安全级别

对于软件限制策略，默认情况下，系统为我们提供了两个安全级别：“不受限的”和“不允许的”

注：

1. “不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限
2. “不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。

但实际上，还有三个级别在默认情况是隐藏掉的，我们可以通过手动修改注册表来开启其它的三个级别，打开注册表编辑器，展开至：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
Safer\CodeIdentifiers
新建一个DOWRD，命名为Levels，其值为 0x4131000(十六十制的4131000)

创建完毕后重新打开gpedit.msc，我们会看到另外三个级别此时已经开启了。

1. 不受限的
   最高权限，但其也并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。
2. 基本用户
   基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。
3. 受限的
   比基本用户限制更多，但也享有“跳过遍历检查”的特权。
4. 不信任的
   不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。
5. 不允许的
   无条件地阻止程序执行或文件被打开

根据权限大小可以排序为： 不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的

出处：蓝色理想
责任编辑：bluehearts

上一页 Windows组策略之软件限制策略 [1] 下一页 Windows组策略之软件限制策略 [3]

◎进入论坛计算机技术版块参加讨论