在 Windows Server 2003 中使用软件限制策略概要本文讲明如何在 Windows Server 2003 中使用软件限制策略。

使用软件限制策略能够标识并指定同意运行的软件，以便爱护您的计算机环境可不能受到不可信代码的攻击。

使用软件限制策略时，能够为组策略对象 (GPO) 定义两种默认安全级不（分不是无限制和不同意）中的一种，使得在默认情况下或者同意软件运行，或者不同意软件运行。

要创建此默认安全级不的特例，能够创建针对特定软件的规则。

能够创建以下几种规则：•哈希规则•证书规则•路径规则• Internet 区域规则一个策略由默认安全级不和所有应用于 GPO 的规则组成。

此策略能够应用于所有的计算机或者个不用户。

软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否能够运行的决定。

有了软件限制策略，用户在运行程序时必须遵守治理员设置的规则。

通过软件限制策略，能够执行以下任务：•操纵能够在计算机上运行的程序。

例如，假如担心用户通过电子邮件收到病毒，能够应用一个策略，不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。

•在多用户计算机上，仅同意用户运行特定的文件。

例如，假如您的计算机上有多个用户，您能够设置软件限制策略，使用户除了能够访问必须在工作中使用的特定文件外，不能访问其他任何软件。

•确定谁能够向计算机中添加受信任的公布服务器。

•操纵软件限制策略是阻碍计算机上的所有用户，依旧只阻碍一些用户。

•阻止任何文件在本地计算机、组织单元、站点或域中运行。

例如，假如存在已知病毒，就能够使用软件限制策略阻止计算机打开包含该病毒的文件。

重要讲明：Microsoft 建议不要用软件限制策略代替防病毒软件。

如何启动软件限制策略仅关于本地计算机1. 单击开始，指向程序，指向治理工具，然后单击本地安全策略。

2. 在操纵台树中，展开安全设置，然后展开软件限制策略。

关于成员服务器上的域、站点或组织单元或者差不多加入域的工作站1. 打开 Microsoft 治理操纵台 (MMC)。

要执行此操作，请单击开始，单击运行，键入mmc，然后单击确定。

2. 在文件菜单中，单击添加/删除治理单元，然后单击添加。

3. 单击组策略对象编辑器，然后单击添加。

4. 在选择组策略对象中，单击扫瞄。

5. 在扫瞄组策略对象中，选择相应的域、站点或组织单元中的一个组策略对象 (GPO)，然后单击完成。

或者，能够创建一个新的 GPO，然后单击完成。

6. 单击关闭，然后单击确定。

7. 在操纵台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略关于域操纵器上的组织单元或域或者差不多安装了治理工具包的工作站1. 单击开始，指向所有程序，指向治理工具，然后单击Active Directory 用户和计算机。

2. 在操纵台树中，右键单击希望为其设置组策略的域或组织单元。

3. 单击属性，然后单击组策略选项卡。

4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。

或者，能够单击新建创建一个新的 GPO，然后单击编辑。

5. 在操纵台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略关于站点和域操纵器或者差不多安装了治理工具包的工作站1. 单击开始，指向所有程序，指向治理工具，然后单击Active Directory 站点和服务。

2. 在操纵台中，右键单击希望为其设置组策略的站点：•Active Directory 站点和服务 [ Domain_Controller_Name。

Domain_Name]•站点•站点3. 单击属性，然后单击组策略选项卡。

4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。

或者，单击新建创建一个新的 GPO，然后单击编辑。

5. 在操纵台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略重要讲明：单击用户配置设置将要应用于用户的策略，与用户登录的计算机无关。

