1. Cấu hình quản lý
1.4.Cấu hình giới hạn phần mềm
Ta có thể sử dụng các công cụ chính sách nhóm trong Windows XP để thực hiện các chính sách hạn chế phần mềm. Để cho phép một chính sách hạn chế phần mềm, sử dụng một trong những phương pháp sau đây:
Dùng chính sách nhóm
1. Nhấp vào Bắt đầu, sau đó bấm Chạy. 2. Loại gpedit.msc, sau đó bấm Ok. 3. Mở rộng các mục sau đây: Cấu hình máy tính Thiết đặt Windows Thiết đặt bảo mật Các chính sách hạn chế phần mềm Bằng cách sử dụng chính sách bảo mật cục bộ 1. Nhấp vào Bắt đầu, sau đó bấm Chạy. 2. Loại secpol.msc, sau đó bấm Ok.
43 Mức mặc định an ninh và ngoại lệ
Bạn có thể cấu hình mặc định mức bảo mật và xác định bổ sung quy tắc tạo thành trường hợp ngoại lệ cho quy tắc mặc định. Mức độ bảo mật mặc định sẽ xác định hành vi cho tất cả các chương trình. Quy tắc bổ sung cung cấp ngoại lệ đối với mức độ bảo mật mặc định. Mức bảo mật hai là:
Không được phep -Nếu bạn thiết lập Không được phep theo các quy tắc mặc định, các chương trình không được phép. Bạn cần phải tạo quy tắc bổ sung cho phép các chương trình cụ thể để chạy. Bằng cách sử dụng Không được phep Theo mặc định không phải là một ý tưởng tốt trừ khi người quản trị có
danh sách đầy đủ các chương trình cho phép.
Không bị giới hạn -Nếu bạn thiết lậpKhông bị giới hạntheo quy tắc mặc định, tất cả các chương trình được phép chạy. Bạn phải tạo các quy tắc bổ sung nếu bạn muốn để hạn chế các chương trình cá nhân.
Không bị giới hạn là tốt nhất nếu người quản trị không có danh sách đầy đủ các chương trình được phép, nhưng cần phải ngăn chặn một số chương trình đang chạy.
Quy tắc bổ sung
Bạn có thể cấu hình một số loại hình bổ sung quy tắc:
Băm - với một quy tắc Hash, các quản trị viên danh sách tệp chương trình được chặn hoặc cho phép một cách rõ ràng. Nó băm, và điều này kết quả trong một vân tay mật mã mà vẫn giữ nguyên, bất kể của tên tệp hoặc vị trí. Bạn có thể sử dụng phương pháp này để ngăn chặn một phiên bản đặc biệt của một chương trình chạy hoặc để ngăn chặn một chương trình hoạt động, bất kể của nơi nó nằm. Một vấn đề trong Windows XP (tất cả các dịch vụ gói cấp) ngăn quy tắc băm làm việc với tập tin DLL. Quy tắc băm làm việc đúng với Windows Server 2003 và phiên bản mới nhất của Windows. Một workaround có thể để Windows XP là tạo ra một kịch bản đăng nhập unregisters các tập tin DLL liên quan bằng cách sử dụng lệnh sau đây:
regsvr32 /u tên tập tin.dll
Chứng chỉ - bạn có thể xây dựng quy tắc giấy chứng nhận bằng cách cung cấp chứng chỉ ký mã nhà xuất bản phần mềm. Giống như quy tắc Hash, giấy chứng nhận quy định áp dụng không có vấn đề nơi tệp chương trình có vị trí hoặc những gì nó được đặt tên theo.
Đường dẫn - đường dẫn quy tắc áp dụng cho tất cả các chương trình chạy được chỉ định địa phương hoặc đường dẫn mạng, hoặc từ thư mục con trong đường dẫn.
Vùng Internet - bạn có thể sử dụng vùng Internet quy tắc áp dụng quy tắc chính sách hạn chế phần mềm dựa trên khu vực an ninh Microsoft Internet Explorer mà chương trình đang chạy. Hiện nay, các quy tắc này chỉ áp dụng cho Microsoft Windows Installer gói được điều hành từ khu vực. Vùng Internet quy tắc áp dụng cho các chương trình được tải xuống Internet Explorer.
Quy tắc cấu hình chung
Thêm vào mặc định an ninh và quy tắc bổ sung, bạn cũng có thể xác định cấu hình chung quy tắc xác định như thế nào các chính sách hạn chế phần mềm được áp dụng trên máy tính. Chúng bao gồm:
Thực thi pháp luật - bạn có thể sử dụng các thiết đặt thực thi pháp luật để xác định những tập tin được thi hành, và những người sử dụng có thể cấu hình chính
44
sách hạn chế bảo mật. Theo mặc định, tất cả các phần mềm file ngoại trừ thư viện (như năng động liên kết thư viện, hoặc DLL) có thể thiết lập chính sách hạn chế bảo mật. Bạn có thể cấu hình các chính sách hạn chế bảo mật áp dụng cho tất cả các phần mềm file. Lưu ý rằng điều này có thể yêu cầu rằng bạn thêm các quy tắc cho mỗi tập tin thư viện được yêu cầu một chương trình.
Theo mặc định, tất cả người dùng có thể thiết lập chính sách hạn chế bảo mật trên máy tính. Bạn có thể cấu hình thực thi pháp luật cho tất cả người dùng ngoại trừ quản trị viên địa phương, cho phép quản trị viên địa phương để chạy chương trình disallowed.
Chỉ định tập tin loại - bạn có thể sử dụng chính sách này để cấu hình các loại tệp mà thiết đặt chính sách hạn chế bảo mật áp dụng.
Các nhà cung cấp tin cậy - bạn có thể sử dụng thuộc tính của các nhà cung cấp đáng tin cậy để cấu hình mà người dùng có thể lựa chọn các nhà xuất bản tin cậy. Bạn cũng có thể xác định, nếu có, thu hồi chứng chỉ kiểm tra được thực hiện trước khi tin tưởng một nhà xuất bản.