1、Win dows Server 2003中使用軟件限制策略本文說明如何在 Windows Server 2003中使用軟件限制策略。使用軟件限制 策略可以標(biāo)識并指定允許運(yùn)行的軟件，以便保護(hù)您的計(jì)算機(jī)環(huán)境不會受到不可 信代碼的攻擊。使用軟件限制策略時(shí)，可以為組策略對象（GPO定義兩種默認(rèn)安全級別（分別是無限制和不允許）中的一種，使得在默認(rèn)情況下或者允許軟件 運(yùn)行，或者不允許軟件運(yùn)行。要創(chuàng)建此默認(rèn)安全級別的特例，可以創(chuàng)建針對特 定軟件的規(guī)則。可以創(chuàng)建以下幾種規(guī)則：哈希規(guī)則證書規(guī)則路徑規(guī)則In ternet區(qū)域規(guī)則一個策略由默認(rèn)安全級別和所有應(yīng)用于 GPO的規(guī)則組成。此策略可以應(yīng)用 于所有的計(jì)算機(jī)或

2、者個別用戶。軟件限制策略提供了許多標(biāo)識軟件的方法，它 們還提供了基于策略的基礎(chǔ)結(jié)構(gòu)，以便強(qiáng)制執(zhí)行關(guān)于軟件是否可以運(yùn)行的決 定。有了軟件限制策略，用戶在運(yùn)行程序時(shí)必須遵守管理員設(shè)置的規(guī)則。通過軟件限制策略，可以執(zhí)行以下任務(wù)：控制可以在計(jì)算機(jī)上運(yùn)行的程序。例如，如果擔(dān)心用戶通過電子郵件收 到病毒，可以應(yīng)用一個策略，不允許一些文件類型在電子郵件程序的電子郵件 附件文件夾中運(yùn)行。在多用戶計(jì)算機(jī)上，僅允許用戶運(yùn)行特定的文件。例如，如果您的計(jì)算機(jī) 上有多個用戶，您可以設(shè)置軟件限制策略，使用戶除了可以訪問必須在工作中 使用的特定文件外，不能訪問其他任何軟件。確定誰可以向計(jì)算機(jī)中添加受信任的發(fā)布服務(wù)器。控制軟

3、件限制策略是影響計(jì)算機(jī)上的所有用戶，還是只影響一些用戶。阻止任何文件在本地計(jì)算機(jī)、組織單元、站點(diǎn)或域中運(yùn)行。例如，如果存在已知病毒，就可以使用軟件限制策略阻止計(jì)算機(jī)打開包含該病毒的文件。重 要說明： Microsoft 建議不要用軟件限制策略代替防病毒軟件。如何啟動軟件限制策略僅對于本地計(jì)算機(jī)1. 單擊開始，指向程序，指向管理工具，然后單擊本地安全策略。2. 在控制臺樹中，展開安全設(shè)置，然后展開軟件限制策略。對于成員服務(wù)器上的域、站點(diǎn)或組織單元或者已經(jīng)加入域的工作站1打開Microsoft管理控制臺（MMC）。要執(zhí)行此操作，請單擊開始，單擊運(yùn) 行，鍵入mmc,然后單擊確定。2. 在文件菜單中，

4、單擊添加 / 刪除管理單元，然后單擊添加。3. 單擊組策略對象編輯器，然后單擊添加。4. 在選擇組策略對象中，單擊瀏覽。5. 在瀏覽組策略對象中，選擇相應(yīng)的域、站點(diǎn)或組織單元中的一個組策略對 象（GPO,然后單擊完成。或者，可以創(chuàng)建一個新的 GPQ然后單擊完成。6. 單擊關(guān)閉，然后單擊確定。7 .在控制臺樹中，轉(zhuǎn)到以下位置：組策略對象Computer_name策略/計(jì)算機(jī)配置或用戶/配置/Windows設(shè)置/ 安全設(shè)置 /軟件限制策略對于域控制器上的組織單元或域或者已經(jīng)安裝了管理工具包的工作站1. 單擊開始，指向所有程序，指向管理工具，然后單擊ActiveDirectory 用戶和計(jì)算機(jī)。2.

