概要 本文說明如何在 Windows Server
中使用軟件限制策略
使用軟件限制策略可以標識並指定允許運行的軟件
以便保護您的計算機環境不會受到不可信代碼的攻擊
使用軟件限制策略時
可以為組策略對象 (GPO) 定義兩種默認安全級別(分別是無限制和不允許)中的一種
使得在默認情況下或者允許軟件運行
或者不允許軟件運行
要創建此默認安全級別的特例
可以創建針對特定軟件的規則
可以創建以下幾種規則
哈希規則
證書規則
路徑規則
Internet 區域規則 一個策略由默認安全級別和所有應用於 GPO 的規則組成
此策略可以應用於所有的計算機或者個別用戶
軟件限制策略提供了許多標識軟件的方法
它們還提供了基於策略的基礎結構
以便強制執行關於軟件是否可以運行的決定
有了軟件限制策略
用戶在運行程序時必須遵守管理員設置的規則
通過軟件限制策略
可以執行以下任務
控制可以在計算機上運行的程序
例如
如果擔心用戶通過電子郵件收到病毒
可以應用一個策略
不允許一些文件類型在電子郵件程序的電子郵件附件文件夾中運行
在多用戶計算機上
僅允許用戶運行特定的文件
例如
如果您的計算機上有多個用戶
您可以設置軟件限制策略
使用戶除了可以訪問必須在工作中使用的特定文件外
不能訪問其他任何軟件
確定誰可以向計算機中添加受信任的發布服務器
控制軟件限制策略是影響計算機上的所有用戶
還是只影響一些用戶
阻止任何文件在本地計算機
組織單元
站點或域中運行
例如
如果存在已知病毒
就可以使用軟件限制策略阻止計算機打開包含該病毒的文件
重要說明
Microsoft 建議不要用軟件限制策略代替防病毒軟件
如何啟動軟件限制策略 僅對於本地計算機
單擊開始
指向程序
指向管理工具
然後單擊本地安全策略
在控制台樹中
展開安全設置
然後展開軟件限制策略
對於成員服務器上的域
站點或組織單元或者已經加入域的工作站
打開 Microsoft 管理控制台 (MMC)
要執行此操作
請單擊開始
單擊運行
鍵入mmc
然後單擊確定
在文件菜單中
單擊添加/刪除管理單元
然後單擊添加
單擊組策略對象編輯器
然後單擊添加
在選擇組策略對象中
單擊浏覽
在浏覽組策略對象中
選擇相應的域
站點或組織單元中的一個組策略對象 (GPO)
然後單擊完成
或者
可以創建一個新的 GPO
然後單擊完成
單擊關閉
然後單擊確定
在控制台樹中
轉到以下位置
組策略對象 Computer_name 策略/計算機配置或用戶/配置/Windows 設置/安全設置/軟件限制策略
對於域控制器上的組織單元或域或者已經安裝了管理工具包的工作站
單擊開始
指向所有程序
指向管理工具
然後單擊 Active Directory 用戶和計算機
在控制台樹中
右鍵單擊希望為其設置組策略的域或組織單元
單擊屬性
然後單擊組策略選項卡
單擊組策略對象鏈接中的一項
選擇一個現有的 GPO
然後單擊編輯
或者
可以單擊新建創建一個新的 GPO
然後單擊編輯
在控制台樹中
轉到以下位置
組策略對象 Computer_name 策略/計算機配置或用戶配置/Windows 設置/安全設置/軟件限制策略
對於站點和域控制器或者已經安裝了管理工具包的工作站 單擊開始
指向所有程序
指向管理工具
然後單擊 Active Directory 站點和服務
在控制台中
右鍵單擊希望為其設置組策略的站點
Active Directory 站點和服務 [ Domain_Controller_Name
Domain_Name]
站點
單擊屬性
然後單擊組策略選項卡
單擊組策略對象鏈接中的一項
選擇一個現有的 GPO
然後單擊編輯
或者
單擊新建創建一個新的 GPO
然後單擊編輯
在控制台樹中
轉到以下位置
組策略對象 Computer_name 策略/計算機配置或用戶配置/Windows 設置/安全設置/軟件限制策略
重要說明
單擊用戶配置設置將要應用於用戶的策略
與用戶登錄的計算機無關
單擊計算機配置設置將要應用於計算機的策略
與登錄到計算機的用戶無關
還可以通過使用稱為
環回
