談在windowsserver中使用軟件限制策略

1、1 / 15在 Windows Server 2003 中使用軟件限制策略概要本文講明如何在 Windows Server 2003 中使用軟件限制策 略。使用軟件限制策略能夠標(biāo)識(shí)并指定同意運(yùn)行的軟件， 以便愛 護(hù)您的計(jì)算機(jī)環(huán)境可不能受到不可信代碼的攻擊。 使用軟件限制 策略時(shí)，能夠?yàn)榻M策略對(duì)象 (GPO) 定義兩種默認(rèn)安全級(jí)不(分 不是無限制和不同意)中的一種， 使得在默認(rèn)情況下或者同意軟 件運(yùn)行，或者不同意軟件運(yùn)行。要?jiǎng)?chuàng)建此默認(rèn)安全級(jí)不的特例， 能夠創(chuàng)建針對(duì)特定軟件的規(guī)則。能夠創(chuàng)建以下幾種規(guī)則：? 哈希規(guī)則? 證書規(guī)則? 路徑規(guī)則2 / 15? Internet 區(qū)域規(guī)則 一個(gè)策略由默認(rèn)安

2、全級(jí)不和所有應(yīng)用于GPO 的規(guī)則組成。此策略能夠應(yīng)用于所有的計(jì)算機(jī)或者個(gè)不用戶。 軟件限制策略提供 了許多標(biāo)識(shí)軟件的方法， 它們還提供了基于策略的基礎(chǔ)結(jié)構(gòu)， 以 便強(qiáng)制執(zhí)行關(guān)于軟件是否能夠運(yùn)行的決定。有了軟件限制策略， 用戶在運(yùn)行程序時(shí)必須遵守治理員設(shè)置的規(guī)則。通過軟件限制策略，能夠執(zhí)行以下任務(wù)：? 操縱能夠在計(jì)算機(jī)上運(yùn)行的程序。 例如，假如擔(dān)心用戶通 過電子郵件收到病毒， 能夠應(yīng)用一個(gè)策略， 不同意一些文件類型 在電子郵件程序的電子郵件附件文件夾中運(yùn)行。? 在多用戶計(jì)算機(jī)上，僅同意用戶運(yùn)行特定的文件。例如， 假如您的計(jì)算機(jī)上有多個(gè)用戶， 您能夠設(shè)置軟件限制策略， 使用 戶除了能夠訪問必須在工

3、作中使用的特定文件外， 不能訪問其他 任何軟件。? 確定誰能夠向計(jì)算機(jī)中添加受信任的公布服務(wù)器。? 操縱軟件限制策略是阻礙計(jì)算機(jī)上的所有用戶， 依舊只阻 礙一些用戶。? 阻止任何文件在本地計(jì)算機(jī)、 組織單元、站點(diǎn)或域中運(yùn)行。 例如，假如存在已知病毒， 就能夠使用軟件限制策略阻止計(jì)算機(jī) 打開包含該病毒的文件。重要講明： Microsoft 建議不要用軟件限制策略代替防病毒 軟件。如何啟動(dòng)軟件限制策略3 / 15僅關(guān)于本地計(jì)算機(jī)1. 單擊開始，指向程序，指向治理工具，然后單擊本地安全 策略。2. 在操縱臺(tái)樹中，展開安全設(shè)置，然后展開軟件限制策略。 關(guān)于成員服務(wù)器上的域、站點(diǎn)或組織單元或者差不多加入

4、域的工作站1. 打開 Microsoft 治理操縱臺(tái)（MMC）。要執(zhí)行此操作，請(qǐng) 單擊開始，單擊運(yùn)行，鍵入 mmc 然后單擊確定。2. 在文件菜單中，單擊添加/刪除治理單元，然后單擊添 加。3. 單擊組策略對(duì)象編輯器，然后單擊添加。4. 在選擇組策略對(duì)象中，單擊掃瞄。5. 在掃瞄組策略對(duì)象中，選擇相應(yīng)的域、站點(diǎn)或組織單元中 的一個(gè)組策略對(duì)象（GPO），然后單擊完成?；蛘?，能夠創(chuàng)建一個(gè)新的 GPO 然后單擊完成。6. 單擊關(guān)閉，然后單擊確定。7. 在操縱臺(tái)樹中，轉(zhuǎn)到以下位置：組策略對(duì)象 Computer_name 策略/計(jì)算機(jī)配置或用戶/配置/Windows 設(shè)置/安全設(shè)置/軟件限制策略關(guān)于域操

5、縱器上的組織單元或域或者差不多安裝了治理工 具包的工作站1. 單擊開始，指向所有程序，指向治理工具，然后單擊4 / 15Active Directory用戶和計(jì)算機(jī)。2. 在操縱臺(tái)樹中，右鍵單擊希望為其設(shè)置組策略的域或組織 單元。3. 單擊屬性，然后單擊組策略選項(xiàng)卡。4. 單擊組策略對(duì)象鏈接中的一項(xiàng)，選擇一個(gè)現(xiàn)有的 GPO,然后單擊編輯?；蛘撸軌騿螕粜陆▌?chuàng)建一個(gè)新的GPO,然后單擊編輯。5. 在操縱臺(tái)樹中，轉(zhuǎn)到以下位置：組策略對(duì)象 Computer_name 策略/計(jì)算機(jī)配置或用戶配置/Windows 設(shè)置/安全設(shè)置/軟件限制策略關(guān)于站點(diǎn)和域操縱器或者差不多安裝了治理工具包的工作 站1. 單

6、擊開始，指向所有程序，指向治理工具，然后單擊Active Directory站點(diǎn)和服務(wù)。2. 在操縱臺(tái)中，右鍵單擊希望為其設(shè)置組策略的站點(diǎn)：？Active Directory站點(diǎn)和服務(wù)Domain_Controller_Name。Domain_Name?站點(diǎn)?站點(diǎn)5 / 153. 單擊屬性，然后單擊組策略選項(xiàng)卡。4. 單擊組策略對(duì)象鏈接中的一項(xiàng)，選擇一個(gè)現(xiàn)有的 GPO,然后單擊編輯。或者，單擊新建創(chuàng)建一個(gè)新的 GPO 然后單擊編輯。5. 在操縱臺(tái)樹中，轉(zhuǎn)到以下位置：組策略對(duì)象 Computer_name 策略 / 計(jì)算機(jī)配置或用戶配置/Windows 設(shè)置/安全設(shè)置 /軟件限制策略重要講明：?jiǎn)螕粲脩襞渲迷O(shè)置將要應(yīng)用于用戶的策略，與用 戶登錄的計(jì)算機(jī)無關(guān)。 單擊計(jì)算機(jī)配置設(shè)置將要應(yīng)用于計(jì)算機(jī)的 策略，與登錄到計(jì)算機(jī)的用戶無關(guān)。還能夠通過使用稱為“環(huán)回”的高級(jí)組策略設(shè)置，在特定的 用戶登錄到特定的計(jì)算機(jī)時(shí)對(duì)他們應(yīng)用軟件限制策略。如何防止軟件限制策略應(yīng)用于本地治理員1. 單擊開始，單擊運(yùn)行，鍵入 mmc 然后單擊確定。2. 打開