《怎样限制软件使用》由会员分享,可在线阅读,更多相关《怎样限制软件使用(2页珍藏版)》请在金锄头文库上搜索。
1、关于软件限制策略家庭环境:禁止特定程序运行家长需要使用 Windows Live Messenger 联系朋友,但不希望孩子用这个软件在网上和 陌生人聊天,这时候可以考虑使用软件限制策略。要使用这个功能,家长必须使用管理员帐户,孩子则必须使用非管理员帐户。这样做主 要有两个目的:首先,在单机环境下,软件限制策略只能对所有本地帐户生效,只有一个例 外,就是管理员帐户,我们可以通过组策略决定软件限制策略是否对管理员帐户生效。另外, 不让孩子使用管理员帐户,可以防止孩子私自修改相关策略,取消限制。完整的操作过程是这样的:1. 运行 secpol.msc 打开“本地安全策略”控制台,从窗口左侧的控制台
2、树中依次进入 “安全设置” “软件限制策略”,用鼠标右键单击“软件限制策略”,选择“创建软件限 制策略”。接着双击右侧的“强制”策略,把“将软件限制策略应用到下列用户”选项设置 为“除本地管理员以外的所有用户”。2. 接着创建禁止运行 Windows Live Messenger 的策略。在“其他规则”节点上单击鼠 标右键,选择“新建路径规则”,在随后打开的对话框中单击“浏览”按钮,然后选择 Windows Live Messenger 的安装路径。确定路径后在“安全级别”下拉菜单中选择“不允 许的”。这样就设置完成了。现在请考虑,为什么在这里我们要使用路径规则,而不使用其他规 则?如果使用证
3、书规则,那么所有带有微软数字签名的软件都将无法使用,而 Windows Vista 中这样的软件数不胜数。如果使用哈希规则,那么一旦Windows Live Messenger升级了, 哈希改变,就会导致显示失效。看看会怎样吧。让孩子使用自己的帐户登录系统,运行其他软件都正常,但在尝试运行Windows Live Messenger的时候会看到如图11的错误提示信息。公司环境:允许特定程序运行公司里的情况就复杂多了,老板可能希望员工只使用工作上需要的程序,而禁止运行其 他任何和工作无关的程序。假设老板希望在保证 Windows 正常运行的情况下,只允许员工运 行AutoCAD,不允许使用其他任
4、何程序,完整的操作过程是这样的:1. 首先和上面的例子一样,给员工创建非管理员帐户,当然,原因也是一样的。2. 接着运行 secpol.msc 打开“本地安全策略”控制台,创建软件限制策略,并将“强 制”策略设置为“除本地管理员以外的所有用户”。3. 进入到“安全级别”节点,在“不允许的”节点上单击鼠标右键,选择“设置为默 认”,并在随后出现的提示对话框上单击“是”。这样才可以在禁止运行所有程序的前提下 只允许指定的程序运行。4. 进入到“其他规则”节点,一定要注意,由于实际情况的不同,这里可能会出现一 些安全级别显示为“不受限的”的规则,不要编辑或者删除这些规则,只有存在这些规则才 能保证操
5、作系统能够正常运行。用鼠标右键单击“其他规则”节点,选择“新建哈希规则”。 在随后出现的对话框中单击“浏览”按钮,选择 AutoCAD 软件的主文件,然后在“安全级 别”下拉菜单中选择“不受限的”。注意:这种方法无法限制Windows自带的程序。软件限制策略使用建议基本上,和软件限制策略有关的概念性内容就是上面这些了,很简单,但是如何利用这 些概念创建出能够保证系统和信息安全的规则则需要长期的练习。同时在使用该功能的时候 还有一些问题需要注意。首先,如果设置的策略对所有用户,包括管理员都生效,但因为自己设置错误,导致系 统无法使用,甚至本地安全策略控制台都打不开,这时候该怎么办?遇到这种情况也
6、不用着 急,只要在安全模式下使用管理员帐户登录即可,安全模式下软件限制策略不会生效,因此 我们可以在安全模式下修改错误的设置。另外,请密切注意你的设置在保证限制的同时,是否会影响到用户的使用。例如,如果 我们需要在禁止使用其他软件的同时允许使用 Windows Live Messenger 和客户交流,那么 是否只要对msnmsgr.exe(Windows Live Messenger的主程序)创建一条哈希规则就可以了? 这样做该软件确实可以使用,但功能上会受到限制,例如语音通信或者视频通信,虽然也是 在Windows Live Messenger中完成的,但实际上这些应用由专门的程序来完成。因此在创 建规则的时候,一定要确保不仅可以保证必要软件的正常使用,还得保证所有需要的功能都 不会受到限制。最后,单纯使用软件限制策略能否完全保证实现目的?假如我们通过路径规则禁止员工 使用QQ,员工将QQ的安装目录移动到其他位置,只要让路径变化了,那么这条策略就等于 失效。因此在使用策略限制软件使用的同时,还需要配合NTFS权限,禁止员工移动文件到 其他目录,或者禁止给某些目录写入新的文件.
