RD,从而完成 3D 的部署”
对于软件限制策略的 AD 限制,是由权限指派来完成的,而这个权限的指派,用的是微软
内置的规则,即使我们修改“用户权限指派”项的内容,也无法对软件限制策略中的安全等
级进行提权。所以,只要选择好安全等级,AD 部分就已经部署好了,不能再作干预
而软件件限制策略的 FD 和 RD 限制,分别由 NTFS 权限、注册表权限来完成。而与 AD 部
分不同的是,这样限制是可以干预的,也就是说,我们可以通过调整 NTFS 和注册表权限
来配置 FD 和 RD,这就比 AD 部分要灵活得多。
小结一下,就是
AD——用户权利指派
FD——NTFS 权限
RD——注册表权限
先说 AD 部分,我们能选择的就是采用哪种权限等级,微软提供了五种等级:不
受限的、基本用户、受限的、不信任的、不允许的。
不受限的,最高的权限等级,但其意义并不是完全的不受限,而是“软件访问权由用户的访
问权来决定”,即继承父进程的权限。
基本用户,基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。
受限的,比基本用户限制更多,也仅享有“跳过遍历检查”的特权。
不信任的,不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。
不允许的,无条件地阻止程序执行或文件被打开
很容易看出,按权限大小排序为 不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的
其中,基本用户 、受限的、不信任的 这三个安全等级是要手动打开的
具体做法:
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\
CodeIdentifiers
新建一个 DOWRD,命名为 Levels,其值可以为
0x10000! ! ! ! ! ! ! ! ! //增加受限的
0x20000! ! ! ! ! ! ! ! ! //增加基本用户
0x30000! ! ! ! ! ! ! ! ! //增加受限的,基本用户
0x31000! ! ! ! ! ! ! ! ! //增加受限的,基本用户,不信任的
设成 0x31000(即 4131000)即可
如图: