利用软件限制策略限制客户端安装及运行软件

1、网络安全技术及实训第第2 2章章 操作系统安全操作系统安全 实训实训2-42-4：利用软件限制策略限制客户端安装：利用软件限制策略限制客户端安装和运行软件和运行软件实训目的实训目的理解软件限制策略的作用掌握限制用户使用指定软件的配置方法掌握限制用户安装软件的方法掌握只允许用户使用某些软件的方法实训背景实训背景 在企业网络中，企业管理员不允许用户使用未授权软件，而有些用户使用QQ等聊天工具。此时，管理员要求网络人员限制用户使用非授权软件。其实，限制用户安装和使用未授权软件，对于整个企业的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使

2、用软件。实训拓扑实训拓扑实训设备实训设备设备设备数量数量服务器（安装windows2000/2003操作系统）1台实训步骤实训步骤1.使用“不要运行指定的Windows应用程序”限制用户使用未授权软件2.使用哈希规则来限制用户使用未授权软件3.只允许开通公司允许的软件运行4.限制用户安装软件1.1.使用使用“不要运行指定的不要运行指定的WindowsWindows应用程序应用程序”限制用户使用未授权软件限制用户使用未授权软件1.1.使用使用“不要运行指定的不要运行指定的WindowsWindows应用程序应用程序”限制用户使用未授权软件限制用户使用未授权软件（1）在运行窗口中输入命令“gped

3、it.msc”，打开“组策略编辑器”，如所示。1.1.使用使用“不要运行指定的不要运行指定的WindowsWindows应用程序应用程序”限制用户使用未授权软件限制用户使用未授权软件（2）选择【用户配置】【管理模板】【系统】，然后双击右面板上的“不要运行指定的Windows应用程序”，在打开的对话框中，选择 ，然后单击 按钮，如所示。1.1.使用使用“不要运行指定的不要运行指定的WindowsWindows应用程序应用程序”限制用户使用未授权软件限制用户使用未授权软件（3）在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制使用记事本，那么就添加notepad.exe，如所示。1.1

4、.使用使用“不要运行指定的不要运行指定的WindowsWindows应用程序应用程序”限制用户使用未授权软件限制用户使用未授权软件（4）单击 按钮，然后单击 按钮，完成组策略的设置，如所示。高级.应用(A).1.1.使用使用“不要运行指定的不要运行指定的WindowsWindows应用程序应用程序”限制用户使用未授权软件限制用户使用未授权软件（5）然后到客户端做测试，双击“Notepad.exe”，会打开限制窗口，如所示。1.1.使用使用“不要运行指定的不要运行指定的WindowsWindows应用程序应用程序”限制用户使用未授权软件限制用户使用未授权软件（6）由于这种方式是根据程序名的，如果

5、把程序名改一下就会不起作用了，比如我们把Notepad.exe改为notepad1.exe，再登录，如所示，又可以使用该软件了。2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件（1）打开“组策略”编辑器。（2）选择【用户配置】【Windows设置】【安全设置】【软件限制策略】，右击【软件限制策略】，选择“创建软件限制策略”，如所示。2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件（3）右击【软件限制策略】下的【其他规则】，选择“新建哈希规则”，在打开的

6、对话框中，单击 按钮，找到要限制的软件“Notepade.exe”，如所示。2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件（4）单击 按钮后，新建的哈希规则如所示。添 加2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件（5）关闭组策略编辑器，哈希规则限制软件使用就已经建好了。我们到客户端去测试打开记事本，出现如下提示。2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件（6）不过，这种方式也不是绝对的有效，如果软件版本更新，那么我们就必须对新的版本做一次哈希规则，之前做的哈希规则只能对配置时的软件版本

7、有效。如果这样每次有软件更新都做哈希规则的话，管理员的任务是很重的，所以这种方法虽然有用，不过不能算好的方法。3.3.只允许开通公司允许的软件运行只允许开通公司允许的软件运行3.3.只允许开通公司允许的软件运行只允许开通公司允许的软件运行（1）打开“组策略编辑器”，选择“用户配置”“管理模板”“系统”，在右面板上双击“只运行许可的Windows应用程序”，如所示。2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件（2）在“只运行许可的Windows应用程序 属性”对话框中，选择“已启用”，然后单击 按钮，如所示。2.2.使用哈希规则来限制用户使用未授权软件使用哈希

8、规则来限制用户使用未授权软件（3）在“显示内容”对话框中，添加公司允许使用的软件，如所示。单击 按钮，关闭组策略编辑器，完成组策略的设置。确 定2.2.使用哈希规则来限制用户使用未授权软件使用哈希规则来限制用户使用未授权软件（4）在客户端，随便找一个非允许的软件，双击都会出现如所示对话框。OK，现在我们就已经做到限制软件的使用了。这种方法比前一种方法更为实用。4.4.限制用户安装软件限制用户安装软件4.4.限制用户安装软件限制用户安装软件由于我们域中有些用户具有Power User权限，而拥有该权限的用户是可以安装软件了，为了防止用户未经授权自行安装软件。我们必须对用户做安装软件的限制。（1）打开“组策略编辑器”4.4.限制用户安装软件限制用户安装软件（2）选择【计算机配置】【Windows设置】【安全设置】【软件限制策略】【安全级别】，然后在右侧列表中右击“不允许的”项，选择【设置为默认】菜单，将默认的安全级别