none
为何哈希规则优先级低于证书规则? RRS feed

  • 问题

  • 以下操作均在客户机上,客户机未加入任何网域

    系统是win7,使用软件限制策略,对QQ程序分别做了一个哈希规则(不限制,即允许),一个证书规则(不允许),运行QQ程序,发现会提示被组策略拦截,如下图

    查阅过微软help文档关于软件限制策略优先级的描述,哈希规则>证书规则,那为何会出现上面这样相反的结果呢?

    remark:

    1.重启系统多次、强制刷新组策略,现象依旧

    2.无论开启或是关闭UAC,现象依旧

    3.测试过有道词典程序,是按哈希规则>证书规则的

    望高手能帮忙解答,折腾小弟好久了不明白

    感谢

    2015年1月14日 13:45

全部回复

  • 你好,

    请尝试设置一个不允许的哈希规则,然后设置一个不受限的证书规则,再检查一下组策略的应用结果。

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年1月15日 7:06
    版主
  • Dear Amy:

    非常感谢您的回复。

    按照您建议的步骤,我为QQ设置一个不允许的哈希规则,然后设置一个不受限的证书规则,重启系统后,运行QQ正常,故结果依然为证书规则优先,如下图:

    麻烦再帮忙看下,感谢

    2015年1月15日 9:24
  • 你好,

    请尝试设置一个不允许的哈希规则,然后设置一个不受限的证书规则,再检查一下组策略的应用结果。

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Dear Amy:

    非常感谢您的回复。

    按照您建议的步骤,我为QQ设置一个不允许的哈希规则,然后设置一个不受限的证书规则,重启系统后,运行QQ正常,故结果依然为证书规则优先,如下图:

    麻烦再帮忙看下,感谢
    2015年1月15日 9:25
  • 你好,

    根据我的实验,如果我们在创建Certificate Rule的时候选择了Enforce certificate rules, 那么certificate rule的优先级是最高的。如果不enforce certificate rule,那么优先级为默认的哈希高于证书

    你可以在另外一台机器上做同样的实验,不要选择enforce certificate rules,然后再检查组策略的应用结果。

    下面有两个截图供你参考:

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年1月23日 7:54
    版主
  • 请问下你软件的证书在哪里下载的?
    2015年1月23日 11:21
  • Dear Amy:

    所以即使不选择“enforce certificate rules”项,证书规则也是可以生效的?

    OK,我会按您的方法再尝试下

    感谢

    2015年1月24日 1:21
  • 从安装程序里抓出来的啊
    2015年1月24日 1:23
  • 你好,

    根据我的实验,如果我们在创建Certificate Rule的时候选择了Enforce certificate rules, 那么certificate rule的优先级是最高的。如果不enforce certificate rule,那么优先级为默认的哈希高于证书

    你可以在另外一台机器上做同样的实验,不要选择enforce certificate rules,然后再检查组策略的应用结果。

    下面有两个截图供你参考:

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Dear Amy:

    若不选择“enforce certificate rules”,则为默认的“ignore certificate rules”,即忽略证书规则。既然证书规则已经被忽略,那么当然只有哈希规则会生效,造成哈希>证书的假象

    我希望的是两种规则都能生效,同时,哈希为允许(对单一软件),证书为阻止(对同证书软件),然后哈希>证书规则

    是否还有其他原因?或是help文档没写清楚

    2015年1月24日 1:45
  • 有这方面的资料吗?可以提供一份吗,谢谢
    2015年1月24日 4:00
  • http://marui.blog.51cto.com/1034148/344446/

    这个系列讲的比较清楚,直接搜“软件限制策略”还有很多

    2015年1月24日 12:46
  • 没有我想要的,不过还是谢谢了
    2015年1月25日 13:19
  • 你好,

    所以即使不选择“enforce certificate rules”项,证书规则也是可以生效的?

    考虑到设置的HashCertificate rule都是针对同一个软件,所以如果不enforce certificate rule, 那么真正应用的只有Hash ruleCertificate rule 会被忽略。

    想要Certificate rule生效,要么enforce certificate rule,要么不设置Hash rule.

    我希望的是两种规则都能生效,同时,哈希为允许(对单一软件),证书为阻止(对同证书软件),然后哈希>证书规则

    我觉得没有两种rule都生效的情况,因为不管怎么样,总有一个优先级高的rule

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年1月27日 4:11
    版主
  • Dear Amy:

    感谢您的回复,如果是这样,那需要阻止所有腾讯的软件,但又只允许QQ运行,使用软件限制策略,要如何实现呢?或有其他更适合的方法?

    感谢!

    2015年1月27日 4:36