Red de conocimiento informático - Conocimiento informático - La sala de informática de la escuela tiene permisos de aplicación restringidos. ¿Hay alguna forma de eliminarlos?

La sala de informática de la escuela tiene permisos de aplicación restringidos. ¿Hay alguna forma de eliminarlos?

1. Restringir el acceso de los usuarios a los archivos

Si el sistema de archivos de la partición del disco donde se encuentra el programa está en formato NTFS, la cuenta de administrador puede utilizar la seguridad de archivos y carpetas proporcionada por el Sistema de archivos NTFS. Las opciones controlan el acceso del usuario a programas y archivos. Normalmente, después de instalar una aplicación en el sistema, todas las cuentas de la computadora local pueden acceder y ejecutar la aplicación. Si revoca el acceso a la aplicación o carpeta de un usuario específico, ese usuario pierde la capacidad de ejecutar la aplicación.

Por ejemplo, para evitar que usuarios restringidos ejecuten la aplicación Outlook Express, puede realizar las siguientes operaciones:

(1) Inicie sesión en el sistema con la cuenta de administrador, si es simple. Los archivos están habilitados en la opción de compartir del sistema actual ***, esta opción debe estar desactivada. El método específico es hacer clic en "Opciones de carpeta" en el menú "Herramientas" en la ventana del navegador de Windows, hacer clic en la página de opción "Ver", cancelar la selección de la opción "Usar uso compartido simple de archivos" y hacer clic en "Aceptar".

(2). Abra la carpeta Archivos de programa, seleccione la carpeta Outlook Express, haga clic derecho y seleccione "Propiedades".

(3). Haga clic en la página de opción "Seguridad". Puede ver que los usuarios del grupo Usuarios tienen permisos de lectura y ejecución para la carpeta.

(4). Desmarque la opción "Heredar de los elementos de permiso principales que se pueden aplicar a objetos secundarios, incluidos aquellos elementos que se definen explícitamente nuevamente". "Copiar" ”, puede ver que los permisos del usuario se cambian a no heredados, como se muestra en la Figura 1.

 

Figura 1 Configuración de seguridad avanzada de Outlook Express

(5), haga clic en "Aceptar", regrese a la ventana de propiedades, en "Nombre de usuario o grupo " lista, seleccione el proyecto Usuarios, haga clic en "Eliminar" y haga clic en "Aceptar" para completar la configuración de permisos.

Para eliminar las restricciones de acceso de un usuario específico a un archivo o programa, debe agregar el usuario o grupo especificado al archivo o carpeta y otorgarle los permisos de acceso correspondientes.

Este enfoque permite a los administradores restringir la capacidad de cada usuario para acceder y ejecutar aplicaciones específicas. Pero esto requiere de una premisa muy importante, es decir, la partición donde se encuentra la aplicación debe estar formateada como NTFS, de lo contrario todo será imposible.

Para particiones formateadas FAT/FAT32, las opciones de seguridad para archivos y carpetas no se pueden aplicar. Podemos configurar la política del ordenador para prohibir la ejecución de aplicaciones específicas.

2. Habilite la política "No ejecutar aplicaciones de Windows específicas"

Hay una política llamada "No ejecutar aplicaciones de Windows específicas" en la Política de grupo Al habilitar esta política. Al agregar las aplicaciones correspondientes, puede restringir que los usuarios ejecuten estas aplicaciones. El método de configuración es el siguiente:

(1) Ejecute el comando gpedit.msc en "Inicio" y "Ejecutar" para iniciar el Editor de políticas de grupo, o ejecute el comando mmc para iniciar la consola y administrar el "Política de grupo" La unidad se carga en la consola;

(2) Expanda "Política de 'Equipo local'", "Configuración de usuario" y "Plantillas administrativas" en orden, haga clic en "Sistema" y haga doble clic. Haga clic en "No ejecutar" en la política "Aplicaciones de Windows especificadas" del panel derecho, seleccione la opción "Habilitado" y haga clic en "Mostrar".

(3). Haga clic en "Agregar", ingrese el nombre de la aplicación que no puede ejecutarse, como el símbolo del sistema cmd.exe, y haga clic en "Aceptar" en este momento. El nombre se agrega a "Prohibido ejecutar" en la lista de programas.

(4). Haga clic en "Aceptar" para regresar al Editor de políticas de grupo y haga clic en "Aceptar" para completar la configuración.

