對(duì)于Windows的組策略，也許大家使用的更多的只是“管理模板”里的各項(xiàng)功能。對(duì)于“軟件限制策略”相信用過(guò)的朋友們不是很多。

　　軟件限制策略如果用的好的話，相信可以和某些HipS類軟件相類比了。如果再結(jié)合NTFS權(quán)限和注冊(cè)表權(quán)限，完全可以實(shí)現(xiàn)系統(tǒng)的全方位的安全配置，同時(shí)由于這是系統(tǒng)內(nèi)置的功能，與系統(tǒng)無(wú)縫結(jié)合，不會(huì)占用額外的CPU及內(nèi)存資源，更不會(huì)有不兼容的現(xiàn)象，由于其位于系統(tǒng)的最底層，其攔截能力也是其它軟件所無(wú)法比擬的，不足之處則是其設(shè)置不夠靈活和智能，不會(huì)詢問(wèn)用戶。下面我們就來(lái)全面的了解一下軟件限制策略。

　　本系列文章將從以下幾方面為重點(diǎn)來(lái)進(jìn)行講解：

　　·概述
　　·附加規(guī)則和安全級(jí)別
　　·軟件限制策略的優(yōu)先權(quán)
　　·規(guī)則的權(quán)限分配及繼承
　　·如何編寫(xiě)規(guī)則
　　·示例規(guī)則

　　今天我們介紹Windows的組策略中軟件限制規(guī)則的權(quán)限分配及繼承。

　　這里的講解的一個(gè)前提是：假設(shè)你的用戶類型是管理員。

　　在沒(méi)有軟件限制策略的情況下，如果程序a啟動(dòng)程序b，那么a是b的父進(jìn)程，b繼承a的權(quán)限。

　　現(xiàn)在把a(bǔ)設(shè)為基本用戶，b不做限制（把b設(shè)為不受限或者不對(duì)b設(shè)置規(guī)則效果是一樣的）然后由a啟動(dòng)b，那么b的權(quán)限繼承于a，也是基本用戶，即:

　　a（基本用戶）-> b（不受限的） = b（基本用戶）
    若把b設(shè)為基本用戶，a不做限制，那么a啟動(dòng)b后，b仍然為基本用戶權(quán)限，即
a（不受限的）-> b（基本用戶） = b（基本用戶）

　　可以看到，一個(gè)程序所能獲得的最終權(quán)限取決于：父進(jìn)程權(quán)限 和 規(guī)則限定的權(quán)限 的最低等級(jí)，也就是我們所說(shuō)的最低權(quán)限原則

　　舉一個(gè)例子：
　　若我們把IE設(shè)成基本用戶等級(jí)啟動(dòng)，那么由IE執(zhí)行的任何程序的權(quán)限都將不高于基本用戶級(jí)別，只能更低。所以就可以達(dá)到防范網(wǎng)馬的效果——即使IE下載病毒并執(zhí)行了，病毒由于權(quán)限的限制，無(wú)法對(duì)系統(tǒng)進(jìn)行有害的更改，如果重啟一下，那么病毒就只剩下尸體了。

　　甚至，我們還可以通過(guò)NTFS權(quán)限的設(shè)置，讓IE無(wú)法下載和運(yùn)行病毒，不給病毒任何的機(jī)會(huì)。   

　　這里，我們來(lái)看一下NTFS的權(quán)限（這里的權(quán)限是NTFS權(quán)限，與規(guī)則無(wú)關(guān)）。NTFS的所有權(quán)限如下：
　　遍歷文件夾/運(yùn)行文件  （遍歷文件夾可以不管，主要是“運(yùn)行文件”，若無(wú)此權(quán)限則不能啟動(dòng)文件，相當(dāng)于AD的運(yùn)行應(yīng)用程序）
　　允許或拒絕用戶在整個(gè)文件夾中移動(dòng)以到達(dá)其他文件或文件夾的請(qǐng)求，即使用戶沒(méi)有遍歷文件夾的權(quán)限（僅適用于文件夾）。