单击计算机配置设置将要应用于计算机的策略，与登录到计算机的用户无关。

还能够通过使用称为“环回”的高级组策略设置，在特定的用户登录到特定的计算机时对他们应用软件限制策略。

如何防止软件限制策略应用于本地治理员1. 单击开始，单击运行，键入 mmc，然后单击确定。

2. 打开软件限制策略。

3. 在详细信息窗格中，双击强制。

4. 在“将软件限制策略应用于下列用户”下，单击“除本地治理员以外的所有用户”。

注意：•假如您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。

•一般情况下，用户是组织内计算机上的本地治理员组的成员，因此您可能不想启用此设置。

软件限制策略可不能应用于任何属于本地治理员组的用户。

•假如您正在为本地计算机定义软件限制策略设置，能够使用此过程防止本地治理员将软件限制策略应用于自身。

假如您正在为网络定义软件限制策略设置，能够通过使用组策略，基于安全组的成员身份筛选用户策略设置。

如何创建证书规则1. 单击开始，单击运行，键入 mmc，然后单击确定。

2. 打开软件限制策略。

3. 在操纵台树或详细信息窗格中，右键单击其他规则，然后单击新建证书规则。

4. 单击扫瞄，然后选择证书。

5. 选择安全级不。

6. 在描述框中，键入对此规则的讲明，然后单击确定。

注意：•有关如何在 MMC 中启动软件限制策略的信息，请参见Windows Server 2003 关心文件的“相关主题”中的“启动软件限制策略”。

•假如您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。

•默认情况下不启用证书规则。

要启用证书规则：1. 单击开始，单击运行，键入 regedit，然后单击确定。

2. 找到并单击以下注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windo ws\Safer\CodeIdentifiers3. 在详细信息窗格中，双击 AuthenticodeEnabled，然后将值数据从 0 更改为 1。

•证书规则只阻碍指派的文件类型中列出的那些文件类型。

存在一个由所有规则共享的指派文件类型的列表。

•要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。

•当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何创建哈希规则1. 单击开始，单击运行，键入 mmc，然后单击确定。

2. 打开软件限制策略。

3. 在操纵台树或详细信息窗格中，右键单击其他规则，然后单击新建哈希规则。

4. 单击扫瞄找到文件，或者将预先计算好的哈希值粘贴到文件哈希框中。

5. 在安全级不框中，单击不同意或无限制。

6. 在描述框中，键入对此规则的讲明，然后单击确定。

注意：•假如您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。

•能够创建针对病毒或特洛伊木马程序的哈希规则，以防止恶意软件运行。

•假如您希望其他用户使用哈希规则防止病毒运行，能够使用软件限制策略计算病毒的哈希值，然后将此哈希值通过电子邮件发送给其他用户。

千万不要通过电子邮件发送病毒本身。

•假如差不多通过电子邮件发送了病毒，还能够创建路径规则以阻止用户运行邮件附件。

•将文件重命名或移动到另一个文件夹可不能导致哈希值改变。

•对文件进行任何更改都会导致哈希值改变。

•哈希规则只阻碍指派的文件类型中列出的那些文件类型。

存在一个由所有规则共享的指派文件类型的列表。

•要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。

•当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何创建 Internet 区域规则1. 单击开始，单击运行，键入 mmc，然后单击确定。

2. 打开软件限制策略。

3. 在操纵台树中，单击软件限制策略。

4. 在操纵台树或详细信息窗格中，右键单击其他规则，然后单击新建 Internet 区域规则。

5. 在 Internet 区域中，单击某个 Internet 区域。

6. 在安全级不框中，单击不同意或无限制，然后单击确定。

注意：•假如您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。

•区域规则仅应用于 Windows Installer 软件包。

•区域规则只阻碍指派的文件类型中列出的那些文件类型。

存在一个由所有规则共享的指派文件类型的列表。

•要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。

•当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何创建路径规则1. 单击开始，单击运行，键入 mmc，然后单击确定。

2. 打开软件限制策略。

3. 在操纵台树或详细信息窗格中，右键单击其他规则，然后单击新建路径规则。

4. 在路径框中键入路径，或单击扫瞄查找文件或文件夹。

5. 在安全级不框中，单击不同意或无限制。

6. 在描述框中，键入对此规则的讲明，然后单击确定。

重要讲明：将某些文件夹（如 Windows 文件夹）的安全级不设置为不同意会对操作的操作产生负面阻碍。

请确保没有禁用操作的关键组件或其相关程序。

注意：•假如您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。

•假如为一个安全级不为不同意的程序创建了路径规则，用户将该软件复制到其他位置后仍可运行该软件。

•路径规则支持的通配符为星号 (*) 和问号 (?)。

•能够在路径规则中使用环境变量（如 %programfiles% 或 %systemroot%）。

•当您不明白软件在计算机上的存储位置，但明白其注册表项时，要为该软件创建路径规则，能够创建注册表路径规则。

•要防止用户运行电子邮件附件，可为邮件程序的附件文件夹创建一个防止用户运行电子邮件附件的路径规则。

•路径规则只阻碍指派的文件类型中列出的那些文件类型。

存在一个由所有规则共享的指派文件类型的列表。