在 Windows Server 2003 中使用软件限制策略
概要
本文说明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略
可以标识并指定允许运行的软件,以便保护您的计算机环境不会受到不可信代码的攻击。
使用软件限制策略时,可以为组策略对象 (GPO) 定义两种默认安全级别(分别是无限制
和不允许)中的一种,使得在默认情况下或者允许软件运行,或者不允许软件运行。要创
建此默认安全级别的特例,可以创建针对特定软件的规则。可以创建以下几种规则:
• 哈希规则
• 证书规则
• 路径规则
• Internet 区域规则
一个策略由默认安全级别和所有应用于 GPO 的规则组成。此策略可以应用于所有的
计算机或者个别用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略
的基础结构,以便强制执行关于软件是否可以运行的决定。有了软件限制策略,用户在运
行程序时必须遵守管理员设置的规则。
通过软件限制策略,可以执行以下任务:
• 控制可以在计算机上运行的程序。例如,如果担心用户通过电子邮件收到病毒,可
以应用一个策略,不允许一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。
• 在多用户计算机上,仅允许用户运行特定的文件。例如,如果您的计算机上有多个
用户,您可以设置软件限制策略,使用户除了可以访问必须在工作中使用的特定文件外,
不能访问其他任何软件。
• 确定谁可以向计算机中添加受信任的发布服务器。
• 控制软件限制策略是影响计算机上的所有用户,还是只影响一些用户。
• 阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,如果存在已知病
毒,就可以使用软件限制策略阻止计算机打开包含该病毒的文件。
重要说明:Microsoft 建议不要用软件限制策略代替防病毒软件。
如何启动软件限制策略
仅对于本地计算机
1. 单击开始,指向程序,指向管理工具,然后单击本地安全策略。
2. 在控制台树中,展开安全设置,然后展开软件限制策略。
对于成员服务器上的域、站点或组织单元或者已经加入域的工作站
1. 打开 Microsoft 管理控制台 (MMC)。要执行此操作,请单击开始,单击运行,键
入 mmc,然后单击确定。
2. 在文件菜单中,单击添加/删除管理单元,然后单击添加。
3. 单击组策略对象编辑器,然后单击添加。
4. 在选择组策略对象中,单击浏览。
5. 在浏览组策略对象中,选择相应的域、站点或组织单元中的一个组策略对象
(GPO),然后单击完成。
或者,可以创建一个新的 GPO,然后单击完成。
第 1 页 共 7 页
评论0