Windows组策略:软件限制策略
来源:优易学  2011-11-3 18:05:17   【优易学:中国教育考试门户网】   资料下载   IT书店

  4、规则的权限分配及继承

  这里的讲解的一个前提是:假设你的用户类型是管理员。

  在没有软件限制策略的情况下,如果程序a启动程序b,那么a是b的父进程,b继承a的权限

  现在把a设为基本用户,b不做限制(把b设为不受限或者不对b设置规则效果是一样的)然后由a启动b,那么b的权限继承于a,也是基本用户,即:

  a(基本用户)-> b(不受限的)= b(基本用户)

  若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即

  a(不受限的)-> b(基本用户)= b(基本用户)

  可以看到,一个程序所能获得的最终权限取决于:父进程权限 和 规则限定的权限 的最低等级,也就是我们所说的最低权限原则

  举一个例子:

  若我们把IE设成基本用户等级启动,那么由IE执行的任何程序的权限都将不高于基本用户级别,只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只剩下尸体了。

  甚至,我们还可以通过NTFS权限的设置,让IE无法下载和运行病毒,不给病毒任何的机会。

  这里,我们来看一下NTFS的权限(这里的权限是NTFS权限,与规则无关)。NTFS的所有权限如下:

  遍历文件夹/运行文件 (遍历文件夹可以不管,主要是“运行文件”,若无此权限则不能启动文件,相当于AD的运行应用程序)

  允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求,即使用户没有遍历文件夹的权限(仅适用于文件夹)。

  列出文件夹/读取数据

  允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容,而不影响您对其设置权限的文件夹是否会列出(仅适用于文件夹)。

  读取属性

  允许或拒绝查看文件中数据的能力(仅适用于文件)。

  读取扩展属性

  允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。

  创建文件/写入数据

  “创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力(仅适用于文件)。

  创建文件夹/追加数据

  “创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力(仅适用于文件)。

  写入属性

  允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请求(仅适用于文件)。 即写操作

  写入扩展属性

  允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。

  删除子文件夹和文件

  允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。

  删除 (与上面的区别是,这里除了子目录及其文件,还包括了目录本身)

  允许或拒绝用户删除子文件夹和文件的请求,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。

  读取权限(NTFS权限的查看)

上一页  [1] [2] [3] [4] 下一页

责任编辑:张瑶

文章搜索:
 相关文章
热点资讯
热门课程培训