5、 在控制臺樹中，右鍵單擊希望為其設(shè)置組策略的域或組織單元。3. 單擊屬性，然后單擊組策略選項(xiàng)卡。4. 單擊組策略對象鏈接中的一項(xiàng)，選擇一個現(xiàn)有的GPO,然后單擊編輯。 或者，可以單擊新建創(chuàng)建一個新的 GPO,然后單擊編輯。5 .在控制臺樹中，轉(zhuǎn)到以下位置：組策略對象 Computer_name 策略/計(jì)算機(jī)配置或用戶配置 /Windows 設(shè)置/安 全設(shè)置 /軟件限制策略對于站點(diǎn)和域控制器或者已經(jīng)安裝了管理工具包的工作站1. 單擊開始，指向所有程序，指向管理工具，然后單擊ActiveDirectory 站點(diǎn)和服務(wù)。2. 在控制臺中，右鍵單擊希望為其設(shè)置組策略的站點(diǎn)：oActive Direct

6、ory 站點(diǎn)和服務(wù) Domain_Controller_Name。Domain_Nameo 站點(diǎn)o 站點(diǎn)3. 單擊屬性，然后單擊組策略選項(xiàng)卡。4. 單擊組策略對象鏈接中的一項(xiàng)，選擇一個現(xiàn)有的GPO,然后單擊編輯。或者，單擊新建創(chuàng)建一個新的 GPQ然后單擊編輯5在控制臺樹中，轉(zhuǎn)到以下位置：組策略對象Computer_name策略/計(jì)算機(jī)配置或用戶配置/Windows設(shè)置/安 全設(shè)置/軟件限制策略重要說明：單擊用戶配置設(shè)置將要應(yīng)用于用戶的策略，與用戶登錄的計(jì)算 機(jī)無關(guān)。單擊計(jì)算機(jī)配置設(shè)置將要應(yīng)用于計(jì)算機(jī)的策略，與登錄到計(jì)算機(jī)的用 戶無關(guān)。還可以通過使用稱為 環(huán)回”的高級組策略設(shè)置，在特定的用戶登錄

7、到特定 的計(jì)算機(jī)時(shí)對他們應(yīng)用軟件限制策略。如何防止軟件限制策略應(yīng)用于本地管理員1單擊開始，單擊運(yùn)行，鍵入 mmc,然后單擊確定。2打開軟件限制策略。3在詳細(xì)信息窗格中，雙擊強(qiáng)制。4在 將軟件限制策略應(yīng)用于下列用戶”下，單擊 除本地管理員以外的所有 用戶”如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一個一般情況下，用戶是組織內(nèi)計(jì)算機(jī)上的本地管理員組的成員，因此您可 能不想啟用此設(shè)置。軟件限制策略不會應(yīng)用于任何屬于本地管理員組的用戶。如果您正在為本地計(jì)算機(jī)定義軟件限制策略設(shè)置，可以使用此過程防止 本地管理員將軟件限制策略應(yīng)用于自身。如果您正在為網(wǎng)絡(luò)定義軟件限制策略 設(shè)置，可以通過使

8、用組策略，基于安全組的成員身份篩選用戶策略設(shè)置。如何創(chuàng)建證書規(guī)則1單擊開始，單擊運(yùn)行，鍵入 mmc,然后單擊確定。2打開軟件限制策略。3在控制臺樹或詳細(xì)信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建證書規(guī) 則。4單擊瀏覽，然后選擇證書。5選擇安全級別。6.在描述框中，鍵入對此規(guī)則的說明，然后單擊確定。有關(guān)如何在MMC中啟動軟件限制策略的信息，請參見 Windows Server2003 幫助文件的 相關(guān)主題”中的啟動軟件限制策略”。如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一 個。默認(rèn)情況下不啟用證書規(guī)則。要啟用證書規(guī)則：1單擊開始，單擊運(yùn)行，鍵入regedit，然后單擊確定。2

9、找到并單擊以下注冊表項(xiàng)：HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWi ndowsSaferCodeld en tifiers3在詳細(xì)信息窗格中，雙擊 AuthenticodeEnabled,然后將值數(shù)據(jù)從0更改 為1。證書規(guī)則只影響指派的文件類型中列出的那些文件類型。存在一個由所 有規(guī)則共享的指派文件類型的列表。要使軟件限制策略生效，用戶必須從他們的計(jì)算機(jī)上注銷然后再次登錄 以更新策略設(shè)置。當(dāng)應(yīng)用于策略設(shè)置的規(guī)則不止一個時(shí)，存在處理沖突的規(guī)則優(yōu)先權(quán)。如何創(chuàng)建哈希規(guī)則1單擊開始，單擊運(yùn)行，鍵入 mmc,然后單擊確定。2打開軟件限制策略。3在控制臺樹或

