2023年12月12日發(fā)(作者:項目方案)
-
來賓賬戶(guest)或者受限用戶(ur)的權(quán)限設(shè)置
當你的電腦經(jīng)常需要被別人使用,但是你又不希望別人看你的某些重要文件或者不允許別人運行某些應(yīng)用程序或者擔(dān)心自己系統(tǒng)某些重要參數(shù)被修改時��,你可以先以管理員身份登錄Windows系統(tǒng)�,參照以下幾條作相應(yīng)設(shè)置,然后開通來賓賬戶或者新建一個普通ur賬戶(不是管理員,而是受限用戶),讓別人用這個賬戶登錄系統(tǒng),這時你就可以放心你的電腦任意讓別人折騰����。
一��、限制用戶對文件的訪問權(quán)限
如果程序所在的磁盤分區(qū)文件系統(tǒng)為NTFS格式,管理員賬戶可以利用NTFS文件系統(tǒng)提供的文件和文件夾安全選項控制用戶對程序及文件的訪問權(quán)限。通常情況下��,一個應(yīng)用程序安裝到系統(tǒng)后��,本地計算機的所有賬戶都可以訪問并運行該應(yīng)用程序���。如果取消分配給指定用戶對該應(yīng)用程序或文件夾的訪問權(quán)限�����,該用戶也就失去了運行該應(yīng)用程序的能力。
例如,要禁止受限用戶運行Outlook Express應(yīng)用程序,可以進行如下的操作:
(1)�����、以administrator賬戶登錄系統(tǒng)��,如果當前系統(tǒng)啟用了簡單文件共享選項,需要將該選項關(guān)閉�����。具體做法是���,在Windows瀏覽器窗口點擊“工具”菜單下的“文件夾選項”���,點擊“查看”選項頁����,取消“使用簡單文件共享”選項的選擇,點擊“確定”�����。
(2)����、打開Program Files文件夾,選中Outlook Express文件夾并單擊右鍵��,選擇“屬性”。
(3)���、點擊“安全”選項頁,可以看到Urs組的用戶對該文件夾具有讀取和運行的權(quán)限�,點擊“高級”�。
(4)�����、取消“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目�,包括那些再次明確定義的項目”選項的選擇�����,在彈出的提示信息對話框,點擊“復(fù)制”�,此時可以看到用戶所具有的權(quán)限改為不繼承的���。
(5)�����、點擊“確定”,返回屬性窗口���,在“用戶或組名稱”列表中,選擇Urs項目���,點擊“刪除”,點擊“確定”����,完成權(quán)限的設(shè)置�。
要取消指定用戶對文件或程序的訪問限制�����,需要為文件或文件夾添加指定的用戶或組并賦予相應(yīng)的訪問權(quán)限�����。
這種方法允許管理員針對每個用戶來限制他訪問和運行指定的應(yīng)用程序的權(quán)限。但是這需要一個非常重要的前提�,那就是要求應(yīng)用程序所在的分區(qū)格式為NTFS��,否則,一切都無從談起��。
對于FAT/FAT32格式的分區(qū)���,不能應(yīng)用文件及文件夾的安全選項�����,我們可以通過設(shè)置計算機的策略來禁止運行指定的應(yīng)用程序。
二、啟用“不要運行指定的Windows應(yīng)用程序”策略
在組策略中有一條名為“不要運行指定的Windows應(yīng)用程序”策略�����,通過啟用該策略并添加相應(yīng)的應(yīng)用程序��,就可以限制用戶運行這些應(yīng)用程序���。設(shè)置方法如下:
(1)�、在“開始”“運行”處執(zhí)行命令�����,啟動組策略編輯器��,或者運行mmc命令啟動控制臺,并將“組策略”管理單元加載到控制臺中;
(2)、依次展開“?本地計算機?策略”“用戶設(shè)置”“管理模板”��,點擊“系統(tǒng)”�����,雙擊右側(cè)窗格中的“不要運行指定的Windows應(yīng)用程序”策略����,選擇“已啟用”選項,并點擊“顯示”��。
(3)���、點擊“添加”�,輸入不運行運行的應(yīng)用程序名稱�,如命令提示符,點擊“確定”,此時,指定的應(yīng)用程序名稱添加到禁止運行的程序列表中���。
