谈在windows server 中使用软件限制策略
Windows Server 2012 活动目录项目式教程项目19 通过组策略限制用户无法使用系统的部分功能
本任务公司考虑仅禁止业务部员工 在客户机上使用“命令提示符”, 可以考虑在业务部OU中创建一个 新的组策略,并在用户策略中禁止 使用“命令提示符”,这样该策略 仅会限制业务部员工使用“命令提 示符”,其它员工账户并不会受此 限制。
项目操作 +演示软件限制策略
我问你答
(1) 请简述一下用户策略的主要作用?
(2) 请解释一下计算机策略和用户策略的区别?
(3) 当计算机策略和用户策略冲突时那个策略会优先?
项目实训题
通过组策略限制用户无法使用记事本,并截取实验
结果。
项目19 通过组策略限制用户 无法使用系统的部分功能
课程的内容
使用用户策略
项目背景
EDU公司基于AD管理用户和计算机,公司发现业务部
员工通过网络学习了多种技术,并通过“命令提示符”
扫描和攻击公示符”。
相关知识 1、组策略相关知识
项目分析
谈在windows server 中使用软件限制策略
在 Windows Server 2003 中使用软件限制策略概要本文讲明如何在 Windows Server 2003 中使用软件限制策略。
使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。
使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。
要创建此默认安全级不的特例,能够创建针对特定软件的规则。
能够创建以下几种规则:•哈希规则•证书规则•路径规则• Internet 区域规则一个策略由默认安全级不和所有应用于 GPO 的规则组成。
此策略能够应用于所有的计算机或者个不用户。
软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。
有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。
通过软件限制策略,能够执行以下任务:•操纵能够在计算机上运行的程序。
例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。
•在多用户计算机上,仅同意用户运行特定的文件。
例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。
•确定谁能够向计算机中添加受信任的公布服务器。
•操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。
•阻止任何文件在本地计算机、组织单元、站点或域中运行。
例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。
重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
如何启动软件限制策略仅关于本地计算机1. 单击开始,指向程序,指向治理工具,然后单击本地安全策略。
2. 在操纵台树中,展开安全设置,然后展开软件限制策略。
操作系统安全:配置软件限制策略
软件限制策略
3、启用软件限制策略
建立哈希规则:其他规则--新建哈希规则--浏览选择文件
2、软件限制策略的四种规则
(1)哈希规则:
“哈希(hash)”是根据软件程序内容计算出来的一连串固定数目的字节。因为是根据软件程序算出 的,所以不同的软件有着不同的“哈希”值。
在为某个软件建立哈希规则,限制用户不允许运行此软件时,系统就会为他建立一个哈希值。当用户 运行此软件时,计算机就会对比此哈希值,是否相同,如果相同,就拒绝此软件的运行。
软件限制策略
4、简历证书规则
建立证书规则:其他规则--新建证书 规则--浏览选择文件你所要禁止的证书文 件。当你创建完成后再打开证书文件就会 跳出下列窗口
软件限制策略
5、建立路径规则
建立路径规则:其他规则--新建路径 规则--浏览选择文件路径,这边可以直接 选择文件的快捷方式也是可以禁止软件运 行
设置好路径之后再次点开软件会 发现已被禁止使用改软件
软件限制策略
6、建立ininternet区域规则
建立ininternet区域规则:其他规则--新建internet区域规则--在网络区域中选择受 限制的站点-在安全级别中选择不允许。
(2)证书规则:
我们也可以通过“签署证书”辨别软件。但他只适用于.msi与脚本 (scripts),不适用于.exe或.dll的程序。
软件限制策略
2、软件限制策略的四种规则
(3)路径规则:
可以通过软件所在路径来辩识软件,例如指定用 户可以运行位于某个文件夹内的软件。但路径可以 改变,所以当改变时,将不在受此限制。当然还可 以通过注册表的路径来辩识软件。
WindowsXP客户端的软件限制策略一
Windows XP 客户端的软件限制策略一本模块内容MicrosoftWindowsXP Professional 和Microsoft Windows Server2003 提供了“软件限制策略”功能,管理员可用来控制软件在本地计算机上运行的能力。
