軟件限制策略概述

1、軟件限制策略軟件限制策略（software restriction Policysoftware restriction Policy） 1本章主要介紹的內(nèi)容本章主要介紹的內(nèi)容軟件策略限制概論啟用軟件限制策略2任務(wù)一、軟件限制策略概述任務(wù)一、軟件限制策略概述 3一、軟件限制策略優(yōu)先級一、軟件限制策略優(yōu)先級本地計算機(jī)策略本地計算機(jī)策略站點策略站點策略域策略域策略O(shè)UOU策略策略優(yōu)先級別由低到高4二、軟件限制策略規(guī)則二、軟件限制策略規(guī)則不受限的（unrestricted）軟件限制策略安全級別：軟件限制策略安全級別：所有登錄的用戶都可以運行指定的軟件所有登錄的用戶都可以運行指定的軟件, ,只要它只要

2、它具備相關(guān)安裝權(quán)限具備相關(guān)安裝權(quán)限. .不允許的（disallowed）不論用戶對軟件有哪種訪問權(quán)限，都不不論用戶對軟件有哪種訪問權(quán)限，都不允許運行允許運行.系統(tǒng)默認(rèn)的安全級別是所有軟件系統(tǒng)默認(rèn)的安全級別是所有軟件“不受限制不受限制”.如下如下圖圖:56三、制定軟件限制策略三、制定軟件限制策略哈希規(guī)則哈希規(guī)則證書規(guī)則證書規(guī)則路徑規(guī)則路徑規(guī)則Internet Internet 區(qū)域規(guī)則區(qū)域規(guī)則規(guī)則有高到低規(guī)則有高到低(對一個軟件設(shè)置多個限制規(guī)則對一個軟件設(shè)置多個限制規(guī)則)71、建立哈希規(guī)則、建立哈希規(guī)則 “ “哈希（哈希（hashhash）”是根據(jù)軟件程序的內(nèi)容計算得是根據(jù)軟件程序的內(nèi)容計算得出

3、的一連串固定數(shù)目的字符。當(dāng)用戶要運行此軟出的一連串固定數(shù)目的字符。當(dāng)用戶要運行此軟件的時候，用戶的計算機(jī)就會對比其自行算出的件的時候，用戶的計算機(jī)就會對比其自行算出的“哈希哈?！敝?，判斷是否與軟件限制策略中的值，判斷是否與軟件限制策略中的“哈哈希?！敝迪嗤?，如果相同，就拒絕讓此軟件運行。值相同，如果相同，就拒絕讓此軟件運行。8步驟一、“其他規(guī)則”“新建哈希規(guī)則”“瀏覽”9步驟二、通過瀏覽來選擇需要限制的軟件 “實驗中以winRAR.exe為例”winRAR.exewinRAR.exe的哈希值的哈希值將將“安全級別安全級別”設(shè)設(shè)置為置為“不允許不允許”10完成后的畫面完成后的畫面11步驟三、用受

4、限制組中的成員等錄運行步驟三、用受限制組中的成員等錄運行“winrar”就會出現(xiàn)下面的提示就會出現(xiàn)下面的提示:122、建立路徑規(guī)則、建立路徑規(guī)則 “ “path rule”path rule”軟件策略也可以用軟件所在的軟件策略也可以用軟件所在的路徑來辨識軟件路徑來辨識軟件, ,例如例如: :指定用戶可以運行位指定用戶可以運行位于某個文件夾內(nèi)的軟件。路徑可以使用環(huán)境于某個文件夾內(nèi)的軟件。路徑可以使用環(huán)境變量變量, ,常用的有常用的有%userprofile%userprofile%、%windir%windir%、%appdata%appdata%、%programfile%programfile%、%temp%temp%。不過。不過在限制中，文件被移動到其他文件夾中則限在限制中，文件被移動到其他文件夾中則限制自動撤除。另外也可以通過制自動撤除。另外也可以通過“注冊表注冊表”來來實現(xiàn)。實現(xiàn)。13步驟一、“其他規(guī)則”“新建路徑規(guī)則