电脑账户权限限制
如何设置电脑的用户账户和访问权限
如何设置电脑的用户账户和访问权限设置电脑的用户账户和访问权限是保护计算机安全的重要步骤,可以有效地防止未经授权的访问和潜在的安全威胁。
下面将详细介绍如何设置电脑的用户账户和访问权限。
一、用户账户设置:1. 创建管理员账户:在Windows系统中,管理员账户拥有最高权限,可以对系统进行全面的管理和配置。
在用户账户设置过程中,首先需要创建一个管理员账户。
打开“控制面板”,选择“用户账户”,点击“管理其他账户”,然后选择“添加新账户”来创建一个管理员账户。
2.设置普通用户账户:普通用户账户是用来普通使用计算机的账户,无法对系统进行全面管理。
这样设置可以有效地避免不必要的操作对系统的损坏。
同样,在“用户账户”设置中,选择“添加新账户”来创建一个普通用户账户。
3.删除不必要的用户账户:检查并删除不再需要的用户账户,以避免未经授权的访问。
在“用户账户”设置中,选择需要删除的账户,点击“删除账户”进行删除。
二、访问权限设置:1.管理管理员账户的访问权限:管理员账户需要管理整个系统,但也应限制对一些文件和设置的访问权限。
打开“控制面板”,选择“用户账户”,点击“管理其他账户”,选择管理员账户,然后点击“更改账户类型”来修改管理员账户的类型。
2. 管理普通用户账户的访问权限:普通用户账户的权限设置是防止计算机被未经授权的访问的重要步骤。
在Windows系统中,可以通过设置文件和文件夹的共享权限、安全权限等方式来限制用户的访问权限。
3.分配访问权限:在计算机中,一般分为系统级别的权限和文件级别的权限。
系统级别的权限包括对系统设置和程序的管理,而文件级别的权限则是对文件和文件夹的读写、修改等操作。
要设置这些权限,可以在文件属性中找到“安全”选项卡,然后对不同的用户进行权限分配。
三、其他安全设置:1.强制用户使用密码登录:要确保用户账户的安全,可以设置强制用户输入密码才能登录。
在“用户账户”设置中,选择“更改账户类型”,然后选择需要设置密码的账户,点击“创建密码”,输入密码并确认。
如何设置电脑的多用户登录和权限控制
如何设置电脑的多用户登录和权限控制随着现代科技的不断发展,电脑已经成为人们生活和工作中不可或缺的一部分。
无论是个人使用还是在企业中,为了保护计算机系统的安全性和保密性,设置多用户登录和权限控制是十分重要的。
本文将介绍如何设置电脑的多用户登录和权限控制,以便实现更好的系统管理和数据保护。
1. 创建用户账户要实现多用户登录,首先需要创建不同的用户账户。
在Windows系统下,你可以在“控制面板”中的“用户账户”选项中创建新的用户账户。
在Mac系统下,可以通过“系统偏好设置”中的“用户与群组”来创建新的用户账户。
创建用户账户时,需要设置用户名和密码,并根据具体需求选择用户类型(管理员用户或普通用户)。
管理员用户拥有对系统的完全控制权限,而普通用户只能使用部分功能和进行特定操作。
2. 设置用户登录密码为了确保系统的安全性,每个用户账户都应设置独立的登录密码。
密码应该是复杂且不易猜测的组合,包括大写字母、小写字母、数字和特殊字符,并且长度要足够长。
为了避免忘记密码,建议使用密码管理工具来帮助记忆和保管密码。
3. 配置权限控制权限控制是指对不同用户账户的权限进行设置和管理,以便限制其对计算机系统和文件的访问和操作。
在Windows系统中,可以通过“控制面板”中的“用户账户”选项来配置权限控制。
在Mac系统中,可以通过“系统偏好设置”中的“用户与群组”选项来进行权限设置。
对于管理员用户,可以设置其拥有系统的完全控制权限,包括安装软件、更改系统设置等。
对于普通用户,可以根据需要设置其权限级别,限制其对某些敏感文件和功能的访问和操作。
4. 使用访客账户除了创建独立的用户账户,还可以使用访客账户来提供临时使用电脑的权限。
访客账户通常有时间限制,可以在一定时间段内使用,过期后将无法登录。
这种方式可以避免未经授权的人员使用你的电脑,并且保护你的个人隐私。
5. 日志记录和审计为了进一步加强系统的安全性,可以启用日志记录和审计功能。
如何设置电脑的用户账户和权限
如何设置电脑的用户账户和权限在现代科技发展的时代,电脑已经成为我们生活中不可或缺的工具。
随着网络使用的普及,保护个人信息的重要性也日益增加。
为了确保电脑的安全和私密性,设置电脑用户账户和权限是必不可少的。
本文将为您介绍如何设置电脑的用户账户和权限,以帮助您保护个人信息和正确管理电脑使用。
一、创建新用户账户创建新用户账户是保护个人信息和管理电脑使用的第一步。