(4)、點擊“確定”返回組策略編輯器,點擊“確定”�,完成設(shè)置�。 當用戶試圖運行包含在不允許運行程序列表中的應(yīng)用程序時����,系統(tǒng)會提示警告信息。把不允許運行的應(yīng)用程序復(fù)制到其他的目錄和分區(qū)中,仍然是不能運行的�。要恢復(fù)指定的受限程序的運行能力�,可以將“不要運行指定的Windows應(yīng)用程序”策略設(shè)置為“未配置”或“已禁用”����,或者將指定的應(yīng)用程序從不允許運行列表中刪除(這要求刪除后列表不會成為空白的)。
這種方式只阻止用戶運行從Windows資源管理器中啟動的程序,對于由系統(tǒng)過程或其他過程啟動的程序并不能禁止其運行�。該方式禁止應(yīng)用程序的運行�����,其用戶對象的作用范圍是所有的用戶,不僅僅是受限用戶����,Administrators組中的賬戶甚至是內(nèi)建的administrator帳戶都將受到限制���,因此給管理員帶來了一定的不便�。當管理員需要執(zhí)行一個包含在不允許運行列表中的應(yīng)用程序時�,需要先通過組策略編輯器將該應(yīng)用程序從不運行運行列表中刪除,在程序運行完成后,再將該程序添加到不允許運行程序列表中����。需要注意的是����,不要將組策略編輯器()添加到禁止運行程序列表中����,否則會造成組策略的自鎖�,任何用戶都將不能啟動組策略編輯器,也就不能對設(shè)置的策略進行更改��。
提示:如果沒有禁止運行“命令提示符”程序的話���,用戶可以通過cmd命令�����,從“命令提示符”運行被禁止的程序��,例如,將記事本程序()添加不運行列表中�����,通過XP的桌面運行該程序是被限制的���,但是在“命令提示符”下運行notepad命令���,可以順利的啟動記事本程序���。因此��,要徹底的禁止某個程序的運行�����,首先要將添加到不允許運行列表中。
三���、設(shè)置軟件限制策略
軟件限制策略是本地安全策略的一個組成部分,管理員通過設(shè)置該策略對文件和程序進行標識�����,將它們分為可信任和不可信任兩種�����,通過賦予相應(yīng)的安全級別來實現(xiàn)對程序運行的控制�。這個措施對于解決未知代碼和不可信任代碼的可控制運行問題非常有效�。軟件設(shè)置策略使用兩個方面的設(shè)置對程序進行限制:安全級別和其他規(guī)則。
安全級別分為“不允許的”和“不受限制的”兩種����。其中���,“不允許的”將禁止程序的運行�,不論用戶的權(quán)限如何���;“不受限的”允許登錄用戶使用他所擁有的權(quán)限來運行程序�。
其它規(guī)則,即由管理員通過制定規(guī)則對指定的一批或一個文件和程序進行標識����,并賦予“不允許的”或“不受限的”安全級別�。在這個部分中���,管理員可以制定四種類型的規(guī)則�����,按照優(yōu)先級別分別是:散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則,這些規(guī)則將對文件的訪問和程序的運行提供最大限度的授權(quán)級別��。
軟件限制策略的設(shè)置
1��、訪問軟件限制策略
作為本地安全策略的一部分�,軟件限制策略同時也包含在組策略中�,這些策略的設(shè)置必須以administrator賬戶或Administrators組成員的身份登錄系統(tǒng)。軟件限制策略的訪問方式有兩種:
(1)、在“開始”“運行”處運行�,啟動本地安全策略編輯器�,在“安全設(shè)置”下可以看到“軟件限制策略”項目�����。
(2)��、在“開始”“運行”處運行,啟動組策略編輯器����,在“計算機設(shè)置”“Windows設(shè)置”“安全設(shè)置”下可以看到“軟件限制策略”�。
2�����、新建軟件限制策略