通过此功能,管理员可以防止用户运行未经授权的软件,并提供了其他保护措施以防病毒和特洛伊木马程序的攻击。
由于软件限制策略已集成到组策略中,因此可将其部署在Microsoft Active Directory目录服务域中。
此外,还可将软件限制策略部署在独立计算机中。
目标使用本模块可以实现下列目标:设计和部署软件限制策略选择正确的规则类型并使用它来标识软件控制软件限制策略使用的检查级别将软件限制策略配置为始终允许管理员运行软件适用范围本模块适用于下列产品和技术:Windows Server 2003 域中的Windows XP Professional Service Pack (SP) 1 客户端独立的Windows XP Professional SP1 客户端如何使用本模块此模块详细描述了软件限制策略以及如何使用它们来控制软件在本地计算机上运行的能力。
为了充分理解本模块内容,请阅读本指南中的模块2“配置Active Directory 域基础结构”。
此模块描述了如何部署合并了软件限制策略的组策略。
使用检查表。
本指南“检查表”部分的检查表“Windows XP 客户端的软件限制策略”提供了作业指导,以供快速参考。
使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。
软件限制策略软件限制策略为管理员提供了一套策略驱动机制,用于标识软件并控制该软件在本地计算机上运行的能力。
这些策略可以确保环境中运行Windows XP Professional 的计算机之间不存在已知冲突,并保护计算机免受恶意病毒和特洛伊木马程序的攻击。
软件限制策略与Active Directory 和组策略完全集成。
运用软件限制策略提高Windows域的安全性
运用软件限制策略提高Windows域的安全性柴方艳【摘要】运用Windows Server 2003组策略中的软件限制策略是系统内置功能,可以保护计算机环境.软件限制策略使用"散列规则"、"证书规则"、"路径规则"、"Internet区域规则"建立安全的软件运行环境,避免受到不可信代码的攻击,提高域的安全性.【期刊名称】《农业网络信息》【年(卷),期】2010(000)001【总页数】3页(P88-89,95)【关键词】软件;规则;安全性【作者】柴方艳【作者单位】黑龙江农业经济职业学院,黑龙江,牡丹江,157041【正文语种】中文【中图分类】TP399在Windows Server 2003中,通过应用组策略,管理员可以方便地管理Active Directory中的计算机和用户的工作环境。
组策略中的软件限制策略可以标识并指定允许运行的软件,以便保护计算机环境不会受到不可信代码的攻击。
软件限制策略结合NTFS权限和注册表权限,能够实现系统的全方位安全配置。
由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象。
软件限制策略位于系统的最底层,其拦截能力也是其他软件所无法比拟的。
1 软件限制策略规则介绍1.1 散列规则散列规则又叫哈希规则,散列是惟一标识程序或文件的一系列定长字节,是根据软件程序的内容计算得出的一连串固定数目的字节。
因此,不同软件程序计算的散列值不同。
例如,可以创建散列规则并将安全级别设为“不允许的”,以防止用户运行某些文件。
在为某个软件建立散列规则时,系统会为该软件建立一个散列值。
当用户要运行此软件时,用户计算机会对比其自行计算机出来的散列值与软件限制策略中的散列值是否相同,如果相同则拒绝运行此软件。
1.2 证书规则软件限制策略可以通过其签名证书来标识文件。
证书规则不能应用到带有.exe 或.dll扩展名的文件,但可以应用到脚本和Windows安装程序包,可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。
SERVER组策略之软件限制策略教程
server组策略之软件限制策略教程xx年xx月xx日•软件限制策略的基础•软件限制策略的配置•软件限制策略的常见问题及解决方案•软件限制策略的实例应用目录01软件限制策略的基础软件限制策略是一种Server组策略,用于限制用户在服务器上使用和安装软件的权限。
根据限制范围,软件限制策略可分为基本策略和详细策略两种类型,其中基本策略限制用户使用某个软件类别,而详细策略则限制用户使用特定的软件应用程序。
定义与分类策略位置及配置软件限制策略在组策略中的位置计算机配置>管理模板>系统>软件限制策略。
在软件限制策略中,可以配置三种类型的策略灰名单、黑名单和白名单。
其中灰名单是介于黑名单和白名单之间的软件,黑名单是禁止使用的软件,白名单是可以使用的软件。
软件限制策略的规则包括:所有用户、所有软件、所有位置、所有版本、所有应用程序。
在例外中,可以添加允许使用某个软件应用程序的规则,以覆盖软件限制策略中的限制。