以下是创建新用户账户的步骤:1. 打开“控制面板”:点击屏幕左下角的“开始”菜单,然后选择“控制面板”。
2. 进入“用户账户”设置:在控制面板中,选择“用户账户和家庭安全”或“用户账户”。
3. 选择“添加或删除用户账户”选项:根据您的电脑操作系统版本,可能会有不同的选项名称。
选择“添加或删除用户账户”或类似的选项。
4. 创建新用户账户:点击“创建一个新账户”选项,然后按照指示输入新账户的名称和密码。
您还可以选择账户类型(管理员或标准用户)。
5. 完成创建:按照屏幕上的提示完成账户创建过程。
二、设置用户账户的权限设置用户账户的权限可以控制不同用户在电脑上的访问和操作权限。
以下是设置用户账户权限的步骤:1. 打开“控制面板”:同样,在屏幕左下角的“开始”菜单中选择“控制面板”。
2. 进入“用户账户”设置:选择“用户账户和家庭安全”或“用户账户”。
3. 选择“更改账户类型”选项:根据您的操作系统版本,选择“更改账户类型”或类似的选项。
4. 选择用户账户:在显示的账户列表中,选择您想要更改权限的用户账户。
5. 更改用户账户类型:点击“更改账户类型”或“更改账户权限”选项。
根据需要,选择“管理员”或“标准用户”。
6. 确认更改:按照屏幕上的提示完成权限更改过程。
三、其他用户账户设置除了创建新用户账户和设置权限之外,还有一些其他的用户账户设置可以增强电脑的安全性和个人信息保护。
1. 密码保护:为用户账户设置强密码,以防止他人未经授权访问您的电脑和个人信息。
Windows 用户帐户权限设置详解
Windows XP用户帐户权限设置详解1:标准用户该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件.2:受限用户该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改.3:其他用户(1)系统***--有对计算机的完全访问控制权.(2)备份操作员不能根改安全性设置(3)客人--权限同受限用户(4)高级用户--权限同标准用户在XP中设置用户权限按照一下步骤进行:进入"控制面板",在"控制面板"中双击"管理工具"打中开"管理工具",在"管理工具"中双击"计算机管理"打开"计算机管理"控制台,在"计算机管理"控制台左面窗口中双击"本地用户和组",再单下面的"用户",右面窗口即显示此计算机上的所有用户。
要更改某用户信息,右击右面窗口的该用户的图标,即弹出快捷菜单,该菜单包括:设置密码、删除、重命名、属性、帮助等项,单击设置密码、删除、重命名等项可进行相应的操作。
单击属性弹出属性对话框,“常规”选项卡可对用户密码安全,帐户的停锁等进行设置,“隶属于”选项卡可改变用户组,方法如下:先选中下面列表框中的用户,单击“删除”按纽,如此重复删除列表中的所有用户,单击“添加”按纽,弹出“选择组”对话柜,单击“高级”按纽,单击“立即查找”按纽,下面列表框中列出所有的用户组,Administrators组为***组(其成员拥有所有权限),Power Users组为超级用户组(其成员拥有除计算机管理以外的所有权限,可安装程序),User组为一般用户组(其成员只执行程序,不能安装和删程序)。
win账户信息访问权限怎么关闭win账户权限设置方法
win账户信息访问权限怎么关闭win账户权限设置方法Windows账户是我们在使用电脑时常用的一种登录凭证,它可以让我们访问操作系统中的各种功能和应用程序。
然而,有时候我们可能需要关闭某个Windows账户的信息访问权限,以保护个人隐私或限制其他用户的访问。
下面将介绍如何关闭Windows账户信息访问权限以及相关的设置方法。
关闭Win账户的信息访问权限可以通过以下步骤来实现:1. 首先,点击开始菜单,并选择“设置”选项。
2. 在设置菜单中,点击“账户”选项,然后选择“家庭和其他用户”。
3. 在家庭和其他用户页面中,可以看到已登录的所有用户账户。
找到你想要关闭信息访问权限的账户,并点击其用户名。
4. 在账户设置页面中,找到“隐私”选项,并点击其下的“账户信息”选项。
5. 在账户信息页面中,可以看到默认情况下所有用户都具有访问该账户信息的权限。
要关闭该权限,可以点击“其他用户看不到我的信息。
”的选项。
6. 在关闭信息访问权限后,其他用户将无法再查看该账户的详细信息,包括姓名、电子邮件地址、电话号码等。
上述步骤是一种简单的关闭Windows账户信息访问权限的方法,但是需要注意以下几点:- 请确保你具有管理员权限。
只有管理员才能更改其他用户的访问权限。