首次打開“軟件限制策略”時���,該項目是空的��。策略需要由管理員手動添加。方法是點擊“軟件限制策略”使其處于選中狀態(tài),點擊編輯器窗口“操作”菜單下的“新建一個策略”項目�����,此時可以看到“軟件限制策略”下增加了“安全級別”和“其它規(guī)則”以及三條屬性�����,如圖2所示。一旦執(zhí)行了新建策略操作后��,就不能再次執(zhí)行該操作��,并且這個策略也不能刪除��。
3��、設(shè)置默認的安全級別
新建軟件限制策略后,策略的默認安全級別為“不受限的”���,如果要更改默認的安全級別,需要在“安全級別”中進行設(shè)置�����,方法如下:
(1)���、打開“安全級別”�����,在右側(cè)窗格中��,可以看到有兩條設(shè)置,其中圖標中帶有一個小對號的設(shè)置為默認設(shè)置;
(2)、點擊不是默認值的那條設(shè)置����,單擊右鍵�����,選擇“設(shè)置為默認”項����。當設(shè)置“不允許的”為默認值時,系統(tǒng)會顯示一個提示信息對話框�,點擊“確定”即可�。
該步驟也可以雙擊非默認的設(shè)置���,在彈出的屬性窗口中�,點擊“設(shè)為默認值”。
4���、設(shè)置策略的作用范圍和對象
通過策略的“強制”屬性可以設(shè)置策略應(yīng)用的軟件文件是否包含庫文件以及作用的對象是否包含管理員賬戶。通常情況下���,為了避免引起系統(tǒng)不必要的問題以及便于對系統(tǒng)的管理,策略的作用范圍應(yīng)設(shè)置為不包含庫文件的所有軟體文件���,作用對象設(shè)置為除本地管理員外的所有用戶。設(shè)置的方法如下:
(1)��、單擊“軟件限制策略”��,雙擊右側(cè)窗格中的“強制”屬性項目�����;
(2)、選擇“除去庫文件(如Dll文件)以外的所有軟體文件”選項和“除本地管理員以外的所有用戶”選項���,單擊“確定”。
5�、制定規(guī)則
只通過安全級別的設(shè)置�,顯然不能很好的實現(xiàn)對文件和程序的控制����,必須通過制定合理的規(guī)則來標識那些禁止或允許運行的文件和程序,并進而實現(xiàn)對這些文件和程序的靈活控制���。上文中提到可制定規(guī)則的類型有四種:散列規(guī)則����、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則。它們標識文件以及制定規(guī)則的方法如下:
散列規(guī)則:利用散列算法計算出指定文件的散列��,這個散列是唯一標識該文件的一系列定長字節(jié)�。制定了散列規(guī)則后,用戶訪問或運行文件時,軟件限制策略會根據(jù)文件的散列及安全級別來允許或阻止對該文件進行訪問或運行。當文件移動或重命名����,不會影響文件的散列��,軟件限制策略對該文件依然有效。制定方法如下:
(1)、點擊“軟件限制策略”下的“其它規(guī)則”���,在“其他規(guī)則”上單擊右鍵����,或在右側(cè)窗格的空白區(qū)域單擊右鍵�����,選擇“新散列規(guī)則”���。
(2)�����、點擊“瀏覽”,指定要標識的文件或程序��,例如�����,確認后,在文件散列中可以看到計算出來的散列,在“安全級別”中選擇“不允許的”或“不受限的”,點擊“確定”,在“其它規(guī)則”中可以看到新增了一條類型為散列的規(guī)則。
證書規(guī)則:利用與文件或程序相關(guān)聯(lián)的簽名證書進行標識���。證書規(guī)則需要的證書可以是自簽名的、由證書頒發(fā)機構(gòu)(CA)頒發(fā)或是由Windows2000公鑰機構(gòu)發(fā)布�。證書規(guī)則不應(yīng)用于EXE文件和DLL文件���,它主要應(yīng)用于腳本和Windows安裝程序包�。當某個文件由其關(guān)聯(lián)的簽名證書標識后�,運行該文件時,軟件限制策略會根據(jù)該文件的安全級別來決定是否可以運行。文件的移動和更名不會對證書規(guī)則的應(yīng)用產(chǎn)生影響�����。制定證書規(guī)則時要求能夠訪問到用來標識文件的證書文件����,證書文件的擴展名為.CER。創(chuàng)建方法同散列規(guī)則。
