收藏
下载资源

谈在WindowsServer2003中使用软件限制策略(共9页)

上传人:1537****568 文档编号:219969535 上传时间:2021-12-07 格式:DOC 页数:8 大小:32.50KB
返回 下载 相关 举报
谈在WindowsServer2003中使用软件限制策略(共9页)_第1页
第1页 / 共8页
谈在WindowsServer2003中使用软件限制策略(共9页)_第2页
第2页 / 共8页
谈在WindowsServer2003中使用软件限制策略(共9页)_第3页
第3页 / 共8页
谈在WindowsServer2003中使用软件限制策略(共9页)_第4页
第4页 / 共8页
谈在WindowsServer2003中使用软件限制策略(共9页)_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《谈在WindowsServer2003中使用软件限制策略(共9页)》由会员分享,可在线阅读,更多相关《谈在WindowsServer2003中使用软件限制策略(共9页)(8页珍藏版)》请在金锄头文库上搜索。

1、在 Windows Server 2003 中使用软件限制策略概要本文说明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略可以标识并指定允许运行的软件,以便保护您的计算机环境不会受到不可信代码的攻击。使用软件限制策略时,可以为组策略对象 (GPO) 定义两种默认安全级别(分别是无限制和不允许)中的一种,使得在默认情况下或者允许软件运行,或者不允许软件运行。要创建此默认安全级别的特例,可以创建针对特定软件的规则。可以创建以下几种规则: 哈希规则 证书规则 路径规则 Internet 区域规则一个策略由默认安全级别和所有应用于 GPO 的规则组成。此策略可以应用

2、于所有的计算机或者个别用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否可以运行的决定。有了软件限制策略,用户在运行程序时必须遵守管理员设置的规则。通过软件限制策略,可以执行以下任务: 控制可以在计算机上运行的程序。例如,如果担心用户通过电子邮件收到病毒,可以应用一个策略,不允许一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 在多用户计算机上,仅允许用户运行特定的文件。例如,如果您的计算机上有多个用户,您可以设置软件限制策略,使用户除了可以访问必须在工作中使用的特定文件外,不能访问其他任何软件。 确定谁可以向计算机中添加受信任的发布服务

3、器。 控制软件限制策略是影响计算机上的所有用户,还是只影响一些用户。 阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,如果存在已知病毒,就可以使用软件限制策略阻止计算机打开包含该病毒的文件。重要说明:Microsoft 建议不要用软件限制策略代替防病毒软件。如何启动软件限制策略仅对于本地计算机1. 单击开始,指向程序,指向管理工具,然后单击本地安全策略。2. 在控制台树中,展开安全设置,然后展开软件限制策略。对于成员服务器上的域、站点或组织单元或者已经加入域的工作站1. 打开 Microsoft 管理控制台 (MMC)。要执行此操作,请单击开始,单击运行,键入mmc,然后单击确定。2

4、. 在文件菜单中,单击添加/删除管理单元,然后单击添加。3. 单击组策略对象编辑器,然后单击添加。4. 在选择组策略对象中,单击浏览。5. 在浏览组策略对象中,选择相应的域、站点或组织单元中的一个组策略对象 (GPO),然后单击完成。或者,可以创建一个新的 GPO,然后单击完成。6. 单击关闭,然后单击确定。7. 在控制台树中,转到以下位置:组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略对于域控制器上的组织单元或域或者已经安装了管理工具包的工作站1. 单击开始,指向所有程序,指向管理工具,然后单击 Active Directo

5、ry 用户和计算机。2. 在控制台树中,右键单击希望为其设置组策略的域或组织单元。3. 单击属性,然后单击组策略选项卡。4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。或者,可以单击新建创建一个新的 GPO,然后单击编辑。5. 在控制台树中,转到以下位置:组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略对于站点和域控制器或者已经安装了管理工具包的工作站1. 单击开始,指向所有程序,指向管理工具,然后单击 Active Directory 站点和服务。2. 在控制台中,右键单击希望为其设置组策略的站点: Ac

6、tive Directory 站点和服务 Domain_Controller_Name。Domain_Name 站点 站点3. 单击属性,然后单击组策略选项卡。4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。或者,单击新建创建一个新的 GPO,然后单击编辑。5. 在控制台树中,转到以下位置:组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略重要说明:单击用户配置设置将要应用于用户的策略,与用户登录的计算机无关。单击计算机配置设置将要应用于计算机的策略,与登录到计算机的用户无关。还可以通过使用称为“环回”的高级

7、组策略设置,在特定的用户登录到特定的计算机时对他们应用软件限制策略。如何防止软件限制策略应用于本地管理员1. 单击开始,单击运行,键入 mmc,然后单击确定。2. 打开软件限制策略。3. 在详细信息窗格中,双击强制。4. 在“将软件限制策略应用于下列用户”下,单击“除本地管理员以外的所有用户”。注意: 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。 一般情况下,用户是组织内计算机上的本地管理员组的成员,因此您可能不想启用此设置。软件限制策略不会应用于任何属于本地管理员组的用户。 如果您正在为本地计算机定义软件限制策略设置,可以使用此过程防止本地管理员将软件限制策略应用于

