|
4、規(guī)則的權(quán)限分配及繼承
這里的講解的一個前提是:假設(shè)你的用戶類型是管理員���。
在沒有軟件限制策略的情況下���,如果程序a啟動程序b���,那么a是b的父進程,b繼承a的權(quán)限
現(xiàn)在把a設(shè)為基本用戶���,b不做限制(把b設(shè)為不受限或者不對b設(shè)置規(guī)則效果是一樣的)然后由a啟動b�����,那么b的權(quán)限繼承于a���,也是基本用戶,即:
a(基本用戶)-> b(不受限的) = b(基本用戶)
若把b設(shè)為基本用戶�����,a不做限制�����,那么a啟動b后��,b仍然為基本用戶權(quán)限��,即
a(不受限的)-> b(基本用戶) = b(基本用戶)
可以看到,一個程序所能獲得的最終權(quán)限取決于:父進程權(quán)限 和 規(guī)則限定的權(quán)限 的最低等級��,也就是我們所說的最低權(quán)限原則
舉一個例子:
若我們把IE設(shè)成基本用戶等級啟動�����,那么由IE執(zhí)行的任何程序的權(quán)限都將不高于基本用戶級別���,只能更低。所以就可以達到防范網(wǎng)馬的效果——即使IE下載病毒并執(zhí)行了�����,病毒由于權(quán)限的限制�,無法對系統(tǒng)進行有害的更改,如果重啟一下�����,那么病毒就只剩下尸體了���。
甚至��,我們還可以通過NTFS權(quán)限的設(shè)置���,讓IE無法下載和運行病毒��,不給病毒任何的機會�。
這里����,我們來看一下NTFS的權(quán)限(這里的權(quán)限是NTFS權(quán)限,與規(guī)則無關(guān))����。NTFS的所有權(quán)限如下:
遍歷文件夾/運行文件 (遍歷文件夾可以不管,主要是“運行文件”�����,若無此權(quán)限則不能啟動文件�����,相當(dāng)于AD的運行應(yīng)用程序)
允許或拒絕用戶在整個文件夾中移動以到達其他文件或文件夾的請求�,即使用戶沒有遍歷文件夾的權(quán)限(僅適用于文件夾)。
列出文件夾/讀取數(shù)據(jù)
允許或拒絕用戶查看指定文件夾內(nèi)文件名和子文件夾名的請求���。它僅影響該文件夾的內(nèi)容����,而不影響您對其設(shè)置權(quán)限的文件夾是否會列出
(僅適用于文件夾)。
讀取屬性
允許或拒絕查看文件中數(shù)據(jù)的能力(僅適用于文件)�。
讀取擴展屬性
允許或拒絕用戶查看文件或文件夾屬性(例如只讀和隱藏)的請求。屬性由 NTFS 定義����。
創(chuàng)建文件/寫入數(shù)據(jù)
“創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件(僅適用于文件夾)���!皩懭霐(shù)據(jù)”允許或拒絕對文件進行修改并覆蓋現(xiàn)有內(nèi)容的能力(僅
適用于文件)。
創(chuàng)建文件夾/追加數(shù)據(jù)
“創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請求(僅適用于文件夾)�����!白芳訑(shù)據(jù)”允許或拒絕對文件末尾進行更改而
不更改�、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力(僅適用于文件)�����。
寫入屬性
允許或拒絕用戶對文件末尾進行更改���,而不更改�、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請求(僅適用于文件)。 即寫操作
寫入擴展屬性
允許或拒絕用戶更改文件或文件夾屬性(例如只讀和隱藏)的請求�����。屬性由 NTFS 定義��。
刪除子文件夾和文件
允許或拒絕刪除子文件夾和文件的能力��,即使子文件夾或文件上沒有分配“刪除”權(quán)限(適用于文件夾)��。
刪除 (與上面的區(qū)別是�����,這里除了子目錄及其文件�,還包括了目錄本身)
允許或拒絕用戶刪除子文件夾和文件的請求,即使子文件夾或文件上沒有分配“刪除”權(quán)限(適用于文件夾)�。
讀取權(quán)限 (NTFS權(quán)限的查看)
允許或拒絕用戶讀取文件或文件夾權(quán)限(例如“完全控制”、“讀取”和“寫入”)的請求�。
更改權(quán)限 (NTFS權(quán)限的修改)
允許或拒絕用戶更改文件或文件夾權(quán)限(例如“完全控制”、“讀取”和“寫入”)的請求���。
取得所有權(quán)
允許或拒絕取得文件或文件夾的所有權(quán)����。文件或文件夾的所有者始終可以更改其權(quán)限,而不論用于保護該文件或文件夾的現(xiàn)有權(quán)限如何��。
在系統(tǒng)默認(rèn)的NTFS權(quán)限下��,基本用戶對于windows\program files目錄只有 遍歷文件夾/運行文件 列出文件夾/讀取屬性 讀取擴展屬性 讀取權(quán)限 這四項權(quán)限�,對于documents and settings目錄,僅對其所有的目錄有完全控制的權(quán)限����,其它目錄只讀?
我們的規(guī)則里面所說到的基本用戶��、受限用戶��,基本上等同于 NTFS 權(quán)限里的 USERS 組���,但受限用戶受到的限制更多,不管NTFS權(quán)限如何�����,其始終受到限制��。
更多NTFS權(quán)限的設(shè)置�����,大家可以查閱NTFS相關(guān)的內(nèi)容。
出處:藍色理想
責(zé)任編輯:bluehearts
上一頁 Windows組策略之軟件限制策略 [3] 下一頁 Windows組策略之軟件限制策略 [5]
◎進入論壇計算機技術(shù)版塊參加討論
|
第 1 頁 
第 4 頁 Windows組策略之軟件限制策略 [4]