Cuando el usuario intenta ejecutar una aplicación que está incluida en la lista de programas que no pueden ejecutarse, el sistema mostrará un mensaje de advertencia.

Copiar aplicaciones que no pueden ejecutarse en otros directorios y particiones seguirá sin permitir su ejecución. Para restaurar la capacidad de ejecución de programas restringidos específicos, puede configurar la política "No ejecutar aplicaciones de Windows específicas" en "No configurado" o "Desactivado" o eliminar las aplicaciones especificadas de la lista no permitida (esta Solicitud de que la lista se no quede vacío después de la eliminación).

Este método sólo impide que los usuarios ejecuten programas iniciados desde el Explorador de Windows. No prohíbe la ejecución de programas iniciados por procesos del sistema u otros procesos. Este método prohíbe la ejecución de aplicaciones. El alcance de su objeto de usuario es todos los usuarios, no solo las cuentas restringidas en el grupo de Administradores e incluso la cuenta de administrador integrada estará restringida, lo que traerá ciertos inconvenientes al administrador. Cuando un administrador necesita ejecutar una aplicación que está incluida en la lista de ejecución no permitida, primero debe eliminar la aplicación de la lista de no ejecutar a través del Editor de políticas de grupo. Después de ejecutar el programa, agréguelo a la lista de ejecución. no ejecutar la lista en la lista de programas permitidos. Cabe señalar que no agregue el Editor de políticas de grupo (gpedit.msc) a la lista de programas prohibidos; de lo contrario, la Política de grupo se bloqueará automáticamente y ningún usuario podrá iniciar el Editor de políticas de grupo. no podrá modificar la configuración de los cambios de política.

Consejo: Si el programa "Símbolo del sistema" no tiene prohibida la ejecución, el usuario puede ejecutar el programa prohibido desde el "Símbolo del sistema" a través del comando cmd, por ejemplo, cambiar el programa del Bloc de notas (notepad. exe) Cuando se agrega a la lista de no ejecutar, la ejecución del programa a través del escritorio de XP está restringida, pero ejecutar el comando del Bloc de notas en el "Símbolo del sistema" puede iniciar exitosamente el programa del Bloc de notas. Por lo tanto, para prohibir completamente la ejecución de un programa, primero debe agregar cmd.exe a la lista de no permitidos.

3. Establecer la política de restricción de software

La política de restricción de software es un componente de la política de seguridad local. El administrador establece esta política para identificar archivos y programas y clasificarlos en Hay. Hay dos tipos: confiables y no confiables. El control del funcionamiento del programa se logra asignando los niveles de seguridad correspondientes. Esta medida es muy eficaz para resolver el problema de la ejecución controlada de código desconocido y que no es de confianza. Las políticas de configuración de software utilizan dos aspectos de la configuración para restringir programas: niveles de seguridad y otras reglas.

Los niveles de seguridad se dividen en "no permitido" y "sin restricciones". Entre ellos, "no permitido" prohibirá la ejecución del programa independientemente de los permisos del usuario; "sin restricciones" permite que el usuario que haya iniciado sesión utilice los permisos que tiene para ejecutar el programa.

Otras reglas, es decir, el administrador identifica un lote específico o un archivo y programa formulando reglas y les asigna un nivel de seguridad "no permitido" o "sin restricciones". En esta sección, los administradores pueden formular cuatro tipos de reglas, que según la prioridad son: reglas hash, reglas de certificado, reglas de ruta y reglas de zona de Internet. Estas reglas proporcionarán el máximo acceso a los archivos y el nivel de autorización de operación.

Configuración de las políticas de restricción de software

1. Acceder a las políticas de restricción de software

Como parte de la política de seguridad local, la política de restricción de software también se incluye en el grupo. Para establecer estas políticas, debe iniciar sesión en el sistema como una cuenta de administrador o como miembro del grupo de administradores. Hay dos formas de acceder a las políticas de restricción de software:

(1) Ejecute secpol.msc en "Inicio" y "Ejecutar" para iniciar el editor de políticas de seguridad local, que se puede ver en "Configuración de seguridad" " Proyecto "Política de restricción de software".

(2). Ejecute gpedit.msc en "Inicio" y "Ejecutar", inicie el Editor de políticas de grupo y podrá ver "Restricciones de software" en "Configuración de la computadora", "Configuración de Windows" y " Configuración de seguridad" Estrategia".