策略规则和例外02软件限制策略的配置软件限制策略可以通过配置文件和路径限制,控制特定软件或文件夹的访问权限,保障系统安全性。
总结词文件和路径限制是软件限制策略最常用的手段之一。
管理员可以通过在组策略中设置“软件限制策略”-“不允许指定的软件访问”或“只允许指定的软件访问”两个选项,来实现对特定软件或文件夹的访问控制。
详细描述文件和路径限制总结词哈希值限制是通过配置文件或文件夹的哈希值,实现对特定文件的访问控制,进一步增强系统安全性。
详细描述哈希值限制是一种更为高级的软件限制策略方法。
管理员可以通过在组策略中设置“软件限制策略”-“基于哈希值的软件限制策略”选项,并添加相应的哈希值来实现对特定文件的访问控制。
哈希值限制总结词证书限制是通过配置数字证书,实现对软件的签名和身份认证,提高软件的安全性和可信度。
详细描述证书限制通常用于对软件发布者的身份进行验证和确认。
管理员可以通过在组策略中设置“软件限制策略”-“证书限制”选项,并添加相应的证书来验证软件的签名和身份,从而实现对软件的访问控制。
WindowsServer中组策略应用
配置窗口颜色和外观
配置用户登录和注销
可以设置窗口的颜色、字体、大小等。
可以设置用户登录和注销的方式和界面。
配置软件安装程序
禁止安装特定程序
可以通过组策略禁止安装特定的程序, 防止用户随意安装软件。
限制安装程序的路径
可以限制用户只能从特定的路径安装程 序,保证系统的安全性。
禁止使用任务管理器
可以禁止用户使用任务管理器,避免用 户对系统进行不当操作。
3
简化管理员的管理工作
通过组策略,管理员可以一次性对多个计算机 和用户进行配置和管理,减少重复性工作,提 高管理效率。
组策略的优点
集中配置管理
组策略可以对多台计算机和用户进行统 一的配置和管理,减少了管理员的工作 量,提高了管理效率。
安全可靠
组策略可以设置各种安全选项,包括密 码策略、账户锁定等,提高了系统的安 全性。
可通过MMC管理控制台进行创建、编辑和删除
可以使用Microsoft Management Console (MMC) 管理控制台来创建、编辑和删除组策 略对象。
可应用在计算机或用户级别
组策略对象可以应用于计算机或用户级别,根据需要设定计算机或用户的策略。
组策略容器
存储了应用于不同级别的组策略设置
可扩展性强
组策略支持自定义策略设置,可以根据 实际需要进行扩展和定制。
稳定性高
组策略的配置经过仔细测试和验证,稳 定性比较高,不会对系统造成过多的负 担。
02
组策略的组成
组策略对象
定义了组策略设置和条件
组策略对象是组策略设置和条件的主要容器,它定义了组策略设置和条件,以便将其应用 于特定计算机或用户。
3
集中式组策略部署需要搭建和管理中央控制器 或管理工具,对于大规模网络可能存在性能和 管理方面的挑战。
WindowsServer2012活动目录企业应用任务6 对特定软件启用软件限制策略
计算机分配软件(advinst.msi)部署
二、解决方案
① 计算机分配软件部署。 ② 用户分配软件部署。 ③ 用户发布软件部署。 ④ 限制软件的运行。
计算机分配软件(advinst.msi)部署
三、实训项目演示
请读者观看实训项目演示…………
计算机分配软件(advinst.msi)部署
任务6 对特定软件启用软件限制策略
计算机分配软件(advinst.msi)部署
图6-46 新建网络区域规则 图6-47 完成新建网络区域规则后的界面
计算机分配软件(advinst.msi)部署
4. 不要将软件限制策略应用到本地系统管理员
若不想将软件限制策略应用到本地系统管理员组( Administrators),可以如图6-47所示【双击软件限制策 略右侧的强制→在将软件限制策略应用到下列用户处中选 中除本地管理员以外的所有用户→单击“确定”按钮】。
计算机分配软件(advinst.msi)部署
如图6-37所示,【选中其他规则并单击右键→新 建哈希规则→单击“浏览”按钮】。
在图6-38中浏览到advinst14.2.1安装文件的存 储位置后,选择advinst14.2.1.msi,单击“打开 ”按钮
计算机分配软件(advinst.msi)部署
3. பைடு நூலகம்立网络区域规则
可利用网络区域规则来允许或拒绝用户运行位于某个 区域内的程序,这些区域包含本地计算机、Internet、本 地Intranet、受信任的站点与受限制的站点。
建立网络区域规则的方法与其他规则类似,如图6-46 所示,【选中其他规则并单击右键→新建网络区域规则→ 在网络区域下拉列表中选择区域→选择安全级别】,图中 表示只要是位于受限制的站点内的程序都不允许运行。设 置完成后如图6-47所示。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在 Windows Server 2003 中使用软件限制策略概要本文讲明如何在 Windows Server 2003 中使用软件限制策略。
使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。
