應(yīng)用程序訪問權(quán)限完全攻略

作者：側(cè)面 2009-02-10 09:47:00

本文主要講述如何限制用戶對文件的訪問權(quán)限。

一、限制用戶對文件的訪問權(quán)限

如果程序所在的磁盤分區(qū)文件系統(tǒng)為NTFS格式，管理員賬戶可以利用NTFS文件系統(tǒng)提供的文件和文件夾安全選項(xiàng)控制用戶對程序及文件的訪問權(quán)限。通常情況下，一個應(yīng)用程序安裝到系統(tǒng)后，本地計(jì)算機(jī)的所有賬戶都可以訪問并運(yùn)行該應(yīng)用程序。如果取消分配給指定用戶對該應(yīng)用程序或文件夾的訪問權(quán)限，該用戶也就失去了運(yùn)行該應(yīng)用程序的能力。

例如，要禁止受限用戶運(yùn)行Outlook Express應(yīng)用程序，可以進(jìn)行如下的操作：

(1)、以administrator賬戶登錄系統(tǒng)，如果當(dāng)前系統(tǒng)啟用了簡單文件共享選項(xiàng)，需要將該選項(xiàng)關(guān)閉。具體做法是，在Windows瀏覽器窗口點(diǎn)擊“工具”菜單下的“文件夾選項(xiàng)”，點(diǎn)擊“查看”選項(xiàng)頁，取消“使用簡單文件共享”選項(xiàng)的選擇，點(diǎn)擊“確定”。

(2)、打開Program Files文件夾，選中Outlook Express文件夾并單擊右鍵，選擇“屬性”。

(3)、點(diǎn)擊“安全”選項(xiàng)頁，可以看到Users組的用戶對該文件夾具有讀取和運(yùn)行的權(quán)限，點(diǎn)擊“高級”。

(4)、取消“從父項(xiàng)繼承那些可以應(yīng)用到子對象的權(quán)限項(xiàng)目，包括那些再次明確定義的項(xiàng)目”選項(xiàng)的選擇，在彈出的提示信息對話框，點(diǎn)擊“復(fù)制”，此時可以看到用戶所具有的權(quán)限改為不繼承的，如圖1所示。

圖1 Outlook Express的高級安全設(shè)置

(5)、點(diǎn)擊“確定”，返回屬性窗口，在“用戶或組名稱”列表中，選擇Users項(xiàng)目，點(diǎn)擊“刪除”，點(diǎn)擊“確定”，完成權(quán)限的設(shè)置。

要取消指定用戶對文件或程序的訪問限制，需要為文件或文件夾添加指定的用戶或組并賦予相應(yīng)的訪問權(quán)限。

這種方法允許管理員針對每個用戶來限制他訪問和運(yùn)行指定的應(yīng)用程序的權(quán)限。但是這需要一個非常重要的前提，那就是要求應(yīng)用程序所在的分區(qū)格式為NTFS，否則，一切都無從談起。

對于FAT/FAT32格式的分區(qū)，不能應(yīng)用文件及文件夾的安全選項(xiàng)，我們可以通過設(shè)置計(jì)算機(jī)的策略來禁止運(yùn)行指定的應(yīng)用程序。#p#

二、啟用“不要運(yùn)行指定的Windows應(yīng)用程序”策略

在組策略中有一條名為“不要運(yùn)行指定的Windows應(yīng)用程序”策略，通過啟用該策略并添加相應(yīng)的應(yīng)用程序，就可以限制用戶運(yùn)行這些應(yīng)用程序。設(shè)置方法如下：

(1)、在“開始”“運(yùn)行”處執(zhí)行g(shù)pedit.msc命令，啟動組策略編輯器，或者運(yùn)行mmc命令啟動控制臺，并將“組策略”管理單元加載到控制臺中;

(2)、依次展開“‘本地計(jì)算機(jī)’策略”“用戶設(shè)置”“管理模板”，點(diǎn)擊“系統(tǒng)”，雙擊右側(cè)窗格中的“不要運(yùn)行指定的Windows應(yīng)用程序”策略，選擇“已啟用”選項(xiàng)，并點(diǎn)擊“顯示”。

