软件限制策略
本页内容
 | 本模块内容 |
| 目标 |
| 适用范围 |
| 如何使用本模块 |
| 简介 |
| 软件限制策略 |
本模块内容
本模块专用于说明软件限制策略,这种策略是 Microsoft® Windows® XP 和 Microsoft Windows Server™ 2003 操作系统中的新功能。软件限制策略提供了一种体制,用于指定允许执行哪些程序以及不允许执行哪些程序。
目标
使用本模块设置软件限制策略。
适用范围
本模块适用于下列产品和技术:
| • | Microsoft Windows Server 2003 |
| • | Microsoft Active Directory® 目录服务 |
| • | Microsoft Windows XP |
如何使用本模块
本模块旨在为当前版本的 Microsoft Windows 操作系统中的软件限制安全设置提供参考。它是 Microsoft 发布的其他两份指南的附加指南:“Windows Server 2003 Security Guide”(网址为 http://go.microsoft.com/fwlink/?LinkId=14845(英文))和“Windows XP Security Guide”(英文)。
简介
软件限制策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003 中的一项新功能。它们提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说,软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。
软件限制策略
漏洞
随着网络和 Internet 在日常业务计算方面的使用不断增长,遇到恶意代码的可能性也比以前要高。人们通过电子邮件、即时消息和对等应用程序以更先进的方式进行协作。随着这些协作机会的增多,同时也增大了病毒、蠕虫和其他恶意代码入侵系统的风险。请记住,电子邮件和即时消息可以传输未经请求的恶意代码。恶意代码可以采取多种形式,从本机的 Windows 可执行文件 (.exe) 到字处理文档 (.doc) 中的宏,再到脚本 (.vbs)。
病毒和蠕虫通常使用社交工程欺骗用户来激活它们。由于代码绝对数量巨大、形式多样,因此用户很难知道什么代码安全以及什么代码不安全。恶意代码在被激活后,可以损坏硬盘上的内容,使用 DoS 攻击摧毁网络,将机密信息向外发送到 Internet,或者危及计算机的安全。
对策
在环境中的终端用户计算机上为软件限制策略创建一套合理的设计,然后在将这些策略部署到产品中之前,先在实验室中对其进行彻底的测试。
潜在影响
在实现软件限制策略时如果有缺陷,将会禁用必需的应用程序,或允许执行恶意的应用程序。因此,组织应该将足够的资源专用于管理实现过程和解决实现过程中出现的问题,这一点非常重要。
注意:虽然软件限制策略是增强计算机安全的重要工具,但它们不能代替其他安全措施,如防病毒程序、防火墙和严格的访问控制列表。