谈在WindowsServer2003中使用软件限制策略

1、在 Wiindoows Serrverr 20003 中使用用软件限限制策略略概要本文说明明如何在在 Wiindoows Serrverr 20003 中使用用软件限限制策略略。使用用软件限限制策略略可以标标识并指指定允许许运行的的软件，以便保保护您的的计算机机环境不不会受到到不可信信代码的的攻击。使用软软件限制制策略时时，可以以为组策策略对象象 (GGPO) 定义义两种默默认安全全级别（分别是是无限制制和不允允许）中中的一种种，使得得在默认认情况下下或者允允许软件件运行，或者不不允许软软件运行行。要创创建此默默认安全全级别的的特例，可以创创建针对对特定软软件的规规则。可可以创建建以下几几种规

2、则则： 哈希希规则 证书书规则 路径径规则 Innterrnett 区域域规则一个策略略由默认认安全级级别和所所有应用用于 GGPO 的规则则组成。此策略略可以应应用于所所有的计计算机或或者个别别用户。软件限限制策略略提供了了许多标标识软件件的方法法，它们们还提供供了基于于策略的的基础结结构，以以便强制制执行关关于软件件是否可可以运行行的决定定。有了了软件限限制策略略，用户户在运行行程序时时必须遵遵守管理理员设置置的规则则。通过软件件限制策策略，可可以执行行以下任任务： 控制制可以在在计算机机上运行行的程序序。例如如，如果果担心用用户通过过电子邮邮件收到到病毒，可以应应用一个个策略，不不允许一

3、一些文件件类型在在电子邮邮件程序序的电子子邮件附附件文件件夹中运运行。 在多多用户计计算机上上，仅允允许用户户运行特特定的文文件。例例如，如如果您的的计算机机上有多多个用户户，您可可以设置置软件限限制策略略，使用用户除了了可以访访问必须须在工作作中使用用的特定定文件外外，不能能访问其其他任何何软件。 确定定谁可以以向计算算机中添添加受信信任的发发布服务务器。 控制制软件限限制策略略是影响响计算机机上的所所有用户户，还是是只影响响一些用用户。 阻止止任何文文件在本本地计算算机、组组织单元元、站点点或域中中运行。例如，如果存存在已知知病毒，就可以以使用软软件限制制策略阻阻止计算算机打开开包含该该病

4、毒的的文件。重要说明明：Miicroosofft 建建议不要要用软件件限制策策略代替替防病毒毒软件。如何启动动软件限限制策略略仅对于本本地计算算机1. 单单击开始始，指向向程序，指向管管理工具具，然后后单击本本地安全全策略。2. 在在控制台台树中，展开安安全设置置，然后后展开软软件限制制策略。对于成员员服务器器上的域域、站点点或组织织单元或或者已经经加入域域的工作作站1. 打打开 MMicrrosooft 管理控控制台 (MMMC)。要执行行此操作作，请单单击开始始，单击击运行，键入mmmc，然后单单击确定定。2. 在在文件菜菜单中，单击添添加/删删除管理理单元，然后单单击添加加。3. 单单击

5、组策策略对象象编辑器器，然后后单击添加加。4. 在在选择组组策略对对象中，单击浏浏览。5. 在在浏览组组策略对对象中，选择相相应的域域、站点点或组织织单元中中的一个个组策略略对象 (GPPO)，然后单单击完成成。或者，可可以创建建一个新新的 GGPO，然后单单击完成成。6. 单单击关闭闭，然后后单击确确定。7. 在在控制台台树中，转到以以下位置置：组策略对对象 CCompputeer_nnamee 策略略/计算算机配置置或用户户/配置置/Wiindoows 设置/安全设设置/软软件限制制策略对于域控控制器上上的组织织单元或或域或者者已经安安装了管管理工具具包的工工作站1. 单单击开始始，指向向

6、所有程程序，指指向管理理工具，然后单单击 AActiive Dirrecttoryy 用户户和计算算机。2. 在在控制台台树中，右键单单击希望望为其设设置组策策略的域域或组织织单元。3. 单单击属性性，然后后单击组组策略选选项卡。4. 单单击组策策略对象象链接中中的一项项，选择择一个现现有的 GPOO，然后后单击编编辑。或者，可可以单击击新建创创建一个个新的 GPOO，然后后单击编编辑。5. 在在控制台台树中，转到以以下位置置：组策略对对象 CCompputeer_nnamee 策略略/计算算机配置置或用户户配置/Winndowws 设设置/安安全设置置/软件件限制策策略对于站点点和域控控制器

