江西广告网

标题: 在 Windows Server 2003 中使用软件限制策略 [打印本页]
作者: lanqiu    时间: 2008-12-14 11:26
标题: 在 Windows Server 2003 中使用软件限制策略
<br>  <b>概要</b><br>  <br>  本文说明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略可以标识并指定允许运行的软件,以便保护您的计算机环境不会受到不可信代码的攻击。使用软件限制策略时,可以为组策略对象 (GPO) 定义两种默认安全级别(分别是无限制和不允许)中的一种,使得在默认情况下或者允许软件运行,或者不允许软件运行。要创建此默认安全级别的特例,可以创建针对特定软件的规则。可以创建以下几种规则: 哈希规则<br>  <br>  证书规则<br>  <br>  路径规则<br>  <br>  <b>Internet 区域规则</b><br>  <br>  一个策略由默认安全级别和所有应用于 GPO 的规则组成。此策略可以应用于所有的计算机或者个别用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否可以运行的决定。有了软件限制策略,用户在运行程序时必须遵守管理员设置的规则。<br>  <br>  通过软件限制策略,可以执行以下任务: 控制可以在计算机上运行的程序。例如,如果担心用户通过电子邮件收到病毒,可以应用一个策略,不允许一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。<br>  <br>  在多用户计算机上,仅允许用户运行特定的文件。例如,如果您的计算机上有多个用户,您可以设置软件限制策略,使用户除了可以访问必须在工作中使用的特定文件外,不能访问其他任何软件。<br>  <br>  确定谁可以向计算机中添加受信任的发布服务器。<br>  <br>  控制软件限制策略是影响计算机上的所有用户,还是只影响一些用户。<br>  <br>  阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,如果存在已知病毒,就可以使用软件限制策略阻止计算机打开包含该病毒的文件。重要说明:Microsoft 建议不要用软件限制策略代替防病毒软件。<br>  <br>  <b>如何启动软件限制策略</b><br>  <br>  仅对于本地计算机<br>  <br>  1. 单击开始,指向程序,指向管理工具,然后单击本地安全策略。<br>  <br>  2. 在控制台树中,展开安全设置,然后展开软件限制策略。<br>  <br>  对于成员服务器上的域、站点或组织单元或者已经加入域的工作站<br>  <br>  1. 打开 Microsoft 管理控制台 (MMC)。要执行此操作,请单击开始,单击运行,键入mmc,然后单击确定。<br>  <br>  2. 在文件菜单中,单击添加/删除管理单元,然后单击添加。<br>  <br>  3. 单击组策略对象编辑器,然后单击添加。<br>  <br>  4. 在选择组策略对象中,单击浏览。<br>  <br>  5. 在浏览组策略对象中,选择相应的域、站点或组织单元中的一个组策略对象 (GPO),然后单击完成。<br>  <br>  或者,可以创建一个新的 GPO,然后单击完成。<br>  <br>  6. 单击关闭,然后单击确定。<br>  <br>  7. 在控制台树中,转到以下位置:<br>  <br>  组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略<br>  <br>  对于域控制器上的组织单元或域或者已经安装了管理工具包的工作站<br>  <br>  1. 单击开始,指向所有程序,指向管理工具,然后单击 Active Directory 用户和计算机。<br>  <br>  2. 在控制台树中,右键单击希望为其设置组策略的域或组织单元。<br>  <br>  3. 单击属性,然后单击组策略选项卡。<br>  <br>  4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。<br>  <br>  或者,可以单击新建创建一个新的 GPO,然后单击编辑。<br>  <br>  5. 在控制台树中,转到以下位置:<br>  <br>  组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略<br>  <br>  <b>对于站点和域控制器或者已经安装了管理工具包的工作站</b><br>  <br>  1. 单击开始,指向所有程序,指向管理工具,然后单击 Active Directory 站点和服务。<br>  <br>  2. 在控制台中,右键单击希望为其设置组策略的站点: Active Directory 站点和服务 [ Domain_Controller_Name。Domain_Name]<br>  <br>  站点<br>  <br>  3. 单击属性,然后单击组策略选项卡。<br>  <br>  4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。<br>  <br>  或者,单击新建创建一个新的 GPO,然后单击编辑。<br>  <br>  5. 在控制台树中,转到以下位置:<br>  <br>  组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略<br>  <br>  重要说明:单击用户配置设置将要应用于用户的策略,与用户登录的计算机无关。单击计算机配置设置将要应用于计算机的策略,与登录到计算机的用户无关。<br>  <br>  还可以通过使用称为“环回”的高级组策略设置,在特定的用户登录到特定的计算机时对他们应用软件限制策略。