10、詳細(xì)信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建哈希規(guī) 則。4單擊瀏覽找到文件，或者將預(yù)先計(jì)算好的哈希值粘貼到文件哈希框中。5在安全級別框中，單擊不允許或無限制。6.在描述框中，鍵入對此規(guī)則的說明，然后單擊確定。如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一 個。可以創(chuàng)建針對病毒或特洛伊木馬程序的哈希規(guī)則，以防止惡意軟件運(yùn)行。如果您希望其他用戶使用哈希規(guī)則防止病毒運(yùn)行，可以使用軟件限制策略 計(jì)算病毒的哈希值，然后將此哈希值通過電子郵件發(fā)送給其他用戶。千萬不要 通過電子郵件發(fā)送病毒本身。如果已經(jīng)通過電子郵件發(fā)送了病毒，還可以創(chuàng)建路徑規(guī)則以阻止用戶運(yùn)行 郵件附件。將文件重命名或移動到

11、另一個文件夾不會導(dǎo)致哈希值改變。對文件進(jìn)行任何更改都會導(dǎo)致哈希值改變。哈希規(guī)則只影響指派的文件類型中列出的那些文件類型。存在一個由所有 規(guī)則共享的指派文件類型的列表。要使軟件限制策略生效，用戶必須從他們的計(jì)算機(jī)上注銷然后再次登錄以 更新策略設(shè)置。當(dāng)應(yīng)用于策略設(shè)置的規(guī)則不止一個時(shí)，存在處理沖突的規(guī)則優(yōu)先權(quán)。如何創(chuàng)建In ternet區(qū)域規(guī)則1單擊開始，單擊運(yùn)行，鍵入 mmc,然后單擊確定。2打開軟件限制策略。3在控制臺樹中，單擊軟件限制策略。4在控制臺樹或詳細(xì)信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建 In ternet區(qū)域規(guī)則。5. 在In ter net區(qū)域中，單擊某個In ternet區(qū)域

12、。6在安全級別框中，單擊不允許或無限制，然后單擊確定。如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一區(qū)域規(guī)則僅應(yīng)用于Windows Installer軟件包。區(qū)域規(guī)則只影響指派的文件類型中列出的那些文件類型。存在一個由所有 規(guī)則共享的指派文件類型的列表。要使軟件限制策略生效，用戶必須從他們的計(jì)算機(jī)上注銷然后再次登錄以 更新策略設(shè)置。當(dāng)應(yīng)用于策略設(shè)置的規(guī)則不止一個時(shí)，存在處理沖突的規(guī)則優(yōu)先權(quán)。如何創(chuàng)建路徑規(guī)則1單擊開始，單擊運(yùn)行，鍵入 mmc,然后單擊確定。2打開軟件限制策略。3在控制臺樹或詳細(xì)信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建路徑規(guī) 則。4在路徑框中鍵入路徑，或單擊瀏覽

13、查找文件或文件夾。5在安全級別框中，單擊不允許或無限制。6在描述框中，鍵入對此規(guī)則的說明，然后單擊確定。重要說明：將某些文 件夾（如Windows文件夾）的安全級別設(shè)置為不允許會對操作系統(tǒng)的操作產(chǎn)生 負(fù)面影響。請確保沒有禁用操作系統(tǒng)的關(guān)鍵組件或其相關(guān)程序。如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一 個。如果為一個安全級別為不允許的程序創(chuàng)建了路徑規(guī)則，用戶將該軟件復(fù)制 到其他位置后仍可運(yùn)行該軟件。路徑規(guī)則支持的通配符為星號(*)和問號(?)。可以在路徑規(guī)則中使用環(huán)境變量(如 programfiles%或 systemroot%)。當(dāng)您不知道軟件在計(jì)算機(jī)上的存儲位置，但知道其注

14、冊表項(xiàng)時(shí)，要為該軟 件創(chuàng)建路徑規(guī)則，可以創(chuàng)建注冊表路徑規(guī)則。要防止用戶運(yùn)行電子郵件附件，可為郵件程序的附件文件夾創(chuàng)建一個防止 用戶運(yùn)行電子郵件附件的路徑規(guī)則。路徑規(guī)則只影響指派的文件類型中列出的那些文件類型。存在一個由所有 規(guī)則共享的指派文件類型的列表。要使軟件限制策略生效，用戶必須從他們的 計(jì)算機(jī)上注銷然后再次登錄以更新策略設(shè)置。當(dāng)應(yīng)用于策略設(shè)置的規(guī)則不止一個時(shí)，存在處理沖突的規(guī)則優(yōu)先權(quán)。如何創(chuàng)建注冊表路徑規(guī)則1單擊開始，單擊運(yùn)行，鍵入regedit，然后單擊確定13 / 132在控制臺樹中，右鍵單擊希望為其創(chuàng)建規(guī)則的注冊表項(xiàng)，然后單擊復(fù)制項(xiàng) 名稱。3.記下詳細(xì)信息窗格中的值名稱。4單擊開始