7、或或者已经经安装了了管理工工具包的的工作站站1. 单单击开始始，指向所所有程序序，指向向管理工工具，然然后单击击 Acctivve DDireectoory 站点和和服务。2. 在在控制台台中，右右键单击击希望为为其设置置组策略略的站点点： Acctivve DDireectoory 站点和和服务 DDomaain_Conntroolleer_NNamee。Doomaiin_NNamee 站点点 站点点3. 单单击属性性，然后后单击组组策略选选项卡。4. 单单击组策策略对象象链接中中的一项项，选择择一个现现有的 GPOO，然后后单击编编辑。或者，单单击新建建创建一一个新的的 GPPO，然然后单

8、击击编辑。5. 在在控制台台树中，转到以以下位置置：组策略对对象 CCompputeer_nnamee 策略略/计算算机配置置或用户户配置/Winndowws 设设置/安安全设置置/软件件限制策策略重要说明明：单击击用户配配置设置置将要应应用于用用户的策策略，与与用户登登录的计计算机无无关。单单击计算算机配置置设置将将要应用用于计算算机的策策略，与与登录到到计算机机的用户户无关。还可以通通过使用用称为“环回”的高级级组策略略设置，在特定定的用户户登录到到特定的的计算机机时对他他们应用用软件限限制策略略。如何防止止软件限限制策略略应用于于本地管管理员1. 单单击开始始，单击击运行，键入 mmcc

9、，然后后单击确确定。2. 打打开软件件限制策策略。3. 在在详细信信息窗格格中，双双击强制制。4. 在在“将软软件限制制策略应应用于下下列用户户”下，单击“除本地地管理员员以外的的所有用用户”。注意： 如果果您还没没有为此此 GPPO 创创建新的的软件限限制策略略设置，可能必必须创建建一个。 一般般情况下下，用户户是组织织内计算算机上的的本地管管理员组组的成员员，因此此您可能能不想启启用此设设置。软软件限制制策略不不会应用用于任何何属于本本地管理理员组的的用户。 如果果您正在在为本地地计算机机定义软软件限制制策略设设置，可可以使用用此过程程防止本本地管理理员将软软件限制制策略应应用于自自身。如

10、如果您正正在为网网络定义义软件限限制策略略设置，可以通通过使用用组策略略，基于于安全组组的成员员身份筛筛选用户户策略设设置。如何创建建证书规规则1. 单单击开始始，单击击运行，键入 mmcc，然后后单击确确定。2. 打打开软件件限制策策略。3. 在在控制台台树或详详细信息息窗格中中，右键键单击其其他规则则，然后后单击新新建证书书规则。4. 单单击浏览览，然后后选择证证书。5. 选选择安全全级别。6. 在在描述框框中，键键入对此此规则的的说明，然后单单击确定定。注意： 有关关如何在在 MMMC 中中启动软软件限制制策略的的信息，请参见见 Wiindoows Serrverr 20003 帮助文文

11、件的“相关主主题”中中的“启启动软件件限制策策略”。 如果果您还没没有为此此 GPPO 创创建新的的软件限限制策略略设置，可能必必须创建建一个。 默认认情况下下不启用用证书规规则。要要启用证证书规则则： 1. 单单击开始始，单击击运行，键入 reggediit，然然后单击击确定。2. 找找到并单单击以下下注册表表项：HKEYY_LOOCALL_MAACHIINESOFFTWAAREPolliciiesMiccrossofttWiindoowsSafferCoddeIddenttifiierss3. 在在详细信信息窗格格中，双双击 AAuthhentticoodeEEnabbledd，然后后将值

12、数数据从 0 更更改为 1。 证书书规则只只影响指指派的文文件类型型中列出出的那些些文件类类型。存存在一个个由所有有规则共共享的指指派文件件类型的的列表。 要使使软件限限制策略略生效，用户必必须从他他们的计计算机上上注销然然后再次次登录以以更新策策略设置置。 当应应用于策策略设置置的规则则不止一一个时，存在处处理冲突突的规则则优先权权。如何创建建哈希规规则1. 单单击开始始，单击击运行，键入 mmcc，然后后单击确确定。2. 打打开软件件限制策策略。3. 在在控制台台树或详详细信息息窗格中中，右键键单击其其他规则则，然后后单击新新建哈希希规则。4. 单单击浏览览找到文文件，或或者将预预先计算算