<br>  <br>  <b>如何防止软件限制策略应用于本地管理员</b><br>  <br>  1. 单击开始,单击运行,键入 mmc,然后单击确定。<br>  <br>  2. 打开软件限制策略。<br>  <br>  3. 在详细信息窗格中,双击强制。<br>  <br>  4. 在“将软件限制策略应用于下列用户”下,单击“除本地管理员以外的所有用户”。<br>  <br>  注意: 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。<br>  <br>  一般情况下,用户是组织内计算机上的本地管理员组的成员,因此您可能不想启用此设置。软件限制策略不会应用于任何属于本地管理员组的用户。<br>  <br>  如果您正在为本地计算机定义软件限制策略设置,可以使用此过程防止本地管理员将软件限制策略应用于自身。如果您正在为网络定义软件限制策略设置,可以通过使用组策略,基于安全组的成员身份筛选用户策略设置。<br>  <br>  <b>如何防止软件限制策略应用于本地管理员</b><br>  <br>  1. 单击开始,单击运行,键入 mmc,然后单击确定。<br>  <br>  2. 打开软件限制策略。<br>  <br>  3. 在详细信息窗格中,双击强制。<br>  <br>  4. 在“将软件限制策略应用于下列用户”下,单击“除本地管理员以外的所有用户”。<br>  <br>  注意: 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。<br>  <br>  一般情况下,用户是组织内计算机上的本地管理员组的成员,因此您可能不想启用此设置。软件限制策略不会应用于任何属于本地管理员组的用户。<br>  <br>  如果您正在为本地计算机定义软件限制策略设置,可以使用此过程防止本地管理员将软件限制策略应用于自身。如果您正在为网络定义软件限制策略设置,可以通过使用组策略,基于安全组的成员身份筛选用户策略设置。<br>  <br>  <b>如何创建证书规则</b><br>  <br>  1. 单击开始,单击运行,键入 mmc,然后单击确定。<br>  <br>  2. 打开软件限制策略。<br>  <br>  3. 在控制台树或详细信息窗格中,右键单击其他规则,然后单击新建证书规则。<br>  <br>  4. 单击浏览,然后选择证书。<br>  <br>  5. 选择安全级别。<br>  <br>  6. 在描述框中,键入对此规则的说明,然后单击确定。<br>  <br>  注意: 有关如何在 MMC 中启动软件限制策略的信息,请参见 Windows Server 2003 帮助文件的“相关主题”中的“启动软件限制策略”。<br>  <br>  如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。<br>  <br>  <b>默认情况下不启用证书规则。要启用证书规则:</b><br>  <br>  1. 单击开始,单击运行,键入 regedit,然后单击确定。<br>  <br>  2. 找到并单击以下注册表项:<br>  <br>  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers<br>  <br>  3. 在详细信息窗格中,双击 AuthenticodeEnabled,然后将值数据从 0 更改为 1。<br>  <br>  证书规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。<br>  <br>  要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。<br>  <br>  当应用于策略设置的规则不止一个时,存在处理冲突的规则优先权。<br>  <br>  <b>如何创建哈希规则</b><br>  <br>  1. 单击开始,单击运行,键入 mmc,然后单击确定。<br>  <br>  2. 打开软件限制策略。<br>  <br>  3. 在控制台树或详细信息窗格中,右键单击其他规则,然后单击新建哈希规则。<br>  <br>  4. 单击浏览找到文件,或者将预先计算好的哈希值粘贴到文件哈希框中。<br>  <br>  5. 在安全级别框中,单击不允许或无限制。<br>  <br>  6. 在描述框中,键入对此规则的说明,然后单击确定。<br>  <br>  注意: 如果您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。<br>  <br>  可以创建针对病毒或特洛伊木马程序的哈希规则,以防止恶意软件运行。<br>  <br>  如果您希望其他用户使用哈希规则防止病毒运行,可以使用软件限制策略计算病毒的哈希值,然后将此哈希值通过电子邮件发送给其他用户。千万不要通过电子邮件发送病毒本身。<br>  <br>  如果已经通过电子邮件发送了病毒,还可以创建路径规则以阻止用户运行邮件附件。<br>  <br>  将文件重命名或移动到另一个文件夹不会导致哈希值改变。<br>  <br>  对文件进行任何更改都会导致哈希值改变。<br>  <br>  哈希规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。<br>  <br>  要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。<br>  <br>  当应用于策略设置的规则不止一个时,存在处理冲突的规则优先权。<br>  <br>  <b>如何创建 Internet 区域规则< <



欢迎光临 江西广告网 (http://bbs.jxadw.com/) Powered by Discuz! X3.2