能会重命名或移动不允许的文件，或覆盖不受限的文件，以此来尝试跳过软件限制策略。为了防止发生这种情况，请使用 ACL 拒绝授予用户执行这些操作的权限。

　　登录脚本通常位于域控制器或中央服务器上的 Sysvol 下。域控制器通常可以随每次登录而更改。如果默认规则设置为“不允许的”，请确保创建用于标识登录脚本位置的规则。如果登录服务器具有相似的名称，可考虑使用通配符来定位它们，或使用具有不受限设置的登录脚本名称。

　　注意：在将新的软件限制策略设置应用于域之前，应在整个测试环境中对其进行测试。新策略设置的行为可能与最初的预计行为不符。通过测试可以减少在网络中部署软件限制策略设置时遇到问题的可能性。

　　过程演练

　　以下步骤将指导您完成设计软件限制策略，并将其作为 GPO 应用于环境中的便携式计算机和台式计算机的全部过程。

　　步骤 1：为 OU 创建 GPO

　　找到为环境中的台式计算机或便携式计算机创建的 OU.如果在独立客户端上工作，则设置位于本地计算机策略中。在此策略中，单击“属性”，然后新建一个 GPO.根据组织的命名约定来命名策略。注意，此策略将只用于强制实施软件限制。

　　步骤 2：设置软件限制策略

　　突出显示此 GPO，然后单击“编辑”。遍历该树，直到找到“Windows 设置”\“安全设置”\“软件限制策略”。首次编辑该策略时，您将看到下列消息：

　　未定义软件安全策略。

　　此消息警告您创建策略将定义默认值。这些默认值可能覆盖其他软件限制策略中的设置。由于尚未设置软件限制设置，因此将使用默认设置启动。右键单击“操作”菜单，然后选择“新建软件限制策略”。

　　步骤 3：设置路径规则

　　确定了工作站将拥有的应用程序和脚本后，便可以设置路径规则。某些程序将启动其他程序来执行任务。环境中的软件应用程序可能依赖于一个或多个支持程序。当前安装的软件上的清单和安装文档对于跟踪路径规则非常有用。工作站设计示例可能包括下列规则：

　　Applications = *\Program Files

　　Shared Group Applications= g：\Group Applications

　　Logon script = Logon.bat

　　Desktop Shortcuts = *.lnk

　　Malicious VB Script =*.vbs

　　步骤 4：设置策略选项

　　下列内容包括此设计的建议设置。这些选项将改变数字签名文件的强制行为范围或 Authenticode 信任设置。

　　强制 - 如果计算机是域的组成部分，则确保 Domain Admins 组自动添加到 Administrators 组。

　　应用于用户 - 此选项包含除本地管理员以外的所有用户。使用此设置将延迟每个应用程序的启动。为弥补此不足，此设计将策略设置为不检查 DLL.

　　应用于文件 - 此选项包括除库（如 DLL）以外的所有软件文件。使用此设置将延迟每个应用程序的启动。为弥补此不足，此设计将策略设置为不检查 DLL.

　　指派的文件类型 - 对于本指南中定义的 GPO 设计，未向该列表中添加其他文件类型。实际上，可以根据需要添加自定义应用程序文件类型扩展，以使其遵守相同的规则。

　　受信任的出版商 - 对于本指南中定义的 GPO 设计，启用了“管理员”组，并选中了“受信任的出版商属性： 本地计算机管理员”选项。

　　信任发布者之前，在创建 GPO 的设计阶段选中“检查： 发布者”选项，以确保该策略将验证证书。

　　步骤 5：应用默认设置

　　最好将策略配置为默认设置“不受限的”。这样可以确保在应用软件限制前已完整配置了该策略。检查策略设置后，将默认设置重新设置为“不允许的”。

　　步骤 6：测试策略

　　如果计算机是域的一部分，请将该计算机移到应用该策略的 OU 容器中。重新启动测试计算机，然后登录到该计算机。测试计划应说明在应用策略后每个应用程序的运行方式。运行应用程序，以确保它们能够完全正常运行，并确保您能够访问它们的所有功能。验证应用程序的功能后，针对这些应用程序进行一次模拟攻击，以确保该策略没有安全漏洞。

　　如果计算机是独立客户端，请登录到测试计算机并执行测试计划。验证应用程序后，请再次启动模拟攻击，以确保该策略没有安全漏洞。

　　部署软件限制策略

　　全面测试该策略后，请将其应用于环境中的台式计算机 OU 或便携式计算机 OU.如果它是独立客户端，请将其应用于客户端上的本地计算机设置。打开 Computers and Users MMC 管理单元并遍历该目录，直到您找到台式计算机或便携式计算机的 OU 容器。然后，使用组策略对象编辑器创建新 GPO.编辑属性，并基于下表将相应设置应用于“Windows 设置”\“安全设置”下的“软件限制策略”。

　　表 6.6：安全级别

　　表 6.8：对文件和用户强制实施策略

　　表 6.9：指派的文件类型

　　表 6.10：受信任的出版商

　　摘要

　　软件限制策略为管理员提供了策略驱动的机制，用于标识和控制域中运行 Windows XP Professional 的计算机上的软件。可以创建策略来阻止恶意脚本，然后锁定环境中的计算机或禁止应用程序运行。在企业中，最好使用组策略对象 （GPO） 来管理软件限制策略，然后调整所创建的每个策略，使其满足组织中不同用户组和计算机的需求。Microsoft 建议不要尝试管理独立环境中的用户组。如果应用正确，软件限制策略将会提高完整性和可管理性，并从根本上降低组织中计算机操作系统的拥有和维护成本。

　　其他信息

　　以下是在发布 Windows Server 2003 时提供的最新信息源，其内容紧紧围绕 Windows XP Professional 和 Windows Server 2003 的软件限制策略。