谈在windowsserver中使用软件限制策略

1、1 / 15在 Windows Server 2003 中使用软件限制策略概要本文讲明如何在 Windows Server 2003 中使用软件限制策 略。使用软件限制策略能够标识并指定同意运行的软件， 以便爱 护您的计算机环境可不能受到不可信代码的攻击。 使用软件限制 策略时，能够为组策略对象 (GPO) 定义两种默认安全级不(分 不是无限制和不同意)中的一种， 使得在默认情况下或者同意软 件运行，或者不同意软件运行。要创建此默认安全级不的特例， 能够创建针对特定软件的规则。能够创建以下几种规则：? 哈希规则? 证书规则? 路径规则2 / 15? Internet 区域规则 一个策略由默认安

2、全级不和所有应用于GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。 软件限制策略提供 了许多标识软件的方法， 它们还提供了基于策略的基础结构， 以 便强制执行关于软件是否能够运行的决定。有了软件限制策略， 用户在运行程序时必须遵守治理员设置的规则。通过软件限制策略，能够执行以下任务：? 操纵能够在计算机上运行的程序。 例如，假如担心用户通 过电子邮件收到病毒， 能够应用一个策略， 不同意一些文件类型 在电子邮件程序的电子邮件附件文件夹中运行。? 在多用户计算机上，仅同意用户运行特定的文件。例如， 假如您的计算机上有多个用户， 您能够设置软件限制策略， 使用 户除了能够访问必须在工

3、作中使用的特定文件外， 不能访问其他 任何软件。? 确定谁能够向计算机中添加受信任的公布服务器。? 操纵软件限制策略是阻碍计算机上的所有用户， 依旧只阻 碍一些用户。? 阻止任何文件在本地计算机、 组织单元、站点或域中运行。 例如，假如存在已知病毒， 就能够使用软件限制策略阻止计算机 打开包含该病毒的文件。重要讲明： Microsoft 建议不要用软件限制策略代替防病毒 软件。如何启动软件限制策略3 / 15仅关于本地计算机1. 单击开始，指向程序，指向治理工具，然后单击本地安全 策略。2. 在操纵台树中，展开安全设置，然后展开软件限制策略。 关于成员服务器上的域、站点或组织单元或者差不多加入

4、域的工作站1. 打开 Microsoft 治理操纵台（MMC）。要执行此操作，请 单击开始，单击运行，键入 mmc 然后单击确定。2. 在文件菜单中，单击添加/删除治理单元，然后单击添 加。3. 单击组策略对象编辑器，然后单击添加。4. 在选择组策略对象中，单击扫瞄。5. 在扫瞄组策略对象中，选择相应的域、站点或组织单元中 的一个组策略对象（GPO），然后单击完成。或者，能够创建一个新的 GPO 然后单击完成。6. 单击关闭，然后单击确定。7. 在操纵台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略关于域操

5、纵器上的组织单元或域或者差不多安装了治理工 具包的工作站1. 单击开始，指向所有程序，指向治理工具，然后单击4 / 15Active Directory用户和计算机。2. 在操纵台树中，右键单击希望为其设置组策略的域或组织 单元。3. 单击属性，然后单击组策略选项卡。4. 单击组策略对象链接中的一项，选择一个现有的 GPO,然后单击编辑。或者，能够单击新建创建一个新的GPO,然后单击编辑。5. 在操纵台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略关于站点和域操纵器或者差不多安装了治理工具包的工作 站1. 单

6、击开始，指向所有程序，指向治理工具，然后单击Active Directory站点和服务。2. 在操纵台中，右键单击希望为其设置组策略的站点：？Active Directory站点和服务Domain_Controller_Name。Domain_Name?站点?站点5 / 153. 单击属性，然后单击组策略选项卡。4. 单击组策略对象链接中的一项，选择一个现有的 GPO,然后单击编辑。或者，单击新建创建一个新的 GPO 然后单击编辑。5. 在操纵台树中，转到以下位置：组策略对象 Computer_name 策略 / 计算机配置或用户配置/Windows 设置/安全设置 /软件限制策略重要讲明：单击用户配置设置将要应用于用户的策略，与用 户登录的计算机无关。 单击计算机配置设置将要应用于计算机的 策略，与登录到计算机的用户无关。还能够通过使用称为“环回”的高级组策略设置，在特定的 用户登录到特定的计算机时对他们应用软件限制策略。如何防止软件限制策略应用于本地治理员1. 单击开始，单击运行，键入 mmc 然后单击确定。2. 打开