前面我们讲到,运用的是阻止程序的执行文件名的办法加以实现,在文章的末尾我们说过假若,别人把执行文件名重命名,我们的方法就不凑效了,今天我们来看看如何利用哈希规则来限制它。这里简单先扫一下盲:什么是哈希规则,哈希规则有什么用?
哈希是唯一标识软件程序或可执行文件(即使该程序或可执行文件已被移动或重命名)的指印。这样,管理员可以使用哈希来跟踪他(或她)不希望用户运行的特定版本的可执行文件或程序。如果程序在安全或隐私方面存在漏洞,或者可能会破坏系统的稳定性,则可以使用哈希规则。
使用哈希规则,软件程序始终具有唯一可标识性,因为哈希规则匹配基于涉及文件内容的加密计算。唯一受哈希规则影响的文件类型是在“软件限制策略”的详细信息窗格中“指派的文件类型”部分列出的那些文件类型。
哈希规则比较适合于静态环境。如果客户端中的软件经常升级,则应在每个程序更新后将哈希重新应用于其可执行文件。哈希规则非常适用于未向其相应程序的可执行文件应用更改或升级的环境。
哈希规则由下列三个数据段组成,并以冒号分隔:
MD5 或 SHA-1 哈希值。
文件长度。
哈希算法 ID 编号。
数字签名文件使用签名中包含的哈希值(可能是 MD5 或 SHA-1)。非数字签名的可执行文件使用 MD5 哈希值。
哈希规则的格式如下所示:
[MD5 或 SHA1 哈希值]:[文件长度]:[哈希算法 ID]
以下哈希规则示例用于内容与 MD5 哈希值(由哈希算法标识符 32771 表示)和哈希算法 7bc04acc0d6480af862d22d724c3b049 相匹配的 126 个字节长的文件:
7bc04acc0d6480af862d22d724c3b049:126:32771
管理员要限制或允许的每个文件都需要包含一个哈希规则。软件更新后,由于原始可执行文件的哈希值通常已被覆盖,因此管理员必须为每个应用程序新建一个哈希规则。。
好了既然我们说了,哈希规则是一个程序的DNA哪么就好办了,不管你如何易容,DNA总是不会变的,利用这么一点,我也们也可以阻止一些程序的运行
前面我们讲到利用组策略限制某程序的运行和指定某程序的运行,运用的是阻止程序的执行文件名的办法加以实现,在文章的末尾我们说过假若,别人把执行文件名重命名,我们的方法就不凑效了,今天我们来看看如何利用哈希规则来限制它。这里简单先扫一下盲:什么是哈希规则,哈希规则有什么用?
哈希是唯一标识软件程序或可执行文件(即使该程序或可执行文件已被移动或重命名)的指印。这样,管理员可以使用哈希来跟踪他(或她)不希望用户运行的特定版本的可执行文件或程序。如果程序在安全或隐私方面存在漏洞,或者可能会破坏系统的稳定性,则可以使用哈希规则。
使用哈希规则,软件程序始终具有唯一可标识性,因为哈希规则匹配基于涉及文件内容的加密计算。唯一受哈希规则影响的文件类型是在“软件限制策略”的详细信息窗格中“指派的文件类型”部分列出的那些文件类型。
哈希规则比较适合于静态环境。如果客户端中的软件经常升级,则应在每个程序更新后将哈希重新应用于其可执行文件。哈希规则非常适用于未向其相应程序的可执行文件应用更改或升级的环境。
哈希规则由下列三个数据段组成,并以冒号分隔:
MD5 或 SHA-1 哈希值。
文件长度。
哈希算法 ID 编号。
数字签名文件使用签名中包含的哈希值(可能是 MD5 或 SHA-1)。非数字签名的可执行文件使用 MD5 哈希值。
哈希规则的格式如下所示:
[MD5 或 SHA1 哈希值]:[文件长度]:[哈希算法 ID]
以下哈希规则示例用于内容与 MD5 哈希值(由哈希算法标识符 32771 表示)和哈希算法 7bc04acc0d6480af862d22d724c3b049 相匹配的 126 个字节长的文件:
7bc04acc0d6480af862d22d724c3b049:126:32771
管理员要限制或允许的每个文件都需要包含一个哈希规则。软件更新后,由于原始可执行文件的哈希值通常已被覆盖,因此管理员必须为每个应用程序新建一个哈希规则。。
好了既然我们说了,哈希规则是一个程序的DNA哪么就好办了,不管你如何易容,DNA总是不会变的,利用这么一点,我也们也可以阻止一些程序的运行.OK开始吧
以下在工作组本机上实现,在域上同理
在“计算机设置”节点下的“安全设置”策略项中找到“软件限制策略”选项单击右键,在弹出菜单中选择“创建软件限制策略”选项,随即在右边窗口中显示了软件限制策略中的一些策略选项,如图所示。
图为新创建的软件限制策略选项
因为各用户的QQ、MSN、迅雷等程序的安装位置不可能完全一样,而且用户对这类程序的安装位置也可以随意更改,所以我们不能采取“路径规则”来限制用户对QQ、MSN、迅雷等程序的使用。在此我们以“哈希规则”进行限制。在“其他规则”策略选项上单击右键,在弹出菜单中选择“新建哈希规则”选项
在这里先创建限制使用QQ程序的规则,在“文件哈希”文本框右边通过“浏览”按钮找到QQ.exe程序,系统会自动给出这个规则的哈希值,同时在“文件信息”列表中也会给出相应的文件信息。
![组策略 哈希规则]( "22")
在“安全级别”下拉列表中选择“不允许的”选项,然后单击“确定”按钮完成限制运行QQ程序的哈希规则创建。
然后用同样的方法创建限制使用MSN程序和其它程序的哈希规则。
(6)最后还要把本地管理员的限制排除。方法是双击“强制”策略选项,在其中要选择“除本地管理员以外的所有用户”单选项。如果要使策略应用于相应程序的所有.dll文件(这样更严厉),对话框中选择“所有软件文件”单选项。最后单击“确定”按钮使设置生效。
通过以上设置后,在”销售部”组中的所有计算机都不能运行QQ和MSN程序文件了,无论这两个程序的安装位置如何变化,安装目录名如何改变,都将生效。如果要针对其中的用户来限制,则需要在组策略“用户设置”策略项下的“软件限制策略”项中进行配置。
我们在“销售部”中找一台电脑,试一下装一个QQ能不能运行
另外,用组策略的“不要运行指定的windows应用程序”策略项也可以配置,大家可以试一下。可以参考文章……..细心的人可能又会发现问题,哪就是不同的人DNA不同,哪么我QQ的版本是否也可以换作不同的版本来登陆呢?是的,这也是没有办法事,我们的方法局限性也在这里,不过你可以在网上把不同的QQ版本全下下来,收集它们的哈希值,把它禁掉就行了,相信不是很多!其它的软件也可以用类似的方法禁止.
阅读(4683) | 评论(1) | 转发(0) |
