|
概要 本文说明如何在 Windows Server 中使用软件限制策略使用软件限制策略可以标识并指定允许运行的软件以便保护您的计算机环境不会受到不可信代码的攻击使用软件限制策略时可以为组策略对象 (GPO) 定义两种默认安全级别(分别是无限制和不允许)中的一种使得在默认情况下或者允许软件运行或者不允许软件运行要创建此默认安全级别的特例可以创建针对特定软件的规则可以创建以下几种规则 哈希规则 证书规则 路径规则 Internet 区域规则 一个策略由默认安全级别和所有应用于 GPO 的规则组成此策略可以应用于所有的计算机或者个别用户软件限制策略提供了许多标识软件的方法它们还提供了基于策略的基础结构以便强制执行关于软件是否可以运行的决定有了软件限制策略用户在运行程序时必须遵守管理员设置的规则 通过软件限制策略可以执行以下任务 控制可以在计算机上运行的程序例如如果担心用户通过电子邮件收到病毒可以应用一个策略不允许一些文件类型在电子邮件程序的电子邮件附件文件夹中运行 在多用户计算机上仅允许用户运行特定的文件例如如果您的计算机上有多个用户您可以设置软件限制策略使用户除了可以访问必须在工作中使用的特定文件外不能访问其他任何软件 确定谁可以向计算机中添加受信任的发布服务器 控制软件限制策略是影响计算机上的所有用户还是只影响一些用户 阻止任何文件在本地计算机组织单元站点或域中运行例如如果存在已知病毒就可以使用软件限制策略阻止计算机打开包含该病毒的文件重要说明Microsoft 建议不要用软件限制策略代替防病毒软件 如何启动软件限制策略 仅对于本地计算机 单击开始指向程序指向管理工具然后单击本地安全策略 在控制台树中展开安全设置然后展开软件限制策略 对于成员服务器上的域站点或组织单元或者已经加入域的工作站 打开 Microsoft 管理控制台 (MMC)要执行此操作请单击开始单击运行键入mmc然后单击确定 在文件菜单中单击添加/删除管理单元然后单击添加 单击组策略对象编辑器然后单击添加 在选择组策略对象中单击浏览 在浏览组策略对象中选择相应的域站点或组织单元中的一个组策略对象 (GPO)然后单击完成 或者可以创建一个新的 GPO然后单击完成 单击关闭然后单击确定 在控制台树中转到以下位置 组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略 对于域控制器上的组织单元或域或者已经安装了管理工具包的工作站 单击开始指向所有程序指向管理工具然后单击 Active Directory 用户和计算机 在控制台树中右键单击希望为其设置组策略的域或组织单元 单击属性然后单击组策略选项卡 单击组策略对象链接中的一项选择一个现有的 GPO然后单击编辑 或者可以单击新建创建一个新的 GPO然后单击编辑 在控制台树中转到以下位置 组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略 对于站点和域控制器或者已经安装了管理工具包的工作站 单击开始指向所有程序指向管理工具然后单击 Active Directory 站点和服务 在控制台中右键单击希望为其设置组策略的站点 Active Directory 站点和服务 [ Domain_Controller_NameDomain_Name] 站点 单击属性然后单击组策略选项卡 单击组策略对象链接中的一项选择一个现有的 GPO然后单击编辑 或者单击新建创建一个新的 GPO然后单击编辑 在控制台树中转到以下位置 组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略 重要说明单击用户配置设置将要应用于用户的策略与用户登录的计算机无关单击计算机配置设置将要应用于计算机的策略与登录到计算机的用户无关 还可以通过使用称为环回的高级组策略设置在特定的用户登录到特定的计算机时对他们应用软件限制策略 如何防止软件限制策略应用于本地管理员 单击开始单击运行键入 mmc然后单击确定 打开软件限制策略 在详细信息窗格中双击强制 在将软件限制策略应用于下列用户下单击除本地管理员以外的所有用户 注意 如果您还没有为此 GPO 创建新的软件限制策略设置可能必须创建一个 一般情况下用户是组织内计算机上的本地管理员组的成员因此您可能不想启用此设置软件限制策略不会应用于任何属于本地管理员组的用户 如果您正在为本地计算机定义软件限制策略设置可以使用此过程防止本地管理员将软件限制策略应用于自身如果您正在为网络定义软件限制策略设置可以通过使用组策略基于安全组的成员身份筛选用户策略设置 如何防止软件限制策略应用于本地管理员 单击开始单击运行键入 mmc然后单击确定 打开软件限制策略 在详细信息窗格中双击强制 在将软件限制策略应用于下列用户下单击除本地管理员以外的所有用户 注意 如果您还没有为此 GPO 创建新的软件限制策略设置可能必须创建一个 一般情况下用户是组织内计算机上的本地管理员组的成员因此您可能不想启用此设置软件限制策略不会应用于任何属于本地管理员组的用户 如果您正在为本地计算机定义软件限制策略设置可以使用此过程防止本地管理员将软件限制策略应用于自身如果您正在为网络定义软件限制策略设置可以通过使用组策略基于安全组的成员身份筛选用户策略设置 如何创建证书规则 单击开始单击运行键入 mmc然后单击确定 打开软件限制策略 在控制台树或详细信息窗格中右键单击其他规则然后单击新建证书规则 单击浏览然后选择证书 选择安全级别 在描述框中键入对此规则的说明然后单击确定 注意 有关如何在 MMC 中启动软件限制策略的信息请参见 Windows Server 帮助文件的相关主题中的启动软件限制策略 如果您还没有为此 GPO 创建新的软件限制策略设置可能必须创建一个 默认情况下不启用证书规则要启用证书规则 单击开始单击运行键入 regedit然后单击确定 找到并单击以下注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 在详细信息窗格中双击 AuthenticodeEnabled然后将值数据从 更改为 证书规则只影响指派的文件类型中列出的那些文件类型存在一个由所有规则共享的指派文件类型的列表 要使软件限制策略生效用户必须从他们的计算机上注销然后再次登录以更新策略设置 当应用于策略设置的规则不止一个时存在处理沖突的规则优先权 如何创建哈希规则 单击开始单击运行键入 mmc然后单击确定 打开软件限制策略 在控制台树或详细信息窗格中右键单击其他规则然后单击新建哈希规则 单击浏览找到文件或者将预先计算好的哈希值粘贴到文件哈希框中 在安全级别框中单击不允许或无限制 在描述框中键入对此规则的说明然后单击确定 注意 如果您还没有为此 GPO 创建新的软件限制策略设置可能必须创建一个 可以创建针对病毒或特洛伊木马程序的哈希规则以防止恶意软件运行 如果您希望其他用户使用哈希规则防止病毒运行可以使用软件限制策略计算病毒的哈希值然后将此哈希值通过电子邮件发送给其他用户千万不要通过电子邮件发送病毒本身 如果已经通过电子邮件发送了病毒还可以创建路径规则以阻止用户运行邮件附件 将文件重命名或移动到另一个文件夹不会导致哈希值改变 对文件进行任何更改都会导致哈希值改变 哈希规则只影响指派的文件类型中列出的那些文件类型存在一个由所有规则共享的指派文件类型的列表 要使软件限制策略生效用户必须从他们的计算机上注销然后再次登录以更新策略设置 当应用于策略设置的规则不止一个时存在处理沖突的规则优先权 如何创建 Internet 区域规则< |
