谈在windows server 中使用软件限制策略
Windows XP 客户端的软件限制策略
安全指南Windows XP 客户端的软件限制策略更新日期: 2004年03月01日本页内容本模块内容目标适用范围如何使用本模块软件限制策略软件限制策略体系结构软件限制策略选项软件限制策略的设计和部署摘要本模块内容Microsoft® Windows® XP Professional 和 Microsoft Windows Server™ 2003 提供了“软件限制策略”功能,管理员可用来控制软件在本地计算机上运行的能力。
通过此功能,管理员可以防止用户运行未经授权的软件,并提供了其他保护措施以防病毒和特洛伊木马程序的攻击。
由于软件限制策略已集成到组策略中,因此可将其部署在 Microsoft Active Directory® 目录服务域中。
此外,还可将软件限制策略部署在独立计算机中。
返回页首目标使用本模块可以实现下列目标:•设计和部署软件限制策略•选择正确的规则类型并使用它来标识软件•控制软件限制策略使用的检查级别•将软件限制策略配置为始终允许管理员运行软件返回页首适用范围本模块适用于下列产品和技术:•Windows Server 2003 域中的 Windows XP Professional Service Pack (SP) 1 客户端•独立的 Windows XP Professional SP1 客户端返回页首如何使用本模块此模块详细描述了软件限制策略以及如何使用它们来控制软件在本地计算机上运行的能力。
为了充分理解本模块内容,请返回页首软件限制策略软件限制策略为管理员提供了一套策略驱动机制,用于标识软件并控制该软件在本地计算机上运行的能力。
这些策略可以确保环境中运行 Windows XP Professional 的计算机之间不存在已知冲突,并保护计算机免受恶意病毒和特洛伊木马程序的攻击。
软件限制策略与 Active Directory 和组策略完全集成。
操作系统安全:配置软件限制策略
软件限制策略
3、启用软件限制策略
建立哈希规则:其他规则--新建哈希规则--浏览选择文件
2、软件限制策略的四种规则
(1)哈希规则:
“哈希(hash)”是根据软件程序内容计算出来的一连串固定数目的字节。因为是根据软件程序算出 的,所以不同的软件有着不同的“哈希”值。
在为某个软件建立哈希规则,限制用户不允许运行此软件时,系统就会为他建立一个哈希值。当用户 运行此软件时,计算机就会对比此哈希值,是否相同,如果相同,就拒绝此软件的运行。
软件限制策略
4、简历证书规则
建立证书规则:其他规则--新建证书 规则--浏览选择文件你所要禁止的证书文 件。当你创建完成后再打开证书文件就会 跳出下列窗口
软件限制策略
5、建立路径规则
建立路径规则:其他规则--新建路径 规则--浏览选择文件路径,这边可以直接 选择文件的快捷方式也是可以禁止软件运 行
设置好路径之后再次点开软件会 发现已被禁止使用改软件
软件限制策略
6、建立ininternet区域规则
建立ininternet区域规则:其他规则--新建internet区域规则--在网络区域中选择受 限制的站点-在安全级别中选择不允许。
(2)证书规则:
我们也可以通过“签署证书”辨别软件。但他只适用于.msi与脚本 (scripts),不适用于.exe或.dll的程序。
软件限制策略
2、软件限制策略的四种规则
(3)路径规则:
可以通过软件所在路径来辩识软件,例如指定用 户可以运行位于某个文件夹内的软件。但路径可以 改变,所以当改变时,将不在受此限制。当然还可 以通过注册表的路径来辩识软件。
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用我们企业网络中,经常会出现有用户使用未授权软件的情况。
比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。
所以限制用户使用非授权软件的重任就落到我们IT部头上了。
其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。
下面我们就来看看怎样通过组策略来限制用户安装和使用软件:一、限制用户使用未授权软件方法一:1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图:2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图:5. 点击确定,确定…,完成组策略的设置。
然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。
如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。
看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。