(3)、點(diǎn)擊“添加”，輸入不運(yùn)行運(yùn)行的應(yīng)用程序名稱，如命令提示符cmd.exe，點(diǎn)擊“確定”，此時，指定的應(yīng)用程序名稱添加到禁止運(yùn)行的程序列表中。

(4)、點(diǎn)擊“確定”返回組策略編輯器，點(diǎn)擊“確定”，完成設(shè)置。

當(dāng)用戶試圖運(yùn)行包含在不允許運(yùn)行程序列表中的應(yīng)用程序時，系統(tǒng)會提示警告信息。把不允許運(yùn)行的應(yīng)用程序復(fù)制到其他的目錄和分區(qū)中，仍然是不能運(yùn)行的。要恢復(fù)指定的受限程序的運(yùn)行能力，可以將“不要運(yùn)行指定的Windows應(yīng)用程序”策略設(shè)置為“未配置”或“已禁用”，或者將指定的應(yīng)用程序從不允許運(yùn)行列表中刪除(這要求刪除后列表不會成為空白的)。

這種方式只阻止用戶運(yùn)行從Windows資源管理器中啟動的程序，對于由系統(tǒng)過程或其他過程啟動的程序并不能禁止其運(yùn)行。該方式禁止應(yīng)用程序的運(yùn)行，其用戶對象的作用范圍是所有的用戶，不僅僅是受限用戶，Administrators組中的賬戶甚至是內(nèi)建的administrator帳戶都將受到限制，因此給管理員帶來了一定的不便。當(dāng)管理員需要執(zhí)行一個包含在不允許運(yùn)行列表中的應(yīng)用程序時，需要先通過組策略編輯器將該應(yīng)用程序從不運(yùn)行運(yùn)行列表中刪除，在程序運(yùn)行完成后，再將該程序添加到不允許運(yùn)行程序列表中。需要注意的是，不要將組策略編輯器(gpedit.msc)添加到禁止運(yùn)行程序列表中，否則會造成組策略的自鎖，任何用戶都將不能啟動組策略編輯器，也就不能對設(shè)置的策略進(jìn)行更改。

提示：如果沒有禁止運(yùn)行“命令提示符”程序的話，用戶可以通過cmd命令，從“命令提示符”運(yùn)行被禁止的程序，例如，將記事本程序(notepad.exe)添加不運(yùn)行列表中，通過XP的桌面運(yùn)行該程序是被限制的，但是在“命令提示符”下運(yùn)行notepad命令，可以順利的啟動記事本程序。因此，要徹底的禁止某個程序的運(yùn)行，首先要將cmd.exe添加到不允許運(yùn)行列表中。#p#

三、設(shè)置軟件限制策略

軟件限制策略是本地安全策略的一個組成部分，管理員通過設(shè)置該策略對文件和程序進(jìn)行標(biāo)識，將它們分為可信任和不可信任兩種，通過賦予相應(yīng)的安全級別來實(shí)現(xiàn)對程序運(yùn)行的控制。這個措施對于解決未知代碼和不可信任代碼的可控制運(yùn)行問題非常有效。軟件設(shè)置策略使用兩個方面的設(shè)置對程序進(jìn)行限制：安全級別和其他規(guī)則。

安全級別分為“不允許的”和“不受限制的”兩種。其中，“不允許的”將禁止程序的運(yùn)行，不論用戶的權(quán)限如何;“不受限的”允許登錄用戶使用他所擁有的權(quán)限來運(yùn)行程序。

其它規(guī)則，即由管理員通過制定規(guī)則對指定的一批或一個文件和程序進(jìn)行標(biāo)識，并賦予“不允許的”或“不受限的”安全級別。在這個部分中，管理員可以制定四種類型的規(guī)則，按照優(yōu)先級別分別是：散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則，這些規(guī)則將對文件的訪問和程序的運(yùn)行提供***限度的授權(quán)級別。

軟件限制策略的設(shè)置

1、訪問軟件限制策略

作為本地安全策略的一部分，軟件限制策略同時也包含在組策略中，這些策略的設(shè)置必須以administrator賬戶或Administrators組成員的身份登錄系統(tǒng)。軟件限制策略的訪問方式有兩種：

(1)、在“開始”“運(yùn)行”處運(yùn)行secpol.msc，啟動本地安全策略編輯器，在“安全設(shè)置”下可以看到“軟件限制策略”項(xiàng)目。

