域软件限制策略—哈希应用详细指南.docxVIP

软件限制策略—哈希应用详细指南 软件限制策略的对象可以是计算机、也可以是用户。接下来要讲的是针对用户做软件限制策略。我们要的目的是限制用户只能运行授权运行的软件，其他的软件一律不给予运行的权限。 把需要做软件限制策略的用户集合到一个OU中，然后在这个OU中新建一条策略，接下来的步骤是：点击编辑这条新建的策略—用户配置—Windows设置—安全设置—软件限制策略—右键单击创建软件限制策略. 把安全级别设为不允许的： 在其他规则里可以看到已经存在4条路径规则，这是创建规则的时候默认创建的，强烈建议别去做任何更改，否则会导致系统的运行不正常。点击右边的空白处，新建哈希规则。 新建一个允许QQ2011bt3版 可以运行的哈希规则，点击浏览选择QQ2011bt3的执行文件进行哈希。也就是安装好后的QQ.EXE。 对已经哈希了的QQ2011bt3版执行文件做个描述，以后方便管理。安全级别设置为不受限的。也就是说可以例外运行的程序。 现在可以看到已经建立好了一条针对QQ20011bt3版本的不受限的哈希策略。 也就是说个时候如果客户端安装了QQ20011bt3版本的QQ就可以不受限制的运行了。接下来去客户端计算机测试下。 登陆客户机计算机后，运行QQ却显示还是被禁止运行，连系统默认可以运行的IE浏览器也不例外。 我们来看看事件查看器，事件查看器—应用程序—在右边可以看到关于应程序的日志。从下面两张图中我们看到扩展名为lnk的QQ跟IE浏览器的快捷方式都被软件策略阻止运行了。 既然是阻止快捷方式，我们试试去运行下程序本身能正常运行吗？结果看下图是可以运行的。因为这个问题也折腾了我差不多两天，问了很多人，也百度了N次，最终还是自己解决了。 10、后来我到客户机的本地策略—计算机配置—Windows设置—安全设置—软件限制策略—右键单击创建软件限制策略.在新建好的策略右边—指派的文件类型中删除了lnk这个类型。再重启客户端计算机，登陆域后快捷方式启动QQ也能运行了。但是如果每台客户机都要去登陆本地做同样的操作是不是太麻烦了？回答是的。 还有一点就是在用户所在的这条策略中删除lnk这个类型没用的。 接下来我想到了可以把需要设置软件限制策略的计算机移动到一个OU中，在这个OU中新建一条策略来覆盖客户机本地的策略（域策略优先级高于本地策略的原理），操作步骤如下：计算机配置—Windows设置—安全设置—软件限制策略—右键单击创建软件限制策略.在新建好的策略右边—指派的文件类型中删除了lnk这个类型。把安全级别设置为不受限的。刷新组策略，再重启客户端计算机。 刷新组策略后，重启所有客户端计算机，这个时候所有客户端运行的程序的快捷方式不会被阻止了。 11、虽然设置软件限制策略，但是用户可以把软件复制到C:\Program Files C:\WINDOWS C:\WINDOWS\system32 这些目录中一样可以运行，为什么可以运行呢，这是因为这是创建软件限制策略的时候系统默认创建的4条路径规则 ，这4条规则也涵盖了上面这些路径。所以用户就可以趁虚而入了。 解决办法，禁用用户访问系统盘。步骤：策略编辑器—用户配置—管理模版—Windows组件—Windows资源管理器—右边—防止从“我的电脑”访问驱动器 把系统盘设为禁止访问， 这样就可以完美弥补软件限制策略的缺陷了。 12、计算机做软件策略跟对用户做软件策略步骤是一样的。虽然对计算机做软件策略限制没对用户做软件限制策略来的麻烦。我喜欢对用户做策略的原因是客户机不用重新启动，只要注销再登陆就能生效的原因，不用等那么长的时候。 顺便说下哈希过的执行文件改变文件名和改变路径，哈希值都不会改变。 好了软件限制策略就介绍完了。这是本人的一点心得。