Software Restriction - محدوديت اجراي نرم افزار
اين ويژگي كه در ويندوز XP و ويندوز Server 2003 بعنوان يك ويژگي جديد قرار گرفته است اجازه مي دهد تا محيط كامپيوتر در مقابل اجراي كد و نرم افزار هاي غير مطمئن حفاظت شده باشد . اين Policy نيز مشابه قبل قابل اعمال بر روي User و يا Computer است و با توجه به نيازي كه وجود دارد بايستي از طريق User/Computer Configuration براي ايجاد آن اقدام كرد .
بطور خلاصه مي توان توانايي هاي Software Restriction را در زير ليست كرد :
1. كنترل نرم افزار هاي قابل اجرا بر روي كامپيوتر .
2. اجازه اجرا و يا عدم اجراي نرم افزار خاص براي كامپيوتر و يا كاربر .
3. جلوگيري از اجراي فايل خاص ( مانند ويروس يا تروجان ) بر روي كامپيوتر .
و ...
Software Restriction در واقع جرئي از Policy هاي امنيتي Group Policy است كه در اين مطلب بررسي كرده ايم . اين Policy امنيتي مشابه تمام Policy هاي ديگر قابل اعمال بر روي Site / Domain / OU مي باشد . در اين Policy دو سطح امنيتي از پيش تعريف شده وجود دارد :
• Unrestricted : به نرم افزار ها اجازه مي دهد بطور كامل اجرا شوند .
• Disallowed : به هيچ نرم افزاري اجازه اجرا نمي دهد .
در هر دو حالت فوق مي توانيد اصطلاحا Ruleهايي تعريف كنيد كه بعنوان استثنا تلقي شده و خارج از سطوح تعيين شده قرار گيرد . در اين رابطه بعدا مفصل صحبت خواهيم كرد .
اما Software Restriction بر چه اساسي كار خواهد كرد :
وقتي كاربري براي اجراي نرم افزاري اقدام مي كند ان نرم افزار ابندا بايد توسط Policy ها تعريف شده مورد شناسايي قرار گيرد . اين شناسايي به چهار طريق زير صورت مي گيرد :
1. Hash : مجموعه اي از بايت ها با اندازه ثابت كه بطور يكتا نرم افزاري را معرفي مي كند .
2. Certificate : وجود يك Document ديجيتالي براي شناسايي اطلاعات .
3. Path : مسير نرم افزار يا فايل اجرايي .
4. Internet Zone : زير درخت معرفي شده از طريق IE براي مثال Internet , Intranet , Restricted Sites و ..
Policy هاي تعريف شده در اين بخش از Group Policy اجراي نرم افزار ها را شناسايي و كنترل مي كنند . در واقع اين عمل بر اساس تعريف Rule صورت مي گيرد . همانطور كه قبلا اشاره كرديم Rule استثناهايي است كه مي تواند خارج از سطح تعيين شده قرار گيرد . نتيجه اينكه اين Rule ها بر اساس چهار مورد بررسي شده در بالا تعيين و نوشته مي شوند . شما مي توانيد براي يك نرم افزار چندين Rule تعريف كنيد . اما بايستي دقت كنيد كه نحوه پردازش اين Rule ها از بالا به پايين و به طريق زير است :
Hash Rule
Certificate Rule
Path Rule
Internet zone Rule
براي مثال اگر فايلي داشته باشيد كه كه بر روي آن Hash Rule با سطح امنيتي Unrestricted اعمال شده باشد ولي فايل مد نظر در فولدري باشد كه Path Rule آن با سطح امنيتي Disallowed تعريف شده باشد انگاه فايل مورد نظر اجرا خواهد شد . چراكه اولويت Hash Rule بالاتر از Path Rule مي باشد .
بعد تعريف كلي از Software Restriction نوبت به آن مي رسد تا با اجراي دو مثال عملي نحوه پياده سازي اين Policy را بررسي كنيم . براي اجراي Software Restriction Policy سه مرحله را بايد انجام دهيد :
1. تعيين سطح امنيتي
2. ايجاد Rule
3. انتخاب نوع فايل
۱۵:۰۳ 