15、，單擊運(yùn)行，鍵入 mmc,然后單擊確定。5打開軟件限制策略。6在控制臺樹或詳細(xì)信息窗格中，右鍵單擊其他規(guī)則，然后單擊新建路徑規(guī) 則。7.在路徑中粘貼注冊表項(xiàng)名稱和值名稱。8用百分號（）將注冊表路徑括起來，例如：%HKEY_LOCAL_MACHINESOFTWAREMicrosoftPlatformSDKDirectories In stal IDir%9在安全級別框中，單擊不允許或無限制。10.在描述框中，鍵入對此規(guī)則的說明，然后單擊確定。如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一個。 必須是管理員”組的成員才能執(zhí)行此步驟。按如下所示修改注冊表路徑的格式：%注冊表配置單元注

16、冊表項(xiàng)名稱值名稱%必須寫出注冊表配置單元的全稱，不能使用縮寫。例如，不能用HKCU代替 HKEY_CURRENT_USER注冊表路徑規(guī)則在未尾的百分號（）后面可以加一個后綴。不要在后綴中使用反斜杠（）。例如，可以使用以下注冊表路徑規(guī)則：%HKEY_CURRENT_USERSoftwareMicrosoftWi ndowsCurre ntVersio nExplorer Shell FoldersCache%OLK*路徑規(guī)則只影響指派的文件類型中列出的那些文件類型。存在一個由所有 規(guī)則共享的指派文件類型的列表。要使軟件限制策略生效，用戶必須從他們的計(jì)算機(jī)上注銷然后再次登錄 以更新策略設(shè)置。當(dāng)應(yīng)用

17、于策略設(shè)置的規(guī)則不止一個時(shí)，存在處理沖突的規(guī)則優(yōu)先權(quán)。如何添加或刪除指派的文件類型1單擊開始，單擊運(yùn)行，鍵入 mmc，然后單擊確定。2打開軟件限制策略。3在詳細(xì)信息窗格中，雙擊指派的文件類型。4根據(jù)需要執(zhí)行以下步驟之一：o要添加文件類型，在文件擴(kuò)展名框中鍵入文件擴(kuò)展名，然后單擊添加。o要刪除文件類型，在指派的文件類型框中單擊該文件類型，然后單擊刪 除。如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一個指派文件類型列表由每個配置的所有規(guī)則共享。用于計(jì)算機(jī)策略設(shè)置的 指派文件類型列表和用于用戶策略設(shè)置的指派文件類型列表是不一樣的。如何更改軟件限制策略的默認(rèn)安全級別1單擊開始，單擊運(yùn)行

18、，鍵入 mmc,然后單擊確定2打開軟件限制策略。3在詳細(xì)信息窗格中，雙擊安全級別。4右鍵單擊希望設(shè)為默認(rèn)值的安全級別，然后單擊設(shè)為默認(rèn)值。小心：如果將某些文件夾的安全級別設(shè)置為不允許，會對操作系統(tǒng)產(chǎn)生負(fù) 面影響。如果您還沒有為此GPO創(chuàng)建新的軟件限制策略設(shè)置，可能必須創(chuàng)建一 個。在詳細(xì)信息窗格中，當(dāng)前的默認(rèn)安全級別旁邊有一個內(nèi)含選中標(biāo)記的黑 圈。如果右鍵單擊當(dāng)前的默認(rèn)安全級別，菜單中不會出現(xiàn)設(shè)為默認(rèn)值命令。將創(chuàng)建規(guī)則以指定默認(rèn)安全級別的特例。當(dāng)默認(rèn)安全級別設(shè)置為無限制 時(shí)，規(guī)則指定不允許運(yùn)行的軟件。當(dāng)默認(rèn)安全級別設(shè)置為不允許時(shí)，規(guī)則指定 允許運(yùn)行的軟件。如果更改默認(rèn)安全級別，計(jì)算機(jī)中應(yīng)用了軟件限制策略的所有文件都受此 改動