8、自身。如果您正在为网络定义软件限制策略设置,可以通过使用组策略,基于安全组的成员身份筛选用户策略设置。如何创建证书规则1. 单击开始,单击运行,键入 mmc,然后单击确定。2. 打开软件限制策略。3. 在控制台树或详细信息窗格中,右键单击其他规则,然后单击新建证书规则。4. 单击浏览,然后选择证书。5. 选择安全级别。6. 在描述框中,键入对此规则的说明,然后单击确定。注意: 有关如何在 MMC 中启动软件限制策略的信息,请参见 Windows Server 2003 帮助文件的“相关主题”中的“启动软件限制策略”。 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。 默认

9、情况下不启用证书规则。要启用证书规则: 1. 单击开始,单击运行,键入 regedit,然后单击确定。2. 找到并单击以下注册表项:HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers3. 在详细信息窗格中,双击 AuthenticodeEnabled,然后将值数据从 0 更改为 1。 证书规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。 要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。 当应用于策略设置的规则不止一个时,存在处理冲突的

10、规则优先权。如何创建哈希规则1. 单击开始,单击运行,键入 mmc,然后单击确定。2. 打开软件限制策略。3. 在控制台树或详细信息窗格中,右键单击其他规则,然后单击新建哈希规则。4. 单击浏览找到文件,或者将预先计算好的哈希值粘贴到文件哈希框中。5. 在安全级别框中,单击不允许或无限制。6. 在描述框中,键入对此规则的说明,然后单击确定。注意: 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。 可以创建针对病毒或特洛伊木马程序的哈希规则,以防止恶意软件运行。 如果您希望其他用户使用哈希规则防止病毒运行,可以使用软件限制策略计算病毒的哈希值,然后将此哈希值通过电子邮件发送

11、给其他用户。千万不要通过电子邮件发送病毒本身。 如果已经通过电子邮件发送了病毒,还可以创建路径规则以阻止用户运行邮件附件。 将文件重命名或移动到另一个文件夹不会导致哈希值改变。 对文件进行任何更改都会导致哈希值改变。 哈希规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。 要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。 当应用于策略设置的规则不止一个时,存在处理冲突的规则优先权。如何创建 Internet 区域规则1. 单击开始,单击运行,键入 mmc,然后单击确定。2. 打开软件限制策略。3. 在控制台树中,单击软件限制

12、策略。4. 在控制台树或详细信息窗格中,右键单击其他规则,然后单击新建 Internet 区域规则。5. 在 Internet 区域中,单击某个 Internet 区域。6. 在安全级别框中,单击不允许或无限制,然后单击确定。注意: 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。 区域规则仅应用于 Windows Installer 软件包。 区域规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。 要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。 当应用于策略设置的规则不止一个时,存在处理冲突的规则优

13、先权。如何创建路径规则1. 单击开始,单击运行,键入 mmc,然后单击确定。2. 打开软件限制策略。3. 在控制台树或详细信息窗格中,右键单击其他规则,然后单击新建路径规则。4. 在路径框中键入路径,或单击浏览查找文件或文件夹。5. 在安全级别框中,单击不允许或无限制。6. 在描述框中,键入对此规则的说明,然后单击确定。重要说明:将某些文件夹(如 Windows 文件夹)的安全级别设置为不允许会对操作的操作产生负面影响。请确保没有禁用操作的关键组件或其相关程序。注意: 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。 如果为一个安全级别为不允许的程序创建了路径规则,用户将

14、该软件复制到其他位置后仍可运行该软件。 路径规则支持的通配符为星号 (*) 和问号 (?)。 可以在路径规则中使用环境变量(如 %programfiles% 或 %systemroot%)。 当您不知道软件在计算机上的存储位置,但知道其注册表项时,要为该软件创建路径规则,可以创建注册表路径规则。 要防止用户运行电子邮件附件,可为邮件程序的附件文件夹创建一个防止用户运行电子邮件附件的路径规则。 路径规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。 要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。 当应用于策略设置的规则不止一

15、个时,存在处理冲突的规则优先权。如何创建注册表路径规则1. 单击开始,单击运行,键入 regedit,然后单击确定。2. 在控制台树中,右键单击希望为其创建规则的注册表项,然后单击复制项名称。3. 记下详细信息窗格中的值名称。4. 单击开始,单击运行,键入 mmc,然后单击确定。5. 打开软件限制策略。6. 在控制台树或详细信息窗格中,右键单击其他规则,然后单击新建路径规则。7. 在路径中粘贴注册表项名称和值名称。8. 用百分号 (%) 将注册表路径括起来,例如:%HKEY_LOCAL_MACHINESOFTWAREMicrosoftPlatformSDKDirectoriesInstallDir%9. 在安全级别框中,单击不允许或无限制。10. 在描述框中

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 计算机应用/办公自动化

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号