- 关闭信息访问权限后,其他用户将无法查看该账户的详细信息,但仍可以看到该账户的存在和登录状态。
- 如果你想要完全限制其他用户的访问,可以考虑创建一个新的本地账户,并将其设置为标准用户。
这样,其他用户将无法访问该账户中的任何信息。
- 在关闭信息访问权限之前,请务必考虑好相关后果。
如果某些应用程序或功能依赖于账户信息,关闭权限可能会对其产生影响。
除了上述方法外,还有其他一些更高级的设置方法,例如使用组策略编辑器或注册表进行更详细的权限控制。
然而,这些方法需要更深入的系统操作知识,不适合普通用户操作。
在使用Windows账户时,我们应该根据实际需求来设置访问权限,以保护个人隐私和电脑的安全。
如何解决电脑中的权限限制问题
如何解决电脑中的权限限制问题在日常使用电脑的过程中,我们经常会遇到权限限制的问题,这给我们的工作和生活带来了很大的不便。
为了解决这个问题,本文将为大家提供一些解决权限限制问题的方法和技巧。
一、了解权限限制的原因在解决权限限制问题之前,我们首先需要了解权限限制的原因。
计算机操作系统为了保护我们的数据安全,设置了不同的权限级别,包括管理员权限和普通用户权限。
普通用户通常无法对系统重要文件进行修改,以免造成系统崩溃或数据丢失。
这就是为什么我们在进行某些操作时会遇到权限不足的提示。
二、使用管理员账户登录第一种解决权限限制问题的方法是使用管理员账户登录系统。
在大部分情况下,管理员账户具有最高权限,可以对系统进行任意操作。
我们可以通过以下步骤来使用管理员账户登录:1. 重新启动电脑,并在登录界面点击“切换用户”按钮。
2. 输入管理员账户的用户名和密码进行登录。
需要注意的是,需要提前设置一个管理员账户并记住其用户名和密码。
如果忘记了管理员账户的密码,可以通过重置密码的方法来解决。
三、改变文件的属性和权限如果我们在访问或修改某个文件时遇到权限限制的问题,可以尝试改变文件的属性和权限来解决。
我们可以按照以下步骤进行操作:1. 鼠标右键点击要修改权限的文件或文件夹,选择“属性”选项。
2. 在属性窗口中选择“安全”选项卡,点击“编辑”按钮。
3. 在权限窗口中选择要修改的用户或用户组,在下方的权限设置中勾选对应的权限。
4. 点击“确定”按钮保存修改。
通过修改文件的权限,我们就可以获得对该文件或文件夹的访问和修改权限,解决权限限制问题。
四、使用管理员权限打开程序有些程序需要以管理员权限来运行,否则可能无法正常工作。
为了解决权限限制问题,我们可以通过以下方法以管理员权限打开程序:1. 找到要打开的程序的图标或快捷方式。
2. 鼠标右键点击程序图标或快捷方式,选择“以管理员身份运行”。
通过以管理员权限运行程序,我们可以获得更高的权限级别,从而解决权限限制问题。
来宾账户(guest)或者受限用户(user)的权限设置
当你的电脑经常需要被别人使用,但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时,你可以先以管理员身份登录Windows系统,参照以下几条作相应设置,然后开通来宾账户或者新建一个普通user账户(不是管理员,而是受限用户),让别人用这个账户登录系统,这时你就可以放心你的电脑任意让别人折腾。
一、限制用户对文件的访问权限如果程序所在的磁盘分区文件系统为NTFS格式,管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。
通常情况下,一个应用程序安装到系统后,本地计算机的所有账户都可以访问并运行该应用程序。
如果取消分配给指定用户对该应用程序或文件夹的访问权限,该用户也就失去了运行该应用程序的能力。
例如,要禁止受限用户运行Outlook Express应用程序,可以进行如下的操作:(1)、以administrator账户登录系统,如果当前系统启用了简单文件共享选项,需要将该选项关闭。
具体做法是,在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”,点击“查看”选项页,取消“使用简单文件共享”选项的选择,点击“确定”。
(2)、打开Program Files文件夹,选中Outlook Express文件夹并单击右键,选择“属性”。
(3)、点击“安全”选项页,可以看到Users组的用户对该文件夹具有读取和运行的权限,点击“高级”。
(4)、取消“从父项继承那些可以应用到子对象的权限项目,包括那些再次明确定义的项目”选项的选择,在弹出的提示信息对话框,点击“复制”,此时可以看到用户所具有的权限改为不继承的。