路徑規(guī)則:利用文件或程序的路徑進行標識,該規(guī)則可以針對一個指定的文件、用通配符表示的一類文件或是某一路徑下的所有文件及子文件夾中的文件�����。由于標識是由路徑來完成的����,當文件移動或重命名時,路徑規(guī)則會失去作用。在路徑規(guī)則中�����,根據(jù)路徑范圍的大小���,優(yōu)先級別各有高低���,范圍越大�,優(yōu)先級越低����。通常路徑的優(yōu)先級從高到低為:指定的文件、帶路徑的以通配符表示的一類文件�����、通配符表示的一類文件����、路徑、上一級路徑�����。創(chuàng)建方法同散列規(guī)則����。
Internet區(qū)域規(guī)則:利用應(yīng)用程序下載的Internet區(qū)域進行標識���。區(qū)域主要包括:Internet��、本地Intranet、本地計算機�、受限制的站點��、受信任的站點。該規(guī)則主要應(yīng)用于Windows的安裝程序包����。創(chuàng)建方法同散列規(guī)則��。
6、維護可執(zhí)行代碼的文件類型 不論是那種規(guī)則����,它所影響的文件類型只有“指派的文件類型”屬性中列出的那些類型,這些類型是所有規(guī)則共享的���。某些情況下,管理員可能需要刪除或添加某種類型的文件���,以便規(guī)則能夠?qū)@類文件失去或產(chǎn)生作用,這就需要我們來維護“指派的文件類型”屬性����。方法如下:
(1)���、單擊“軟件限制策略”����,雙擊右側(cè)窗格中的“指派的文件類型”屬性項目�;
(2)、如果新增一種文件類型�����,在“文件擴展名”處輸入添加的擴展名�,點擊“添加”;如果要刪除一種文件類型�,單擊列表中的制定類型���,點擊“刪除”�����。
7、利用規(guī)則的優(yōu)先級靈活控制程序的運行
四種規(guī)則的優(yōu)先級從高到依次為:散列規(guī)則���、證書規(guī)則、路徑規(guī)則����、Internet區(qū)域規(guī)則。如果有超過一條以上的規(guī)則同時作用于同一個程序,那么優(yōu)先級最高的規(guī)則設(shè)定的安全級別將決定該程序是否能運行��。如果多于一條的同類規(guī)則作用于同一個程序�����,那么同類規(guī)則中最具限制力的規(guī)則將起作用��。這為我們提供了一條對程序的運行進行靈活控制的途徑。單一規(guī)則的作用效果雖然全面,但是也限制了我們所需要的那些部分,復(fù)合規(guī)則的綜合作用將產(chǎn)生諸如“除了我們需要的/不需要的以外,其他全部不允許/不受限制”這樣的效果,這也許才是我們真正需要的安全級別。
提示:軟件限制策略的生效需要注銷并重新登錄系統(tǒng)。如果在軟件限制策略中為一個程序制定了一條安全級別為“不受限的”規(guī)則���,而這個程序包含在“不要運行指定的Windows應(yīng)用程序”策略的不允許運行程序列表中�����,那么最終這個程序是不允許運行的。要取消對程序的限制,需要將相關(guān)的規(guī)則刪除:在“其他規(guī)則”中的規(guī)則列表中�����,在要刪除的規(guī)則上點擊右鍵�,選擇“刪除”即可。
上述三種限制程序運行的措施各有特點����。從限制的實現(xiàn)方法和效果來看���,限制用戶對文件的訪問權(quán)限可以讓管理員以Administartor賬戶身份對所有用戶的權(quán)限進行控制����,作用的范圍可以是所有類型的文件和文件夾,但是這種方法受到應(yīng)用環(huán)境的限制�。采取基于策略的措施,不論是啟用“不要運行指定的Windows應(yīng)用程序”策略還是設(shè)置軟件限制策略,對于要限制的用戶對象作用范圍來講都是用戶組,不能針對具體的用戶進行設(shè)置�,要么是所有的用戶�����,要么是除管理員組外的所有用戶。但是這些措施對系統(tǒng)環(huán)境的要求不高,在XP系統(tǒng)中都可以進行實施。另外���,基于策略的設(shè)置可以對計算機進行更加靈活的管理。特別是軟件限制策略允許管理員通過多種方式對程序進行標識,對于程序的運行具有很高的可控性�����。
-