6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:7. 右击“软件限制策略”下的“其他规则”,选择“新建哈希规则”,如下图:8. 在“新建哈希规则”对话框中,点击“浏览”,找到要限制的软件,如下图:点击“确定”后,在右面板上就可以看到我们新建的哈希规则了。
WindowsServer中组策略应用
配置窗口颜色和外观
配置用户登录和注销
可以设置窗口的颜色、字体、大小等。
可以设置用户登录和注销的方式和界面。
配置软件安装程序
禁止安装特定程序
可以通过组策略禁止安装特定的程序, 防止用户随意安装软件。
限制安装程序的路径
可以限制用户只能从特定的路径安装程 序,保证系统的安全性。
禁止使用任务管理器
可以禁止用户使用任务管理器,避免用 户对系统进行不当操作。
3
简化管理员的管理工作
通过组策略,管理员可以一次性对多个计算机 和用户进行配置和管理,减少重复性工作,提 高管理效率。
组策略的优点
集中配置管理
组策略可以对多台计算机和用户进行统 一的配置和管理,减少了管理员的工作 量,提高了管理效率。
安全可靠
组策略可以设置各种安全选项,包括密 码策略、账户锁定等,提高了系统的安 全性。
可通过MMC管理控制台进行创建、编辑和删除
可以使用Microsoft Management Console (MMC) 管理控制台来创建、编辑和删除组策 略对象。
可应用在计算机或用户级别
组策略对象可以应用于计算机或用户级别,根据需要设定计算机或用户的策略。
组策略容器
存储了应用于不同级别的组策略设置
可扩展性强
组策略支持自定义策略设置,可以根据 实际需要进行扩展和定制。
稳定性高
组策略的配置经过仔细测试和验证,稳 定性比较高,不会对系统造成过多的负 担。
02
组策略的组成
组策略对象
定义了组策略设置和条件
组策略对象是组策略设置和条件的主要容器,它定义了组策略设置和条件,以便将其应用 于特定计算机或用户。
3
集中式组策略部署需要搭建和管理中央控制器 或管理工具,对于大规模网络可能存在性能和 管理方面的挑战。
WindowsServer2012活动目录企业应用任务6 对特定软件启用软件限制策略
计算机分配软件(advinst.msi)部署
二、解决方案
① 计算机分配软件部署。 ② 用户分配软件部署。 ③ 用户发布软件部署。 ④ 限制软件的运行。
计算机分配软件(advinst.msi)部署
三、实训项目演示
请读者观看实训项目演示…………
计算机分配软件(advinst.msi)部署
任务6 对特定软件启用软件限制策略
计算机分配软件(advinst.msi)部署
图6-46 新建网络区域规则 图6-47 完成新建网络区域规则后的界面
计算机分配软件(advinst.msi)部署
4. 不要将软件限制策略应用到本地系统管理员
若不想将软件限制策略应用到本地系统管理员组( Administrators),可以如图6-47所示【双击软件限制策 略右侧的强制→在将软件限制策略应用到下列用户处中选 中除本地管理员以外的所有用户→单击“确定”按钮】。
计算机分配软件(advinst.msi)部署
如图6-37所示,【选中其他规则并单击右键→新 建哈希规则→单击“浏览”按钮】。
在图6-38中浏览到advinst14.2.1安装文件的存 储位置后,选择advinst14.2.1.msi,单击“打开 ”按钮
计算机分配软件(advinst.msi)部署
3. பைடு நூலகம்立网络区域规则
可利用网络区域规则来允许或拒绝用户运行位于某个 区域内的程序,这些区域包含本地计算机、Internet、本 地Intranet、受信任的站点与受限制的站点。
建立网络区域规则的方法与其他规则类似,如图6-46 所示,【选中其他规则并单击右键→新建网络区域规则→ 在网络区域下拉列表中选择区域→选择安全级别】,图中 表示只要是位于受限制的站点内的程序都不允许运行。设 置完成后如图6-47所示。
SERVER组策略之软件限制策略教程
《server组策略之软件限制策略教程》•软件限制策略概述•软件限制策略的核心概念•软件限制策略的配置步骤•软件限制策略的疑难解析•软件限制策略的应用案例目•总结与展望录01软件限制策略概述软件限制策略是一种安全设置,用于限制应用程序的安装和使用。
软件限制策略通过在组策略中设置相关的策略选项,对应用程序的安装、运行和卸载进行限制。
1 2 3通过限制不受信任的软件安装和运行,可以减少系统遭受恶意软件攻击的风险。
保护系统安全软件限制策略可以限制应用程序的安装、运行和卸载,从而有效控制应用程序的行为。
控制应用程序行为通过限制不必要的软件启动和运行,可以提高系统的启动速度和运行效率。
提高系统性能基于安全标识符(SID)进行限制软件限制策略通过在组策略中设置特定的安全标识符(SID),然后将这些SID与不受信任的软件相关联,从而实现限制。
基于哈希值进行限制软件限制策略还可以通过设置特定的哈希值,对应用程序进行限制。
当应用程序安装时,系统会将其与预先设置的哈希值进行比较,如果匹配则允许安装,否则会禁止安装。
02软件限制策略的核心概念VS通过软件限制策略,管理员可以定义不同的类型,例如:应用程序、协议、URL或通配符,以限制特定软件或协议的使用。