(5)、点击“确定”,返回属性窗口,在“用户或组名称”列表中,选择Users项目,点击“删除”,点击“确定”,完成权限的设置。
要取消指定用户对文件或程序的访问限制,需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。
如何设置电脑的用户权限和文件共享
如何设置电脑的用户权限和文件共享在现代信息时代,电脑的使用已经成为人们生活中不可或缺的一部分。
然而,在一个共享电脑的环境中,设置适当的用户权限和文件共享是非常重要的。
本文将详细介绍如何设置电脑的用户权限和文件共享,并提供几种实用的方法。
一、用户权限设置用户权限设置是指在电脑上为每个用户分配适当的访问权限。
这样可以保护个人隐私和防止未经授权的访问。
以下是几种常见的设置方法:1. 创建用户账户:为了实现用户权限设置,首先需要在电脑上创建不同的用户账户。
每个用户账户都有自己的用户名和密码用于登录电脑。
2. 设置管理员账户:管理员账户拥有最高权限,可以对所有用户账户进行修改和管理。
建议设置一个强密码以提高安全性。
3. 分配用户权限:通过控制面板或者设置菜单,可以为每个用户账户分配不同的权限。
常见的权限包括修改系统设置、安装/卸载软件和访问特定文件夹等。
4. 密码保护:为了进一步确保安全性,建议为每个用户账户设置独立的密码。
强密码应包含字母、数字和特殊字符,并定期更改以避免被破解。
二、文件共享设置文件共享是指在多个用户之间共享电脑上的文件和文件夹。
以下是几种实现文件共享的方法:1. 创建共享文件夹:选择一个适当的文件夹,并将其设置为共享文件夹。
这样其他用户就可以访问该文件夹中的文件。
2. 设置访问权限:为了控制文件共享的权限,可以设置只读或读写权限。
只读权限允许其他用户查看文件但不能进行修改,读写权限允许其他用户修改文件。
3. 密码保护:对于敏感的文件共享,可以设置密码以限制访问。
只有输入正确的密码,其他用户才能访问共享文件。
4. 网络文件共享:通过局域网或者互联网,可以实现跨网络的文件共享。
在网络设置中,可以设置访问权限和密码保护以确保安全性。
总结:通过合理设置电脑的用户权限和文件共享,可以保护个人隐私和确保文件的安全。
通过创建用户账户、设置管理员权限、分配用户权限以及密码保护等方法,可以有效地控制用户的访问权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当你的电脑经常需要被别人使用,但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时,你可以先以管理员身份登录Windows系统,参照以下几条作相应设置,然后开通来宾账户或者新建一个普通user账户(不是管理员,而是受限用户),让别人用这个账户登录系统,这时你就可以放心你的电脑任意让别人折腾。
一、限制用户对文件的访问权限如果程序所在的磁盘分区文件系统为NTFS格式,管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。
通常情况下,一个应用程序安装到系统后,本地计算机的所有账户都可以访问并运行该应用程序。
如果取消分配给指定用户对该应用程序或文件夹的访问权限,该用户也就失去了运行该应用程序的能力。
例如,要禁止受限用户运行Outlook Express应用程序,可以进行如下的操作:(1)、以administrator账户登录系统,如果当前系统启用了简单文件共享选项,需要将该选项关闭。
具体做法是,在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”,点击“查看”选项页,取消“使用简单文件共享”选项的选择,点击“确定”。
(2)、打开Program Files文件夹,选中Outlook Express文件夹并单击右键,选择“属性”。
(3)、点击“安全”选项页,可以看到Users组的用户对该文件夹具有读取和运行的权限,点击“高级”。
(4)、取消“从父项继承那些可以应用到子对象的权限项目,包括那些再次明确定义的项目”选项的选择,在弹出的提示信息对话框,点击“复制”,此时可以看到用户所具有的权限改为不继承的。
(5)、点击“确定”,返回属性窗口,在“用户或组名称”列表中,选择Users项目,点击“删除”,点击“确定”,完成权限的设置。
要取消指定用户对文件或程序的访问限制,需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。