的高級組策略設置
在特定的用戶登錄到特定的計算機時對他們應用軟件限制策略
如何防止軟件限制策略應用於本地管理員 單擊開始
單擊運行
鍵入 mmc
然後單擊確定
打開軟件限制策略
在詳細信息窗格中
雙擊強制
在
將軟件限制策略應用於下列用戶
下
單擊
除本地管理員以外的所有用戶
注意
如果您還沒有為此 GPO 創建新的軟件限制策略設置
可能必須創建一個
一般情況下
用戶是組織內計算機上的本地管理員組的成員
因此您可能不想啟用此設置
軟件限制策略不會應用於任何屬於本地管理員組的用戶
如果您正在為本地計算機定義軟件限制策略設置
可以使用此過程防止本地管理員將軟件限制策略應用於自身
如果您正在為網絡定義軟件限制策略設置
可以通過使用組策略
基於安全組的成員身份篩選用戶策略設置
如何防止軟件限制策略應用於本地管理員 單擊開始
單擊運行
鍵入 mmc
然後單擊確定
打開軟件限制策略
在詳細信息窗格中
雙擊強制
在
將軟件限制策略應用於下列用戶
下
單擊
除本地管理員以外的所有用戶
注意
如果您還沒有為此 GPO 創建新的軟件限制策略設置
可能必須創建一個
一般情況下
用戶是組織內計算機上的本地管理員組的成員
因此您可能不想啟用此設置
軟件限制策略不會應用於任何屬於本地管理員組的用戶
如果您正在為本地計算機定義軟件限制策略設置
可以使用此過程防止本地管理員將軟件限制策略應用於自身
如果您正在為網絡定義軟件限制策略設置
可以通過使用組策略
基於安全組的成員身份篩選用戶策略設置
如何創建證書規則 單擊開始
單擊運行
鍵入 mmc
然後單擊確定
打開軟件限制策略
在控制台樹或詳細信息窗格中
右鍵單擊其他規則
然後單擊新建證書規則
單擊浏覽
然後選擇證書
選擇安全級別
在描述框中
鍵入對此規則的說明
然後單擊確定
注意
有關如何在 MMC 中啟動軟件限制策略的信息
請參見 Windows Server
幫助文件的
相關主題
中的
啟動軟件限制策略
如果您還沒有為此 GPO 創建新的軟件限制策略設置
可能必須創建一個
默認情況下不啟用證書規則要啟用證書規則 單擊開始
單擊運行
鍵入 regedit
然後單擊確定
找到並單擊以下注冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
在詳細信息窗格中
雙擊 AuthenticodeEnabled
然後將值數據從
更改為
證書規則只影響指派的文件類型中列出的那些文件類型
存在一個由所有規則共享的指派文件類型的列表
要使軟件限制策略生效
用戶必須從他們的計算機上注銷然後再次登錄以更新策略設置
當應用於策略設置的規則不止一個時
存在處理沖突的規則優先權
如何創建哈希規則 單擊開始
單擊運行
鍵入 mmc
然後單擊確定
打開軟件限制策略
在控制台樹或詳細信息窗格中
右鍵單擊其他規則
然後單擊新建哈希規則
單擊浏覽找到文件
或者將預先計算好的哈希值粘貼到文件哈希框中
在安全級別框中
單擊不允許或無限制
在描述框中
鍵入對此規則的說明
然後單擊確定
注意
如果您還沒有為此 GPO 創建新的軟件限制策略設置
可能必須創建一個
可以創建針對病毒或特洛伊木馬程序的哈希規則
以防止惡意軟件運行
如果您希望其他用戶使用哈希規則防止病毒運行
可以使用軟件限制策略計算病毒的哈希值
然後將此哈希值通過電子郵件發送給其他用戶
千萬不要通過電子郵件發送病毒本身
如果已經通過電子郵件發送了病毒
還可以創建路徑規則以阻止用戶運行郵件附件
將文件重命名或移動到另一個文件夾不會導致哈希值改變
對文件進行任何更改都會導致哈希值改變
哈希規則只影響指派的文件類型中列出的那些文件類型
存在一個由所有規則共享的指派文件類型的列表
要使軟件限制策略生效
用戶必須從他們的計算機上注銷然後再次登錄以更新策略設置
當應用於策略設置的規則不止一個時
存在處理沖突的規則優先權
如何創建 Internet 區域規則<
From:http://tw.wingwit.com/Article/os/xtgl/201311/9162.html
