熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

在 Windows Server 2003 中使用軟件限制策略

2013-11-11 21:45:37  來源: Windows系統管理 

  概要
  
  本文說明如何在 Windows Server 中使用軟件限制策略使用軟件限制策略可以標識並指定允許運行的軟件以便保護您的計算機環境不會受到不可信代碼的攻擊使用軟件限制策略時可以為組策略對象 (GPO) 定義兩種默認安全級別(分別是無限制和不允許)中的一種使得在默認情況下或者允許軟件運行或者不允許軟件運行要創建此默認安全級別的特例可以創建針對特定軟件的規則可以創建以下幾種規則 哈希規則
  
  證書規則
  
  路徑規則
  
  Internet 區域規則
  
  一個策略由默認安全級別和所有應用於 GPO 的規則組成此策略可以應用於所有的計算機或者個別用戶軟件限制策略提供了許多標識軟件的方法它們還提供了基於策略的基礎結構以便強制執行關於軟件是否可以運行的決定有了軟件限制策略用戶在運行程序時必須遵守管理員設置的規則
  
  通過軟件限制策略可以執行以下任務 控制可以在計算機上運行的程序例如如果擔心用戶通過電子郵件收到病毒可以應用一個策略不允許一些文件類型在電子郵件程序的電子郵件附件文件夾中運行
  
  在多用戶計算機上僅允許用戶運行特定的文件例如如果您的計算機上有多個用戶您可以設置軟件限制策略使用戶除了可以訪問必須在工作中使用的特定文件外不能訪問其他任何軟件
  
  確定誰可以向計算機中添加受信任的發布服務器
  
  控制軟件限制策略是影響計算機上的所有用戶還是只影響一些用戶
  
  阻止任何文件在本地計算機組織單元站點或域中運行例如如果存在已知病毒就可以使用軟件限制策略阻止計算機打開包含該病毒的文件重要說明Microsoft 建議不要用軟件限制策略代替防病毒軟件
  
  如何啟動軟件限制策略
  
  僅對於本地計算機
  
   單擊開始指向程序指向管理工具然後單擊本地安全策略
  
   在控制台樹中展開安全設置然後展開軟件限制策略
  
  對於成員服務器上的域站點或組織單元或者已經加入域的工作站
  
   打開 Microsoft 管理控制台 (MMC)要執行此操作請單擊開始單擊運行鍵入mmc然後單擊確定
  
   在文件菜單中單擊添加/刪除管理單元然後單擊添加
  
   單擊組策略對象編輯器然後單擊添加
  
   在選擇組策略對象中單擊浏覽
  
   在浏覽組策略對象中選擇相應的域站點或組織單元中的一個組策略對象 (GPO)然後單擊完成
  
  或者可以創建一個新的 GPO然後單擊完成
  
   單擊關閉然後單擊確定
  
   在控制台樹中轉到以下位置
  
  組策略對象 Computer_name 策略/計算機配置或用戶/配置/Windows 設置/安全設置/軟件限制策略
  
  對於域控制器上的組織單元或域或者已經安裝了管理工具包的工作站
  
   單擊開始指向所有程序指向管理工具然後單擊 Active Directory 用戶和計算機
  
   在控制台樹中右鍵單擊希望為其設置組策略的域或組織單元
  
   單擊屬性然後單擊組策略選項卡
  
   單擊組策略對象鏈接中的一項選擇一個現有的 GPO然後單擊編輯
  
  或者可以單擊新建創建一個新的 GPO然後單擊編輯
  
   在控制台樹中轉到以下位置
  
  組策略對象 Computer_name 策略/計算機配置或用戶配置/Windows 設置/安全設置/軟件限制策略
  
  對於站點和域控制器或者已經安裝了管理工具包的工作站
  
   單擊開始指向所有程序指向管理工具然後單擊 Active Directory 站點和服務
  
   在控制台中右鍵單擊希望為其設置組策略的站點 Active Directory 站點和服務 [ Domain_Controller_NameDomain_Name]
  
