Windows Server 2003 中使用软件限制策略

Windows Server 2003中使用软件限制策略

本文说明如何在Windows Server 2003中使用软件限制策略。使用软件限制策略可以标识并指定允许运行的软件，以便保护您的计算机环境不会受到不可信代码的攻击。使用软件限制策略时，可以为组策略对象(GPO)定义两种默认安全级别（分别是无限制和不允许）中的一种，使得在默认情况下或者允许软件运行，或者不允许软件运行。要创建此默认安全级别的特例，可以创建针对特定软件的规则。可以创建以下几种规则：

哈希规则

证书规则

路径规则

Internet区域规则

一个策略由默认安全级别和所有应用于GPO的规则组成。此策略可以应用于所有的计算机或者个别用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否可以运行的决定。有了软件限制策略，用户在运行程序时必须遵守管理员设置的规则。

通过软件限制策略，可以执行以下任务：

控制可以在计算机上运行的程序。例如，如果担心用户通过电子邮件收到病毒，可以应用一个策略，不允许一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。

在多用户计算机上，仅允许用户运行特定的文件。例如，如果您的计算机上有多个用户，您可以设置软件限制策略，使用户除了可以访问必须在工作中使用的特定文件外，不能访问其他任何软件。

确定谁可以向计算机中添加受信任的发布服务器。

控制软件限制策略是影响计算机上的所有用户，还是只影响一些用户。

阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，如果存在已知病毒，就可以使用软件限制策略阻止计算机打开包含该病毒的文件。重要说明：Microsoft建议不要用软件限制策略代替防病毒软件。

如何启动软件限制策略

仅对于本地计算机

1.单击开始，指向程序，指向管理工具，然后单击本地安全策略。

2.在控制台树中，展开安全设置，然后展开软件限制策略。

对于成员服务器上的域、站点或组织单元或者已经加入域的工作站

1.打开Microsoft管理控制台(MMC)。要执行此操作，请单击开始，单击运行，键入mmc，然后单击确定。

2.在文件菜单中，单击添加/删除管理单元，然后单击添加。

3.单击组策略对象编辑器，然后单击添加。

4.在选择组策略对象中，单击浏览。

5.在浏览组策略对象中，选择相应的域、站点或组织单元中的一个组策略对象(GPO)，然后单击完成。

或者，可以创建一个新的GPO，然后单击完成。

6.单击关闭，然后单击确定。

7.在控制台树中，转到以下位置：

组策略对象Computer_name策略/计算机配置或用户/配置/Windows设置/安全设置/软件限制策略

对于域控制器上的组织单元或域或者已经安装了管理工具包的工作站

1.单击开始，指向所有程序，指向管理工具，然后单击ActiveDirectory用户和计算机。

2.在控制台树中，右键单击希望为其设置组策略的域或组织单元。

3.单击属性，然后单击组策略选项卡。

4.单击组策略对象链接中的一项，选择一个现有的GPO，然后单击编辑。

或者，可以单击新建创建一个新的GPO，然后单击编辑。

5.在控制台树中，转到以下位置：

组策略对象Computer_name策略/计算机配置或用户配置/Windows设置/安全设置/软件限制策略

对于站点和域控制器或者已经安装了管理工具包的工作站

1.单击开始，指向所有程序，指向管理工具，然后单击ActiveDirectory站点和服务。

2.在控制台中，右键单击希望为其设置组策略的站点：

oActive Directory站点和服务[Domain_Controller_Name。

Domain_Name]

o站点

o站点

3.单击属性，然后单击组策略选项卡。

4.单击组策略对象链接中的一项，选择一个现有的GPO，然后单击编辑。

或者，单击新建创建一个新的GPO，然后单击编辑。

5.在控制台树中，转到以下位置：

组策略对象Computer_name策略/计算机配置或用户配置/Windows设置/安全设置/软件限制策略

重要说明：单击用户配置设置将要应用于用户的策略，与用户登录的计算机无关。单击计算机配置设置将要应用于计算机的策略，与登录到计算机的用户无关。

还可以通过使用称为“环回”的高级组策略设置，在特定的用户登录到特定的计算机时对他们应用软件限制策略。

如何防止软件限制策略应用于本地管理员

1.单击开始，单击运行，键入mmc，然后单击确定。

2.打开软件限制策略。

3.在详细信息窗格中，双击强制。

4.在“将软件限制策略应用于下列用户”下，单击“除本地管理员以外的所有用户”。

注意：

如果您还没有为此GPO创建新的软件限制策略设置，可能必须创建一个。

一般情况下，用户是组织内计算机上的本地管理员组的成员，因此您可能不想启用此设置。软件限制策略不会应用于任何属于本地管理员组的用户。

如果您正在为本地计算机定义软件限制策略设置，可以使用此过程防止本地管理员将软件限制策略应用于自身。如果您正在为网络定义软件限制策略设置，可以通过使用组策略，基于安全组的成员身份筛选用户策略设置。

如何创建证书规则

1.单击开始，单击运行，键入mmc，然后单击确定。

2.打开软件限制策略。

3.在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建证书规则。

4.单击浏览，然后选择证书。

5.选择安全级别。

6.在描述框中，键入对此规则的说明，然后单击确定。

注意：

有关如何在MMC中启动软件限制策略的信息，请参见Windows Server2003帮助文件的“相关主题”中的“启动软件限制策略”。

如果您还没有为此GPO创建新的软件限制策略设置，可能必须创建一个。

默认情况下不启用证书规则。要启用证书规则：

1.单击开始，单击运行，键入regedit，然后单击确定。

2.找到并单击以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeId entifiers

3.在详细信息窗格中，双击AuthenticodeEnabled，然后将值数据从0更改为1。

证书规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。