软件限制策略

　　软件限制策略是组策略的组成部分，提供管理未知或不受信任软件的功能。软件限制策略可将以下三种可能设置中的一种应用到程序。这三种设置分别是：

　　•不受限的

　　•不允许的

　　•基本用户

　　注意 默认情况下，只有“不受限的”和“不允许的”设置可见。若要查看“基本用户”设置，必须编辑注册表项。

　　简单地说，不受限的程序可以无障碍运行，不允许的程序不能运行，而应用了“基本用户”设置的程序只能以受限用户权利运行。例如，使用此方法可配置始终以受限用户身份运行 Internet Explorer 的软件限制策略。

　　软件限制策略还可阻止从特定位置(如 Internet Explorer 临时文件文件夹)执行恶意软件。软件限制路径规则可禁止任何试图从临时 Internet 文件文件夹运行的程序。组策略可将此规则应用到域中的所有计算机。

　　DropMyRights

　　DropMyRights 禁用 SID 并从用户的访问令牌中删除特权，然后使用此受限令牌启动指定的程序。DropMyRights 可使用户以管理权利登录，然后以下列三种特权级别之一运行程序：

　　•普通

　　•受限制

　　•不受信任

　　注意 “普通”特权级别对应于受限用户帐户。“受限制”级别的限制性更强，因为增加了对访问令牌的 SID 的限制。“不受信任”级别只有最小访问权限，大多数应用程序在此级别下都不能正常运行。

　　例如，具有管理特权的用户可能需要浏览网站。用户可从调用 DropMyRights 的快捷方式运行 Internet Explorer，该快捷方式将指定程序以受限用户身份运行。此 Internet Explorer 实例在客户端计算机上具有最小权限，这样可极大地降低恶意程序安装或运行的可能性。

　　未来发展

　　Windows Vista 包含许多将增强用户帐户保护的功能。Windows Vista 使用户能够使用受限用户帐户高效工作，通过 Windows Vista 认证的程序可在受限用户帐户下顺利运行。当较旧程序试图写入注册表的受保护区域(如 HKEY_LOCAL_MACHINE 部分)时，Windows Vista 会将这些写入操作重定向到 HKEY_CURRENT_USER 部分。但是，随着供应商更新他们的程序并使这些程序通过 Windows Vista 的认证，在 LUA 方法下进行操作将成为常见做法。

　　Windows Vista 还将改进可用性。如果用户试图执行需要管理权利才能进行的更改，Vista 将自动提示用户输入管理凭据。

　　加强了对用户帐户的保护只是 Windows Vista 中安全性方面的主要改进之一。当组织升级到 Windows Vista 后，恶意软件利用管理员级帐户的机会将会减少。

　　总结

　　联网计算机所面临的各种威胁不断增多，这要求各种规模的组织实现纵深防御策略。在运行 Windows XP 的计算机上实现 LUA 方法是此策略的重要组成部分。

　　LUA 方法抵制许多组织通过本地 Administrators 组成员身份将管理权利赋予客户端计算机用户的倾向。本白皮书强调将管理权利赋予所有用户的内在风险，因为这样做会将管理特权赋予用户运行的所有程序。面向 Internet 的程序，如浏览器、电子邮件读取程序和即时消息客户端通常不应以管理权利运行，这一点尤为重要，因为此配置使客户端计算机更容易受到攻击。

　　现在重新回到本白皮书开头所述的例子，如果组织已经实现了 LUA 方法，则那个主管会以受限用户身份而非管理员身份浏览那个已遭破坏的网站。因而，恶意软件就不可能感染他的便携式计算机，这样，他就能够为客户演示他的重量级销售演示文稿，从而赢得金额可观的订单。

　　最后，LUA 方法本身不能构成解决方案，它必须与其他安全防御措施集成。这些防御措施包括用户意识、外围设备和主机防火墙、定期安全更新和检测恶意软件的最新扫描程序。