  站點
  
   單擊屬性然後單擊組策略選項卡
  
   單擊組策略對象鏈接中的一項選擇一個現有的 GPO然後單擊編輯
  
  或者單擊新建創建一個新的 GPO然後單擊編輯
  
   在控制台樹中轉到以下位置
  
  組策略對象 Computer_name 策略/計算機配置或用戶配置/Windows 設置/安全設置/軟件限制策略
  
  重要說明單擊用戶配置設置將要應用於用戶的策略與用戶登錄的計算機無關單擊計算機配置設置將要應用於計算機的策略與登錄到計算機的用戶無關
  
  還可以通過使用稱為環回的高級組策略設置在特定的用戶登錄到特定的計算機時對他們應用軟件限制策略
  
  如何防止軟件限制策略應用於本地管理員
  
   單擊開始單擊運行鍵入 mmc然後單擊確定
  
   打開軟件限制策略
  
   在詳細信息窗格中雙擊強制
  
  將軟件限制策略應用於下列用戶單擊除本地管理員以外的所有用戶
  
  注意 如果您還沒有為此 GPO 創建新的軟件限制策略設置可能必須創建一個
  
  一般情況下用戶是組織內計算機上的本地管理員組的成員因此您可能不想啟用此設置軟件限制策略不會應用於任何屬於本地管理員組的用戶
  
  如果您正在為本地計算機定義軟件限制策略設置可以使用此過程防止本地管理員將軟件限制策略應用於自身如果您正在為網絡定義軟件限制策略設置可以通過使用組策略基於安全組的成員身份篩選用戶策略設置
  
  如何防止軟件限制策略應用於本地管理員
  
   單擊開始單擊運行鍵入 mmc然後單擊確定
  
   打開軟件限制策略
  
   在詳細信息窗格中雙擊強制
  
  將軟件限制策略應用於下列用戶單擊除本地管理員以外的所有用戶
  
  注意 如果您還沒有為此 GPO 創建新的軟件限制策略設置可能必須創建一個
  
  一般情況下用戶是組織內計算機上的本地管理員組的成員因此您可能不想啟用此設置軟件限制策略不會應用於任何屬於本地管理員組的用戶
  
  如果您正在為本地計算機定義軟件限制策略設置可以使用此過程防止本地管理員將軟件限制策略應用於自身如果您正在為網絡定義軟件限制策略設置可以通過使用組策略基於安全組的成員身份篩選用戶策略設置
  
  如何創建證書規則
  
   單擊開始單擊運行鍵入 mmc然後單擊確定
  
   打開軟件限制策略
  
   在控制台樹或詳細信息窗格中右鍵單擊其他規則然後單擊新建證書規則
  
   單擊浏覽然後選擇證書
  
   選擇安全級別
  
   在描述框中鍵入對此規則的說明然後單擊確定
  
  注意 有關如何在 MMC 中啟動軟件限制策略的信息請參見 Windows Server 幫助文件的相關主題中的啟動軟件限制策略
  
  如果您還沒有為此 GPO 創建新的軟件限制策略設置可能必須創建一個
  
  默認情況下不啟用證書規則要啟用證書規則
  
   單擊開始單擊運行鍵入 regedit然後單擊確定
  
   找到並單擊以下注冊表項
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
  
   在詳細信息窗格中雙擊 AuthenticodeEnabled然後將值數據從 更改為
  
  證書規則只影響指派的文件類型中列出的那些文件類型存在一個由所有規則共享的指派文件類型的列表
  
  要使軟件限制策略生效用戶必須從他們的計算機上注銷然後再次登錄以更新策略設置
  
  當應用於策略設置的規則不止一個時存在處理沖突的規則優先權
  
  如何創建哈希規則
  
   單擊開始單擊運行鍵入 mmc然後單擊確定
  
   打開軟件限制策略
  
   在控制台樹或詳細信息窗格中右鍵單擊其他規則然後單擊新建哈希規則
  
   單擊浏覽找到文件或者將預先計算好的哈希值粘貼到文件哈希框中
  
   在安全級別框中單擊不允許或無限制
  
   在描述框中鍵入對此規則的說明然後單擊確定
  
  注意 如果您還沒有為此 GPO 創建新的軟件限制策略設置可能必須創建一個
  
  可以創建針對病毒或特洛伊木馬程序的哈希規則以防止惡意軟件運行
  
  如果您希望其他用戶使用哈希規則防止病毒運行可以使用軟件限制策略計算病毒的哈希值然後將此哈希值通過電子郵件發送給其他用戶千萬不要通過電子郵件發送病毒本身
  
  如果已經通過電子郵件發送了病毒還可以創建路徑規則以阻止用戶運行郵件附件
  
  將文件重命名或移動到另一個文件夾不會導致哈希值改變
  
  對文件進行任何更改都會導致哈希值改變
  
  哈希規則只影響指派的文件類型中列出的那些文件類型存在一個由所有規則共享的指派文件類型的列表
  
  要使軟件限制策略生效用戶必須從他們的計算機上注銷然後再次登錄以更新策略設置
  
  當應用於策略設置的規則不止一個時存在處理沖突的規則優先權
  
  如何創建 Internet 區域規則<
From:http://tw.wingwit.com/Article/os/xtgl/201311/9162.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.