使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。
要创建此默认安全级不的特例,能够创建针对特定软件的规则。
能够创建以下几种规则:•哈希规则•证书规则•路径规则• Internet 区域规则一个策略由默认安全级不和所有应用于 GPO 的规则组成。
此策略能够应用于所有的计算机或者个不用户。
软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。
有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。
通过软件限制策略,能够执行以下任务:•操纵能够在计算机上运行的程序。
例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。
•在多用户计算机上,仅同意用户运行特定的文件。
例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。
•确定谁能够向计算机中添加受信任的公布服务器。
•操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。
•阻止任何文件在本地计算机、组织单元、站点或域中运行。
例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。
重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
如何启动软件限制策略仅关于本地计算机1. 单击开始,指向程序,指向治理工具,然后单击本地安全策略。
2. 在操纵台树中,展开安全设置,然后展开软件限制策略。
关于成员服务器上的域、站点或组织单元或者差不多加入域的工作站1. 打开 Microsoft 治理操纵台 (MMC)。
要执行此操作,请单击开始,单击运行,键入mmc,然后单击确定。
2. 在文件菜单中,单击添加/删除治理单元,然后单击添加。
3. 单击组策略对象编辑器,然后单击添加。
4. 在选择组策略对象中,单击扫瞄。
5. 在扫瞄组策略对象中,选择相应的域、站点或组织单元中的一个组策略对象 (GPO),然后单击完成。
或者,能够创建一个新的 GPO,然后单击完成。
6. 单击关闭,然后单击确定。
7. 在操纵台树中,转到以下位置:组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略关于域操纵器上的组织单元或域或者差不多安装了治理工具包的工作站1. 单击开始,指向所有程序,指向治理工具,然后单击Active Directory 用户和计算机。
2. 在操纵台树中,右键单击希望为其设置组策略的域或组织单元。
3. 单击属性,然后单击组策略选项卡。
4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。
或者,能够单击新建创建一个新的 GPO,然后单击编辑。
5. 在操纵台树中,转到以下位置:组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略关于站点和域操纵器或者差不多安装了治理工具包的工作站1. 单击开始,指向所有程序,指向治理工具,然后单击Active Directory 站点和服务。
2. 在操纵台中,右键单击希望为其设置组策略的站点:•Active Directory 站点和服务 [ Domain_Controller_Name。
Domain_Name]•站点•站点3. 单击属性,然后单击组策略选项卡。
4. 单击组策略对象链接中的一项,选择一个现有的 GPO,然后单击编辑。
或者,单击新建创建一个新的 GPO,然后单击编辑。
5. 在操纵台树中,转到以下位置:组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略重要讲明:单击用户配置设置将要应用于用户的策略,与用户登录的计算机无关。
单击计算机配置设置将要应用于计算机的策略,与登录到计算机的用户无关。
还能够通过使用称为“环回”的高级组策略设置,在特定的用户登录到特定的计算机时对他们应用软件限制策略。
如何防止软件限制策略应用于本地治理员1. 单击开始,单击运行,键入 mmc,然后单击确定。
2. 打开软件限制策略。
3. 在详细信息窗格中,双击强制。
4. 在“将软件限制策略应用于下列用户”下,单击“除本地治理员以外的所有用户”。
注意:•假如您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。
•一般情况下,用户是组织内计算机上的本地治理员组的成员,因此您可能不想启用此设置。
软件限制策略可不能应用于任何属于本地治理员组的用户。
•假如您正在为本地计算机定义软件限制策略设置,能够使用此过程防止本地治理员将软件限制策略应用于自身。
假如您正在为网络定义软件限制策略设置,能够通过使用组策略,基于安全组的成员身份筛选用户策略设置。