这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。
但是这需要一个非常重要的前提,那就是要求应用程序所在的分区格式为NTFS,否则,一切都无从谈起。
对于FAT/FAT32格式的分区,不能应用文件及文件夹的安全选项,我们可以通过设置计算机的策略来禁止运行指定的应用程序。
二、启用“不要运行指定的Windows应用程序”策略在组策略中有一条名为“不要运行指定的Windows应用程序”策略,通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。
设置方法如下:(1)、在“开始”“运行”处执行gpedit.msc命令,启动组策略编辑器,或者运行mmc命令启动控制台,并将“组策略”管理单元加载到控制台中;(2)、依次展开“…本地计算机‟策略”“用户设置”“管理模板”,点击“系统”,双击右侧窗格中的“不要运行指定的Windows应用程序”策略,选择“已启用”选项,并点击“显示”。
(3)、点击“添加”,输入不运行运行的应用程序名称,如命令提示符cmd.exe,点击“确定”,此时,指定的应用程序名称添加到禁止运行的程序列表中。
(4)、点击“确定”返回组策略编辑器,点击“确定”,完成设置。
当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。
把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。
要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白的)。
这种方式只阻止用户运行从Windows资源管理器中启动的程序,对于由系统过程或其他过程启动的程序并不能禁止其运行。
该方式禁止应用程序的运行,其用户对象的作用范围是所有的用户,不仅仅是受限用户,Administrators组中的账户甚至是内建的administrator帐户都将受到限制,因此给管理员带来了一定的不便。
当管理员需要执行一个包含在不允许运行列表中的应用程序时,需要先通过组策略编辑器将该应用程序从不运行运行列表中删除,在程序运行完成后,再将该程序添加到不允许运行程序列表中。
需要注意的是,不要将组策略编辑器(gpedit.msc)添加到禁止运行程序列表中,否则会造成组策略的自锁,任何用户都将不能启动组策略编辑器,也就不能对设置的策略进行更改。
提示:如果没有禁止运行“命令提示符”程序的话,用户可以通过cmd命令,从“命令提示符”运行被禁止的程序,例如,将记事本程序(notepad.exe)添加不运行列表中,通过XP的桌面运行该程序是被限制的,但是在“命令提示符”下运行notepad命令,可以顺利的启动记事本程序。
因此,要彻底的禁止某个程序的运行,首先要将cmd.exe添加到不允许运行列表中。
三、设置软件限制策略软件限制策略是本地安全策略的一个组成部分,管理员通过设置该策略对文件和程序进行标识,将它们分为可信任和不可信任两种,通过赋予相应的安全级别来实现对程序运行的控制。
这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。
软件设置策略使用两个方面的设置对程序进行限制:安全级别和其他规则。
安全级别分为“不允许的”和“不受限制的”两种。
其中,“不允许的”将禁止程序的运行,不论用户的权限如何;“不受限的”允许登录用户使用他所拥有的权限来运行程序。
其它规则,即由管理员通过制定规则对指定的一批或一个文件和程序进行标识,并赋予“不允许的”或“不受限的”安全级别。
在这个部分中,管理员可以制定四种类型的规则,按照优先级别分别是:散列规则、证书规则、路径规则和Internet 区域规则,这些规则将对文件的访问和程序的运行提供最大限度的授权级别。
软件限制策略的设置1、访问软件限制策略作为本地安全策略的一部分,软件限制策略同时也包含在组策略中,这些策略的设置必须以administrator账户或Administrators组成员的身份登录系统。
软件限制策略的访问方式有两种:(1)、在“开始”“运行”处运行secpol.msc,启动本地安全策略编辑器,在“安全设置”下可以看到“软件限制策略”项目。
(2)、在“开始”“运行”处运行gpedit.msc,启动组策略编辑器,在“计算机设置”“Windows设置”“安全设置”下可以看到“软件限制策略”。
2、新建软件限制策略首次打开“软件限制策略”时,该项目是空的。
策略需要由管理员手动添加。
