在WindowsServer2003中使用软件限制策略.docVIP

在 Windows Server 2003 中使用软件限制策略 概要 本文说明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略可以标识并指定允许运行的软件，以便保护您的计算机环境不会受到不可信代码的攻击。使用软件限制策略时，可以为组策略对象 (GPO) 定义两种默认安全级别（分别是无限制和不允许）中的一种，使得在默认情况下或者允许软件运行，或者不允许软件运行。要创建此默认安全级别的特例，可以创建针对特定软件的规则。可以创建以下几种规则： ? 哈希规则? ? 证书规则? ? 路径规则? ? Internet 区域规则? 一个策略由默认安全级别和所有应用于 GPO 的规则组成。此策略可以应用于所有的计算机或者个别用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否可以运行的决定。有了软件限制策略，用户在运行程序时必须遵守管理员设置的规则。 通过软件限制策略，可以执行以下任务： ? 控制可以在计算机上运行的程序。例如，如果担心用户通过电子邮件收到病毒，可以应用一个策略，不允许一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。? ? 在多用户计算机上，仅允许用户运行特定的文件。例如，如果您的计算机上有多个用户，您可以设置软件限制策略，使用户除了可以访问必须在工作中使用的特定文件外，不能访问其他任何软件。? ? 确定谁可以向计算机中添加受信任的发布服务器。? ? 控制软件限制策略是影响计算机上的所有用户，还是只影响一些用户。? ? 阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，如果存在已知病毒，就可以使用软件限制策略阻止计算机打开包含该病毒的文件。重要说明：Microsoft 建议不要用软件限制策略代替防病毒软件。? ? 如何启动软件限制策略 仅对于本地计算机 1. 单击开始，指向程序，指向管理工具，然后单击本地安全策略。? 2. 在控制台树中，展开安全设置，然后展开软件限制策略。 对于成员服务器上的域、站点或组织单元或者已经加入域的工作站 1. 打开 Microsoft 管理控制台 (MMC)。要执行此操作，请单击开始，单击运行，键入mmc，然后单击确定。? 2. 在文件菜单中，单击添加/删除管理单元，然后单击添加。? 3. 单击组策略对象编辑器，然后单击添加。? 4. 在选择组策略对象中，单击浏览。? 5. 在浏览组策略对象中，选择相应的域、站点或组织单元中的一个组策略对象 (GPO)，然后单击完成。 或者，可以创建一个新的 GPO，然后单击完成。? 6. 单击关闭，然后单击确定。? 7. 在控制台树中，转到以下位置：? 组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略? 对于域控制器上的组织单元或域或者已经安装了管理工具包的工作站 1. 单击开始，指向所有程序，指向管理工具，然后单击 Active Directory 用户和计算机。? 2. 在控制台树中，右键单击希望为其设置组策略的域或组织单元。? 3. 单击属性，然后单击组策略选项卡。? 4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。 或者，可以单击新建创建一个新的 GPO，然后单击编辑。? 5. 在控制台树中，转到以下位置：? 组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略? 对于站点和域控制器或者已经安装了管理工具包的工作站 1. 单击开始，指向所有程序，指向管理工具，然后单击 Active Directory 站点和服务。? 2. 在控制台中，右键单击希望为其设置组策略的站点： ? Active Directory 站点和服务 [ Domain_Controller_Name。Domain_Name]? ? 站点? ? 站点 3. 单击属性，然后单击组策略选项卡。? 4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。 或者，单击新建创建一个新的 GPO，然后单击编辑。? 5. 在控制台树中，转到以下位置：? 组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略? 重要说明：单击用户配置设置将要应用于用户的策略，与用户登录的计算机无关。单击计算机配置设置将要应用于计算机的策略，与登录到计算机的用户无关。 还可以通过使用称为“环回”的高级组策略设置，在特定的用户登录到特定的计算机时对他们应用软件限制策略。? ? 如何防止软件限制策略应用于本地管理员 1. 单击开始，单击运行，键入 mmc，然后单击确定。? 2. 打开软件限制策略。? 3. 在