可以根据需要自定义软件限制策略,以适应特定的网络环境和安全要求。
管理员可以定义软件限制策略的规则,例如:只允许运行特定的软件、禁止使用某些协议或限制特定软件的运行时间。
可以基于时间、用户或计算机设置规则,以及根据不同的条件组合进行限制,实现精细化的软件控制。
软件限制策略的常见应用场景防止内部网络被外部恶意软件入侵,保护网络安全。
限制特定软件的使用,例如:禁止使用USB存储设备,以防止数据泄露。
控制员工使用聊天工具、在线游戏等非工作软件的场景,提高工作效率。
03软件限制策略的配置步骤VS点击“开始”菜单,在搜索框中输入“gpedit.msc”,打开“组策略”编辑器。
在“组策略”编辑器中,依次展开“计算机配置”和“Windows 设置”节点。
多用户环境下活用软件限制策略
多用户环境下活用软件限制策略在多人共用一台计算机的环境下,我们可能需要对每个人可以使用的软件进行限制。
例如,系统中安装了一个游戏,可你不打算让其他使用这台计算机的人玩这个游戏。
或者公司的计算机上安装了很多软件,老板希望员工只能使用与工作相关的程序,其他非必需的程序都不准使用。
为了实现这一目标,我们可以配置Windows中的软件限制策略,Windows XP Pro、Windows Server 2003以及Windows V ista商业版、企业版和旗舰版这些带有组策略功能的操作系统都可以配置软件限制策略(Windows 2000虽然带有组策略,但没有软件限制策略功能)。
本文会介绍单机环境下软件限制策略的使用。
需要注意的一点是,和其他大部分策略一样,软件限制策略在域环境下才能发挥出最大作用,例如通过不同的OU(组织单元),域管理员可以为不同部门或者不同需求的员工创建出不同的策略。
在单机或工作组环境下,我们的策略只能对本地帐户生效。
软件限制策略可以让我们设置允许用户运行哪些程序,不允许运行哪些程序。
同时我们可以通过不同的规则来指定允许或者禁止运行的软件。
在Windows的软件限制策略中,我们可以通过下列条件来创建规则:证书规则通过证书规则,我们可以借助软件可执行程序自带的数字证书来创建策略。
例如,我们可以通过证书规则决定,所有带有来自微软的数字证书的软件都可以运行,或者所有带有某个不被信任的开发商的数字证书的软件都禁止运行。
这样每当我们试图运行一个程序的时候,系统都会查看该程序的数字签名,然后跟软件限制策略中的定义进行比较,并根据策略的设置决定是否允许运行。
哈希规则在使用哈希规则的时候,我们可以指定一个软件的可执行文件,然后由操作系统计算该文件的哈希值,并根据计算出来的哈希值决定是否允许运行该软件。
网络区域规则该规则主要用于使用Windows Installer技术安装的软件,因为通过该规则,我们可以对来自不同Internet区域的软件的安装程序采取不同的限制措施。
Windows Server活动企业应用Windows Server利用组策略部署软件与限制软件运行
利用组策略部署软件和限制软件运行项目背景•我们可以通过AD DS组策略来为企业内部用户和计算机部署(deploy)软件,也就是自动为这些用户和计算机安装、维护和删除软件。
同时还可以为软件地运行制订限制策略。
项目目标•软件部署概述•将软件发布给用户•将软件分配给用户或计算机•启用软件限制策略5.1 软件部署概述可以通过组策略将软件部署给域用户和计算机也就是域用户登录或成员计算机启动时会自动安装或很容易安装被部署地软件,而软件部署分为分配(assign)和发布(publish)两种。
一般来说,这些软件必须是Windows Installer Package(也被称为MSI应用程序),也就是其内包含扩展名为.msi地安装文件。
5.1.1 将软件分配给用户将一个软件通过组策略分配给域用户后,用户在任何一台域成员计算机登录时,这个软件会被通告( advertised)给该用户,但此软件并没有被安装,而只是安装了和这个软件有关地部分信息而已,例如可能会在开始窗口或开始菜单中自动建立该软件地快捷方式(需视该软件是否支持此功能而定)。
用户通过单击该软件在开始窗口(或开始菜单)中地快捷方式后,就可以安装此软件。
用户也可以通过控制面板来安装此软件,以Windows 8.1客户端来说,其安装方法为【开始菜单→控制面板→单击程序处获得程序】。
5.1.2 将软件分配给计算机当您将一个软件通过组策略分配给域成员计算机后,这些计算机启动时就会自动安装这个软件(完整或部分安装,视软件而定),而且任何用户登录都可以使用此软件。
用户登录后,就可以通过桌面或开始窗口(或开始菜单)中地快捷方式来使用此软件。
利用组策略部署软件和限制软件运行•5.1.3 将软件发布给用户• 当将一个软件通过组策略发布给域用户后,此软件并不会自动被安装到用户地计算机内,不过用户可以通过控制面板来安装此软件,以Windows 8.1客户端来说,其安装方法为【开始菜单→控制面板→单击程序处获得程序】。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在 Windows Server 2003 中使用软件限制策略