(2)、在“開始”“運(yùn)行”處運(yùn)行g(shù)pedit.msc，啟動組策略編輯器，在“計(jì)算機(jī)設(shè)置”“Windows設(shè)置”“安全設(shè)置”下可以看到“軟件限制策略”。

2、新建軟件限制策略

***打開“軟件限制策略”時，該項(xiàng)目是空的。策略需要由管理員手動添加。方法是點(diǎn)擊“軟件限制策略”使其處于選中狀態(tài)，點(diǎn)擊編輯器窗口“操作”菜單下的“新建一個策略”項(xiàng)目，此時可以看到“軟件限制策略”下增加了“安全級別”和“其它規(guī)則”以及三條屬性，如圖2所示。一旦執(zhí)行了新建策略操作后，就不能再次執(zhí)行該操作，并且這個策略也不能刪除。

圖2 新建軟件限制策略#p#

3、設(shè)置默認(rèn)的安全級別

新建軟件限制策略后，策略的默認(rèn)安全級別為“不受限的”，如果要更改默認(rèn)的安全級別，需要在“安全級別”中進(jìn)行設(shè)置，方法如下：

(1)、打開“安全級別”，在右側(cè)窗格中，可以看到有兩條設(shè)置，其中圖標(biāo)中帶有一個小對號的設(shè)置為默認(rèn)設(shè)置;

(2)、點(diǎn)擊不是默認(rèn)值的那條設(shè)置，單擊右鍵，選擇“設(shè)置為默認(rèn)”項(xiàng)。當(dāng)設(shè)置“不允許的”為默認(rèn)值時，系統(tǒng)會顯示一個提示信息對話框，點(diǎn)擊“確定”即可。

該步驟也可以雙擊非默認(rèn)的設(shè)置，在彈出的屬性窗口中，點(diǎn)擊“設(shè)為默認(rèn)值”。

4、設(shè)置策略的作用范圍和對象

通過策略的“強(qiáng)制”屬性可以設(shè)置策略應(yīng)用的軟件文件是否包含庫文件以及作用的對象是否包含管理員賬戶。通常情況下，為了避免引起系統(tǒng)不必要的問題以及便于對系統(tǒng)的管理，策略的作用范圍應(yīng)設(shè)置為不包含庫文件的所有軟體文件，作用對象設(shè)置為除本地管理員外的所有用戶。設(shè)置的方法如下：

(1)、單擊“軟件限制策略”，雙擊右側(cè)窗格中的“強(qiáng)制”屬性項(xiàng)目;

(2)、選擇“除去庫文件(如Dll文件)以外的所有軟體文件”選項(xiàng)和“除本地管理員以外的所有用戶”選項(xiàng)，單擊“確定”。

5、制定規(guī)則

只通過安全級別的設(shè)置，顯然不能很好的實(shí)現(xiàn)對文件和程序的控制，必須通過制定合理的規(guī)則來標(biāo)識那些禁止或允許運(yùn)行的文件和程序，并進(jìn)而實(shí)現(xiàn)對這些文件和程序的靈活控制。上文中提到可制定規(guī)則的類型有四種：散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則。它們標(biāo)識文件以及制定規(guī)則的方法如下：

散列規(guī)則：利用散列算法計(jì)算出指定文件的散列，這個散列是唯一標(biāo)識該文件的一系列定長字節(jié)。制定了散列規(guī)則后，用戶訪問或運(yùn)行文件時，軟件限制策略會根據(jù)文件的散列及安全級別來允許或阻止對該文件進(jìn)行訪問或運(yùn)行。當(dāng)文件移動或重命名，不會影響文件的散列，軟件限制策略對該文件依然有效。制定方法如下：

(1)、點(diǎn)擊“軟件限制策略”下的“其它規(guī)則”，在“其他規(guī)則”上單擊右鍵，或在右側(cè)窗格的空白區(qū)域單擊右鍵，選擇“新散列規(guī)則”。

(2)、點(diǎn)擊“瀏覽”，指定要標(biāo)識的文件或程序，例如cmd.exe，確認(rèn)后，在文件散列中可以看到計(jì)算出來的散列，在“安全級別”中選擇“不允許的”或“不受限的”，如圖3所示。點(diǎn)擊“確定”，在“其它規(guī)則”中可以看到新增了一條類型為散列的規(guī)則。