2. Cree una nueva política de restricción de software

Cuando abre la "Política de restricción de software" por primera vez, el proyecto está vacío. El administrador debe agregar las políticas manualmente.

El método es hacer clic en "Política de restricción de software" para seleccionarla y hacer clic en el elemento "Nueva política" en el menú "Acción" en la ventana del editor. En este momento, puede ver "Nivel de seguridad" y "Nivel de seguridad". se han agregado en "Política de restricción de software" y tres atributos, como se muestra en la Figura 2. Una vez que se realiza una nueva operación de política, la operación no se puede volver a realizar y la política no se puede eliminar.

 

Figura 2 Crear una nueva política de restricción de software

3. Establecer el nivel de seguridad predeterminado

Después de crear una nueva política de restricción de software. , el valor predeterminado de la política El nivel de seguridad es "sin restricciones". Si desea cambiar el nivel de seguridad predeterminado, debe configurarlo en el "Nivel de seguridad". (1). Abra el "Nivel de seguridad" y haga clic en el panel lateral derecho, puede ver que hay dos configuraciones. La configuración con una pequeña marca de verificación en el icono es la configuración predeterminada;

(2). Haga clic en la configuración que no sea el valor predeterminado y haga clic con el botón derecho y seleccione el elemento "Establecer como predeterminado". Al configurar "No permitido" como valor predeterminado, el sistema mostrará un cuadro de diálogo de mensaje emergente, haga clic en "Aceptar".

Este paso también se puede realizar haciendo doble clic en la configuración no predeterminada y, en la ventana emergente de propiedades, haciendo clic en "Establecer como predeterminado".

4. Establecer el alcance y los objetos de la política

A través del atributo "obligatorio" de la política, puede establecer si los archivos de software a los que se aplica la política incluyen archivos de biblioteca. y si los objetos a los que se aplica la política incluyen cuentas de administrador. Normalmente, para evitar problemas innecesarios en el sistema y facilitar la administración del sistema, el alcance de la política debe establecerse para todos los archivos de software que no incluyen archivos de biblioteca, y el alcance de la política debe establecerse para todos los usuarios excepto los locales. administradores. El método de configuración es el siguiente:

(1), haga clic en "Política de restricción de software", haga doble clic en el elemento de atributo "Forzar" en el panel derecho;

(2), seleccione la opción "Eliminar todos los archivos de software excepto los archivos de la biblioteca (como los archivos Dll)" y la opción "Todos los usuarios excepto los administradores locales", haga clic en "Aceptar".

5. Formule reglas

Evidentemente, no es posible controlar bien los archivos y programas sólo estableciendo el nivel de seguridad. Se deben formular reglas razonables para identificar aquellos que están prohibidos o permitidos. Ejecute archivos y programas y luego obtenga un control flexible de estos archivos y programas. Como se mencionó anteriormente, existen cuatro tipos de reglas que se pueden formular: reglas hash, reglas de certificado, reglas de ruta y reglas de zona de Internet. Los métodos que utilizan para identificar archivos y formular reglas son los siguientes:

Reglas hash: utiliza un algoritmo hash para calcular el hash de un archivo específico. Este hash es una serie de bytes de longitud fija que identifican de forma única. el archivo. Una vez formuladas las reglas de hash, cuando un usuario accede o ejecuta un archivo, la política de restricción de software permitirá o impedirá el acceso o la ejecución del archivo según el nivel de seguridad y hash del archivo. Cuando se mueve o se cambia el nombre de un archivo, el hash del archivo no se ve afectado y la política de restricción de software permanece vigente para el archivo. El método de formulación es el siguiente:

(1) Haga clic en "Otras reglas" en "Política de restricción de software", haga clic derecho en "Otras reglas" o haga clic derecho en el área en blanco del En el panel derecho, seleccione Nueva regla hash.

(2) Haga clic en "Examinar" y especifique el archivo o programa que desea identificar, como cmd.exe. Después de la confirmación, podrá ver el hash calculado en el hash del archivo, en el "Nivel de seguridad". "Seleccione "No permitido" o "Sin restricciones", como se muestra en la Figura 3. Haga clic en "Aceptar" y podrá ver que se ha agregado una nueva regla de tipo Hash en "Otras reglas".

上篇: ¿Qué tal la decoración del hogar? 下篇: Introducción a Antonidas

Artículos populares