概要
本文讲明如何在 Windows Server 2003 中使用软件限制策略。
使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。
使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。
要创建此默认安全级不的特例,能够创建针对特定软件的规则。
能够创建以下几种规则:•哈希规则
•证书规则
•路径规则
• Internet 区域规则
一个策略由默认安全级不和所有应用于 GPO 的规则组成。
此策略能够应用于所有的计算机或者个不用户。
软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。
有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。
通过软件限制策略,能够执行以下任务:
•操纵能够在计算机上运行的程序。
例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。
•在多用户计算机上,仅同意用户运行特定的文件。
例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。
•确定谁能够向计算机中添加受信任的公布服务器。
•操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。
•阻止任何文件在本地计算机、组织单元、站点或域中运行。
例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。
重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
如何启动软件限制策略
仅关于本地计算机
1. 单击开始,指向程序,指向治理工具,然后单击本地安全策略。
2. 在操纵台树中,展开安全设置,然后展开软件限制策略。
关于成员服务器上的域、站点或组织单元或者差不多加入域的工作站
1. 打开 Microsoft 治理操纵台 (MMC)。
要执行此操作,请单击开始,单击运行,键入mmc,然后单击确定。
2. 在文件菜单中,单击添加/删除治理单元,然后单击添加。
3. 单击组策略对象编辑器,然后单击添加。
4. 在选择组策略对象中,单击扫瞄。
5. 在扫瞄组策略对象中,选择相应的域、站点或组织单元中的一个组策略对象 (GPO),然后单击完成。
或者,能够创建一个新的 GPO,然后单击完成。
6. 单击关闭,然后单击确定。
7. 在操纵台树中,转到以下位置:
组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略
关于域操纵器上的组织单元或域或者差不多安装了治理工具包的工作站
1. 单击开始,指向所有程序,指向治理工具,然后单击Active Directory 用户和计算机。
2. 在操纵台树中,右键单击希望为其设置组策略的域或组织单元。
3. 单击属性,然后单击组策略选项卡。
4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。
或者,能够单击新建创建一个新的 GPO,然后单击编辑。
5. 在操纵台树中,转到以下位置:
组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略
关于站点和域操纵器或者差不多安装了治理工具包的工作站
1. 单击开始,指向所有程序,指向治理工具,然后单击Active Directory 站点和服务。
2. 在操纵台中,右键单击希望为其设置组策略的站点:•Active Directory 站点和服务 [ Domain_Controller_Name。
Domain_Name]
•站点
•站点
3. 单击属性,然后单击组策略选项卡。
4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。
或者,单击新建创建一个新的 GPO,然后单击编辑。
5. 在操纵台树中,转到以下位置:
组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略
重要讲明:单击用户配置设置将要应用于用户的策略,与用户登录的计算机无关。
单击计算机配置设置将要应用于计算机的策略,与登录到计算机的用户无关。
还能够通过使用称为“环回”的高级组策略设置,在特定的用户登录到特定的计算机时对他们应用软件限制策略。
如何防止软件限制策略应用于本地治理员
1. 单击开始,单击运行,键入 mmc,然后单击确定。
2. 打开软件限制策略。
3. 在详细信息窗格中,双击强制。
4. 在“将软件限制策略应用于下列用户”下,单击“除本地治理员以外的所有用户”。
注意:
•假如您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。