怎样限制软件使用.docVIP

　关于软件限制策略　　家庭环境：禁止特定程序运行 　　家长需要使用Windows Live Messenger联系朋友，但不希望孩子用这个软件在网上和陌生人聊天，这时候可以考虑使用软件限制策略。 　　要使用这个功能，家长必须使用管理员帐户，孩子则必须使用非管理员帐户。这样做主要有两个目的：首先，在单机环境下，软件限制策略只能对所有本地帐户生效，只有一个例外，就是管理员帐户，我们可以通过组策略决定软件限制策略是否对管理员帐户生效。另外，不让孩子使用管理员帐户，可以防止孩子私自修改相关策略，取消限制。 　　完整的操作过程是这样的： 　　1. 运行secpol.msc打开“本地安全策略”控制台，从窗口左侧的控制台树中依次进入“安全设置”　“软件限制策略”，用鼠标右键单击“软件限制策略”，选择“创建软件限制策略”。接着双击右侧的“强制”策略，把“将软件限制策略应用到下列用户”选项设置为“除本地管理员以外的所有用户”。 　　2. 接着创建禁止运行Windows Live Messenger的策略。在“其他规则”节点上单击鼠标右键，选择“新建路径规则”，在随后打开的对话框中单击“浏览”按钮，然后选择Windows Live Messenger的安装路径。确定路径后在“安全级别”下拉菜单中选择“不允许的”。 　　这样就设置完成了。现在请考虑，为什么在这里我们要使用路径规则，而不使用其他规则？如果使用证书规则，那么所有带有微软数字签名的软件都将无法使用，而Windows Vista中这样的软件数不胜数。如果使用哈希规则，那么一旦Windows Live Messenger升级了，哈希改变，就会导致显示失效。 　　看看会怎样吧。让孩子使用自己的帐户登录系统，运行其他软件都正常，但在尝试运行Windows Live Messenger的时候会看到如图11的错误提示信息。 　　公司环境：允许特定程序运行 　　公司里的情况就复杂多了，老板可能希望员工只使用工作上需要的程序，而禁止运行其他任何和工作无关的程序。假设老板希望在保证Windows正常运行的情况下，只允许员工运行AutoCAD，不允许使用其他任何程序，完整的操作过程是这样的： 　　1. 首先和上面的例子一样，给员工创建非管理员帐户，当然，原因也是一样的。 　　2. 接着运行secpol.msc打开“本地安全策略”控制台，创建软件限制策略，并将“强制”策略设置为“除本地管理员以外的所有用户”。 　　3. 进入到“安全级别”节点，在“不允许的”节点上单击鼠标右键，选择“设置为默认”，并在随后出现的提示对话框上单击“是”。这样才可以在禁止运行所有程序的前提下只允许指定的程序运行。 　　4. 进入到“其他规则”节点，一定要注意，由于实际情况的不同，这里可能会出现一些安全级别显示为“不受限的”的规则，不要编辑或者删除这些规则，只有存在这些规则才能保证操作系统能够正常运行。用鼠标右键单击“其他规则”节点，选择“新建哈希规则”。在随后出现的对话框中单击“浏览”按钮，选择AutoCAD软件的主文件，然后在“安全级别”下拉菜单中选择“不受限的”。 　　注意：这种方法无法限制Windows自带的程序。　　 　　软件限制策略使用建议 　　基本上，和软件限制策略有关的概念性内容就是上面这些了，很简单，但是如何利用这些概念创建出能够保证系统和信息安全的规则则需要长期的练习。同时在使用该功能的时候还有一些问题需要注意。 　　首先，如果设置的策略对所有用户，包括管理员都生效，但因为自己设置错误，导致系统无法使用，甚至本地安全策略控制台都打不开，这时候该怎么办？遇到这种情况也不用着急，只要在安全模式下使用管理员帐户登录即可，安全模式下软件限制策略不会生效，因此我们可以在安全模式下修改错误的设置。 　　另外，请密切注意你的设置在保证限制的同时，是否会影响到用户的使用。例如，如果我们需要在禁止使用其他软件的同时允许使用Windows Live Messenger和客户交流，那么是否只要对msnmsgr.exe（Windows Live Messenger的主程序）创建一条哈希规则就可以了？这样做该软件确实可以使用，但功能上会受到限制，例如语音通信或者视频通信，虽然也是在Windows Live Messenger中完成的，但实际上这些应用由专门的程序来完成。因此在创建规则的时候，一定要确保不仅可以保证必要软件的正常使用，还得保证所有需要的功能都不会受到限制。 　　最后，单纯使用软件限制策略能否完全保证实现目的？假如我们通过路径规则禁止员工使用QQ，员工将QQ的安装目录移动到其他位置，只要让路径变化了，那么这条策略就等于失效。因此在使用策略限制软件