13、好的哈哈希值粘粘贴到文文件哈希希框中。5. 在在安全级级别框中中，单击击不允许许或无限限制。6. 在在描述框框中，键键入对此此规则的的说明，然后单单击确定定。注意： 如如果您还还没有为为此 GGPO 创建新新的软件件限制策策略设置置，可能能必须创创建一个个。 可以以创建针针对病毒毒或特洛洛伊木马马程序的的哈希规规则，以以防止恶恶意软件件运行。 如果果您希望望其他用用户使用用哈希规规则防止止病毒运运行，可可以使用用软件限限制策略略计算病病毒的哈哈希值，然后将将此哈希希值通过过电子邮邮件发送送给其他他用户。千万不不要通过过电子邮邮件发送送病毒本本身。 如果果已经通通过电子子邮件发发送了病病毒，还还

14、可以创创建路径径规则以以阻止用用户运行行邮件附附件。 将文文件重命命名或移移动到另另一个文文件夹不不会导致致哈希值值改变。 对文文件进行行任何更更改都会会导致哈哈希值改改变。 哈希希规则只只影响指指派的文文件类型型中列出出的那些些文件类类型。存存在一个个由所有有规则共共享的指指派文件件类型的的列表。 要使使软件限限制策略略生效，用户必必须从他他们的计计算机上上注销然然后再次次登录以以更新策策略设置置。 当应应用于策策略设置置的规则则不止一一个时，存在处处理冲突突的规则则优先权权。如何创建建 Innterrnett 区域域规则1. 单单击开始始，单击击运行，键入 mmcc，然后后单击确确定。2.

15、 打打开软件件限制策策略。3. 在在控制台台树中，单击软软件限制制策略。4. 在在控制台台树或详详细信息息窗格中中，右键键单击其其他规则则，然后后单击新新建 IInteerneet 区区域规则则。5. 在在 Innterrnett 区域域中，单单击某个个 Innterrnett 区域域。6. 在在安全级级别框中中，单击击不允许许或无限限制，然然后单击击确定。注意： 如果果您还没没有为此此 GPPO 创创建新的的软件限限制策略略设置，可能必必须创建建一个。 区域域规则仅仅应用于于 Wiindoows Insstalllerr 软件件包。 区域域规则只只影响指指派的文文件类型型中列出出的那些些文件

16、类类型。存存在一个个由所有有规则共共享的指指派文件件类型的的列表。 要使使软件限限制策略略生效，用户必必须从他他们的计计算机上上注销然然后再次次登录以以更新策策略设置置。 当应应用于策策略设置置的规则则不止一一个时，存在处处理冲突突的规则则优先权权。如何创建建路径规规则1. 单单击开始始，单击击运行，键入 mmcc，然后后单击确确定。2. 打打开软件件限制策策略。3. 在在控制台台树或详详细信息息窗格中中，右键键单击其其他规则则，然后后单击新新建路径径规则。4. 在在路径框框中键入入路径，或单击击浏览查查找文件件或文件件夹。5. 在在安全级级别框中中，单击击不允许许或无限限制。6. 在在描述框

17、框中，键键入对此此规则的的说明，然后单单击确定定。重要要说明：将某些些文件夹夹（如 Winndowws 文文件夹）的安全全级别设设置为不不允许会会对操作作的操作作产生负负面影响响。请确确保没有有禁用操操作的关关键组件件或其相相关程序序。注意： 如如果您还还没有为为此 GGPO 创建新新的软件件限制策策略设置置，可能能必须创创建一个个。 如果果为一个个安全级级别为不不允许的的程序创创建了路路径规则则，用户户将该软软件复制制到其他他位置后后仍可运运行该软软件。 路径径规则支支持的通通配符为为星号 (*) 和问问号 (?)。 可以以在路径径规则中中使用环环境变量量（如 %prrogrramffile