　　列出文件夾/讀取數(shù)據(jù)
　　允許或拒絕用戶查看指定文件夾內(nèi)文件名和子文件夾名的請(qǐng)求。它僅影響該文件夾的內(nèi)容，而不影響您對(duì)其設(shè)置權(quán)限的文件夾是否會(huì)列出（僅適用于文件夾）。

　　讀取屬性
　　允許或拒絕查看文件中數(shù)據(jù)的能力（僅適用于文件）。

　　讀取擴(kuò)展屬性
　　允許或拒絕用戶查看文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。

　　創(chuàng)建文件/寫(xiě)入數(shù)據(jù)
　　“創(chuàng)建文件”允許或拒絕在文件夾中創(chuàng)建文件（僅適用于文件夾）。“寫(xiě)入數(shù)據(jù)”允許或拒絕對(duì)文件進(jìn)行修改并覆蓋現(xiàn)有內(nèi)容的能力（僅適用于文件）。

　　創(chuàng)建文件夾/追加數(shù)據(jù)
　　“創(chuàng)建文件夾”允許或拒絕用戶在指定文件夾中創(chuàng)建文件夾的請(qǐng)求（僅適用于文件夾）。“追加數(shù)據(jù)”允許或拒絕對(duì)文件末尾進(jìn)行更改而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的能力（僅適用于文件）。

　　寫(xiě)入屬性
　　允許或拒絕用戶對(duì)文件末尾進(jìn)行更改，而不更改、刪除或覆蓋現(xiàn)有數(shù)據(jù)的請(qǐng)求（僅適用于文件）。  即寫(xiě)操作。

　　寫(xiě)入擴(kuò)展屬性
　　允許或拒絕用戶更改文件或文件夾屬性（例如只讀和隱藏）的請(qǐng)求。屬性由 NTFS 定義。

　　刪除子文件夾和文件
　　允許或拒絕刪除子文件夾和文件的能力，即使子文件夾或文件上沒(méi)有分配“刪除”權(quán)限（適用于文件夾）。

　　刪除 （與上面的區(qū)別是，這里除了子目錄及其文件，還包括了目錄本身）
　　允許或拒絕用戶刪除子文件夾和文件的請(qǐng)求，即使子文件夾或文件上沒(méi)有分配“刪除”權(quán)限（適用于文件夾）。

　　讀取權(quán)限 （NTFS權(quán)限的查看）
　　允許或拒絕用戶讀取文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫(xiě)入”）的請(qǐng)求。

　　更改權(quán)限 （NTFS權(quán)限的修改）
　　允許或拒絕用戶更改文件或文件夾權(quán)限（例如“完全控制”、“讀取”和“寫(xiě)入”）的請(qǐng)求。

　　取得所有權(quán)
　　允許或拒絕取得文件或文件夾的所有權(quán)。文件或文件夾的所有者始終可以更改其權(quán)限，而不論用于保護(hù)該文件或文件夾的現(xiàn)有權(quán)限如何。

　　在系統(tǒng)默認(rèn)的NTFS權(quán)限下，基本用戶對(duì)于windows/PRogram files目錄只有  遍歷文件夾/運(yùn)行文件、列出文件夾/讀取屬性、讀取擴(kuò)展屬性、讀取權(quán)限這四項(xiàng)權(quán)限，對(duì)于documents and settings目錄，僅對(duì)其所有的目錄有完全控制的權(quán)限，其它目錄只讀？

　　我們的規(guī)則里面所說(shuō)到的基本用戶、受限用戶，基本上等同于 NTFS 權(quán)限里的 USERS 組，但受限用戶受到的限制更多，不管NTFS權(quán)限如何，其始終受到限制。

　　下一節(jié)我們講解如何編寫(xiě)規(guī)則。