如何创建证书规则1. 单击开始,单击运行,键入 mmc,然后单击确定。
2. 打开软件限制策略。
3. 在操纵台树或详细信息窗格中,右键单击其他规则,然后单击新建证书规则。
4. 单击扫瞄,然后选择证书。
5. 选择安全级不。
6. 在描述框中,键入对此规则的讲明,然后单击确定。
注意:•有关如何在 MMC 中启动软件限制策略的信息,请参见Windows Server 2003 关心文件的“相关主题”中的“启动软件限制策略”。
•假如您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。
•默认情况下不启用证书规则。
要启用证书规则:1. 单击开始,单击运行,键入 regedit,然后单击确定。
2. 找到并单击以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windo ws\Safer\CodeIdentifiers3. 在详细信息窗格中,双击 AuthenticodeEnabled,然后将值数据从 0 更改为 1。
•证书规则只阻碍指派的文件类型中列出的那些文件类型。
存在一个由所有规则共享的指派文件类型的列表。
•要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。
•当应用于策略设置的规则不止一个时,存在处理冲突的规则优先权。
如何创建哈希规则1. 单击开始,单击运行,键入 mmc,然后单击确定。
2. 打开软件限制策略。
3. 在操纵台树或详细信息窗格中,右键单击其他规则,然后单击新建哈希规则。
4. 单击扫瞄找到文件,或者将预先计算好的哈希值粘贴到文件哈希框中。
5. 在安全级不框中,单击不同意或无限制。
6. 在描述框中,键入对此规则的讲明,然后单击确定。
注意:•假如您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。
•能够创建针对病毒或特洛伊木马程序的哈希规则,以防止恶意软件运行。
•假如您希望其他用户使用哈希规则防止病毒运行,能够使用软件限制策略计算病毒的哈希值,然后将此哈希值通过电子邮件发送给其他用户。
千万不要通过电子邮件发送病毒本身。
•假如差不多通过电子邮件发送了病毒,还能够创建路径规则以阻止用户运行邮件附件。
•将文件重命名或移动到另一个文件夹可不能导致哈希值改变。
•对文件进行任何更改都会导致哈希值改变。
•哈希规则只阻碍指派的文件类型中列出的那些文件类型。
存在一个由所有规则共享的指派文件类型的列表。
•要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。
•当应用于策略设置的规则不止一个时,存在处理冲突的规则优先权。
如何创建 Internet 区域规则1. 单击开始,单击运行,键入 mmc,然后单击确定。
2. 打开软件限制策略。
3. 在操纵台树中,单击软件限制策略。
4. 在操纵台树或详细信息窗格中,右键单击其他规则,然后单击新建 Internet 区域规则。
5. 在 Internet 区域中,单击某个 Internet 区域。
6. 在安全级不框中,单击不同意或无限制,然后单击确定。
注意:•假如您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。
•区域规则仅应用于 Windows Installer 软件包。
•区域规则只阻碍指派的文件类型中列出的那些文件类型。
存在一个由所有规则共享的指派文件类型的列表。
•要使软件限制策略生效,用户必须从他们的计算机上注销然后再次登录以更新策略设置。
•当应用于策略设置的规则不止一个时,存在处理冲突的规则优先权。
如何创建路径规则1. 单击开始,单击运行,键入 mmc,然后单击确定。
2. 打开软件限制策略。
3. 在操纵台树或详细信息窗格中,右键单击其他规则,然后单击新建路径规则。
4. 在路径框中键入路径,或单击扫瞄查找文件或文件夹。
5. 在安全级不框中,单击不同意或无限制。
6. 在描述框中,键入对此规则的讲明,然后单击确定。
重要讲明:将某些文件夹(如 Windows 文件夹)的安全级不设置为不同意会对操作的操作产生负面阻碍。
请确保没有禁用操作的关键组件或其相关程序。
注意:•假如您还没有为此 GPO 创建新的软件限制策略设置,可能必须创建一个。
•假如为一个安全级不为不同意的程序创建了路径规则,用户将该软件复制到其他位置后仍可运行该软件。
•路径规则支持的通配符为星号 (*) 和问号 (?)。
•能够在路径规则中使用环境变量(如 %programfiles% 或 %systemroot%)。
•当您不明白软件在计算机上的存储位置,但明白其注册表项时,要为该软件创建路径规则,能够创建注册表路径规则。
•要防止用户运行电子邮件附件,可为邮件程序的附件文件夹创建一个防止用户运行电子邮件附件的路径规则。
•路径规则只阻碍指派的文件类型中列出的那些文件类型。
存在一个由所有规则共享的指派文件类型的列表。