18、es% 或 %sysstemmrooot%）。 当您您不知道道软件在在计算机机上的存存储位置置，但知知道其注注册表项项时，要要为该软软件创建建路径规规则，可可以创建建注册表表路径规规则。 要防防止用户户运行电电子邮件件附件，可为邮邮件程序序的附件件文件夹夹创建一一个防止止用户运运行电子子邮件附附件的路路径规则则。 路径径规则只只影响指指派的文文件类型型中列出出的那些些文件类类型。存存在一个个由所有有规则共共享的指指派文件件类型的的列表。 要使使软件限限制策略略生效，用户必必须从他他们的计计算机上上注销然然后再次次登录以以更新策策略设置置。 当应应用于策策略设置置的规则则不止一一个时，存在处处理

19、冲突突的规则则优先权权。如何创建建注册表表路径规规则1. 单单击开始始，单击击运行，键入 reggediit，然然后单击击确定。2. 在在控制台台树中，右键单单击希望望为其创创建规则则的注册册表项，然后单单击复制制项名称称。3. 记记下详细细信息窗窗格中的的值名称称。4. 单单击开始始，单击击运行，键入 mmcc，然后后单击确确定。5. 打打开软件件限制策策略。6. 在在控制台台树或详详细信息息窗格中中，右键键单击其其他规则则，然后后单击新新建路径径规则。7. 在在路径中中粘贴注注册表项项名称和和值名称称。8. 用用百分号号 (%) 将将注册表表路径括括起来，例如：%HKEEY_LLOCAAL

20、_MMACHHINEESOOFTWWAREEMiicroosofftPPlattforrmSDDKDDireectoorieesIInsttalllDirr%9. 在在安全级级别框中中，单击击不允许许或无限限制。10. 在描述述框中，键入对对此规则则的说明明，然后后单击确确定。注意： 如如果您还还没有为为此 GGPO 创建新新的软件件限制策策略设置置，可能能必须创创建一个个。 必须须是“管管理员”组的成成员才能能执行此此步骤。 按如如下所示示修改注注册表路路径的格格式：% 注册册表配置置单元 注册册表项名名称 值名称称% 必须须写出注注册表配配置单元元的全称称，不能能使用缩缩写。例例如，不不能

21、用 HKCCU 代代替 HHKEYY_CUURREENT_USEER。 注册册表路径径规则在在未尾的的百分号号 (%) 后后面可以以加一个个后缀。不要在在后缀中中使用反反斜杠 ()。例如如，可以以使用以以下注册册表路径径规则：%HKEEY_CCURRRENTT_USSERSofftwaareMiccrossofttWiindoowsCurrrenntVeersiionExpplorrerSheell FollderrsCCachhe%OOLK* 路径径规则只只影响指指派的文文件类型型中列出出的那些些文件类类型。存存在一个个由所有有规则共共享的指指派文件件类型的的列表。 要使使软件限限制策略略生

22、效，用户必必须从他他们的计计算机上上注销然然后再次次登录以以更新策策略设置置。 当应应用于策策略设置置的规则则不止一一个时，存在处处理冲突突的规则则优先权权。如何添加加或删除除指派的的文件类类型1. 单单击开始始，单击击运行，键入 mmcc，然后后单击确确定。2. 打打开软件件限制策策略。3. 在在详细信信息窗格格中，双双击指派派的文件件类型。4. 根根据需要要执行以以下步骤骤之一： 要添加加文件类类型，在在文件扩扩展名框框中键入入文件扩扩展名，然后单单击添加加。 要删删除文件件类型，在指派派的文件件类型框框中单击击该文件件类型，然后单单击删除除。注意： 如如果您还还没有为为此 GGPO 创建

23、新新的软件件限制策策略设置置，可能能必须创创建一个个。 指派派文件类类型列表表由每个个配置的的所有规规则共享享。用于于计算机机策略设设置的指指派文件件类型列列表和用用于用户户策略设设置的指指派文件件类型列列表是不不一样的的。如何更改改软件限限制策略略的默认认安全级级别1. 单单击开始始，单击击运行，键入 mmcc，然后后单击确确定。2. 打打开软件件限制策策略。3. 在在详细信信息窗格格中，双双击安全全级别。4. 右右键单击击希望设设为默认认值的安安全级别别，然后后单击设设为默认认值。小心：如如果将某某些文件件夹的安安全级别别设置为为不允许许，会对对操作产产生负面面影响。注意： 如如果您还还没有为为此 GGPO 创建新新的软件件限制策策略