方法是点击“软件限制策略”使其处于选中状态,点击编辑器窗口“操作”菜单下的“新建一个策略”项目,此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性,如图2所示。
一旦执行了新建策略操作后,就不能再次执行该操作,并且这个策略也不能删除。
3、设置默认的安全级别新建软件限制策略后,策略的默认安全级别为“不受限的”,如果要更改默认的安全级别,需要在“安全级别”中进行设置,方法如下:(1)、打开“安全级别”,在右侧窗格中,可以看到有两条设置,其中图标中带有一个小对号的设置为默认设置;(2)、点击不是默认值的那条设置,单击右键,选择“设置为默认”项。
当设置“不允许的”为默认值时,系统会显示一个提示信息对话框,点击“确定”即可。
该步骤也可以双击非默认的设置,在弹出的属性窗口中,点击“设为默认值”。
4、设置策略的作用范围和对象通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。
通常情况下,为了避免引起系统不必要的问题以及便于对系统的管理,策略的作用范围应设置为不包含库文件的所有软体文件,作用对象设置为除本地管理员外的所有用户。
设置的方法如下:(1)、单击“软件限制策略”,双击右侧窗格中的“强制”属性项目;(2)、选择“除去库文件(如Dll文件)以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项,单击“确定”。
5、制定规则只通过安全级别的设置,显然不能很好的实现对文件和程序的控制,必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序,并进而实现对这些文件和程序的灵活控制。
上文中提到可制定规则的类型有四种:散列规则、证书规则、路径规则和Internet区域规则。
它们标识文件以及制定规则的方法如下:散列规则:利用散列算法计算出指定文件的散列,这个散列是唯一标识该文件的一系列定长字节。
制定了散列规则后,用户访问或运行文件时,软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。
当文件移动或重命名,不会影响文件的散列,软件限制策略对该文件依然有效。
制定方法如下:(1)、点击“软件限制策略”下的“其它规则”,在“其他规则”上单击右键,或在右侧窗格的空白区域单击右键,选择“新散列规则”。
(2)、点击“浏览”,指定要标识的文件或程序,例如cmd.exe,确认后,在文件散列中可以看到计算出来的散列,在“安全级别”中选择“不允许的”或“不受限的”,点击“确定”,在“其它规则”中可以看到新增了一条类型为散列的规则。
证书规则:利用与文件或程序相关联的签名证书进行标识。
证书规则需要的证书可以是自签名的、由证书颁发机构(CA)颁发或是由Windows2000公钥机构发布。
证书规则不应用于EXE文件和DLL文件,它主要应用于脚本和Windows 安装程序包。
当某个文件由其关联的签名证书标识后,运行该文件时,软件限制策略会根据该文件的安全级别来决定是否可以运行。
文件的移动和更名不会对证书规则的应用产生影响。
制定证书规则时要求能够访问到用来标识文件的证书文件,证书文件的扩展名为.CER。
创建方法同散列规则。
路径规则:利用文件或程序的路径进行标识,该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。
由于标识是由路径来完成的,当文件移动或重命名时,路径规则会失去作用。
在路径规则中,根据路径范围的大小,优先级别各有高低,范围越大,优先级越低。
通常路径的优先级从高到低为:指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。
创建方法同散列规则。
Internet区域规则:利用应用程序下载的Internet区域进行标识。
区域主要包括:Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。
该规则主要应用于Windows的安装程序包。
创建方法同散列规则。
6、维护可执行代码的文件类型不论是那种规则,它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型,这些类型是所有规则共享的。
某些情况下,管理员可能需要删除或添加某种类型的文件,以便规则能够对这类文件失去或产生作用,这就需要我们来维护“指派的文件类型”属性。