Internet区域规则
区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。
以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况下列表中的文件类型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ,所以对于正常的非可执行的文件,例如TXT JPG GIF这些是不受影响的,如果你认为还有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者你认为哪些扩展无威胁,也可以将其删除。
安全级别(深度系统下载)
对于软件限制策略,默认情况下,系统为我们提供了两个安全级别:“不受限的”和“不允许的”
注:
“不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限“不受限的”级别不等于完全不受限制,只是不受软件限制策略的附加限制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。
但实际上,还有三个级别在默认情况是隐藏掉的,我们可以通过手动修改注册表来开启其它的三个级别,打开注册表编辑器,展开至:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
SaferCodeIdentifiers
新建一个DOWRD,命名为Levels,其值为 0x4131000(十六十制的4131000)
创建完毕后重新打开gpedit.msc,我们会看到另外三个级别此时已经开启了。
不受限的
最高权限,但其也并不是完全的不受限,而是“软件访问权由用户的访问权来决定”,即继承父进程的权限。
基本用户
基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。
受限的
比基本用户限制更多,但也享有“跳过遍历检查”的特权。
不信任的
不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。
不允许的
无条件地阻止程序执行或文件被打开
根据权限大小可以排序为:不受限的>基本用户>受限的>不信任的>不允许的
3、软件限制策略的优先权(深度系统下载)
一个特定的程序可以有多个不同的规则适用,为此,可以按下列优先权顺序来使用这些规则。优先权按从高到低的顺序排列如下:
散列规则>证书规则>路径规则> Internet区域规则
如果存在多个路径规则冲突,则最具限制性的规则占有优先权。总的原则就是:规则越匹配越优先。
例如:
C:WindowsSystem32Taskmgr.exe C:WindowsSystem32*.exe *.exe
C:WindowsSystem32
C:Windows
本例是按优先权从高到低排列的。从这里我们可以看出:
绝对路径>通配符路径
文件名规则>目录规则
对于同样是目录规则的,则目录数匹配越多就越优先。
如果同时存在两个相似的规则,则最具限制性的规则优先权最高。例如,如果 C:Windows 上有一个路径规则,其安全级别为“不允许的”,而 %windir% 上也有一个路径规则,其安全级别为“不受限制的”,则会采用最具限制性的规则,即“不允许的”。
