多用户环境下活用软件限制策略
- 来源:《个人电脑》 作者:刘晖
- 发布日期:2007-11-01
关键词:Server 2003 Vista Windows 软件限制 多用户
运行secpol.msc,打开“本地安全策略”控制台,在控制台窗口左侧的树形图中依次进入到“安全设置”|“软件限制策略”,然后在软件限制策略节点上单击鼠标右键,选择“创建软件限制策略”,这样我们就可以创建一个默认的软件限制策略,同时该节点下将出现名为“安全级别”和“其他规则”的两个节点(如图1)。下面我们分别介绍出现的每个策略。
新建了软件限制策略后,在“软件限制策略”节点下有三条策略,其作用分别如下:
强制
该策略决定了软件限制策略的适用范围。单击该策略后可以看到如图2的对话框。
应用软件限制策略到下列文件
该选项决定了软件限制策略是否应用到库文件。简单来说,库文件为软件的运行提供支持,有时候是运行某些软件时必不可少的组件。但有时候可能有这样的情况:假设我们通过证书规则决定只运行某个厂商开发的软件,但运行该软件需要的某个.dll文件的数字签名来自另外一个厂商,这种情况下,为了让该软件可以正常运行,我们就需要选择“除去库文件之外的所有软件文件”选项,同时一般情况下也建议选择该选项。毕竟大部分软件的运行都是通过一些可执行文件(例如.exe文件)实现的,只要对可执行文件设置好限制,库文件的限制已经不再那么重要了。
将软件限制策略应用到下列用户
该选项决定了是否将软件限制策略应用于管理员用户,默认情况下将会被应用于所有用户。这是一种安全措施,可以让管理员也被自己创建的策略所限制。在默认的设置下,如果不小心设置了错误的策略,并且可能连管理员也被禁止运行策略编辑器,或者根本无法登录,这时候可以使用管理员帐户登录到安全模式下修改策略。不过一般情况下,如果不是很必要,建议软件限制策略只对非管理员用户生效,也就是选中“除本地管理员以外的所有用户”选项。
在应用软件限制策略时
该选项决定了是否在应用软件限制策略时执行证书规则。如果希望使用证书规则,请选择“执行证书规则”,如果希望禁用,请选择“忽略证书规则”。
指派的文件类型
该策略决定了具有什么扩展名的文件可以被视为可执行文件(如图3)。
所有由该策略指定的文件都会被系统当作是可执行文件,而执行这些文件都需要经过软件限制策略的许可。如果希望添加新的文件类型为可执行文件,可以在“文件扩展名”文本框中输入目标文件类型的扩展名,然后单击“添加”按钮;如果不再希望系统将某种类型的文件当作可执行文件,可以从列表中选中目标文件类型,然后单击“删除”按钮。
受信任的发布者
该策略的属性对话框如图4。默认情况下,Windows Vista并不允许我们修改这些设置,因此首先需要选中“定义这些策略设置”选项,接下来所有选项都将可修改了。在这个对话框上,“受信任的发布者管理”选项可以让我们决定谁可以选择受信任的发布者(受信任的发布者发布的程序将允许运行),例如我们可以选择“所有管理员和用户”,这样用户就可以决定;或者我们可以选择“所有管理员”(单机或工作组环境下)或“企业管理员”(域环境中),这样就只能由管理员选择受信任的发布者。接下来的证书验证选项可以用来决定Windows通过检查哪些项目决定证书是否被吊销。通常吊销的证书都是无效的,因此应该及时检查证书吊销情况,以免以前创建的证书规则在证书被吊销后依然生效,让用户运行了已经不再允许运行的程序。如果希望Windows检查证书的发行者是否依然有效,可以选中“是否未被吊销”选项;如果希望让Windows检查证书的有效时间有没有到期,可以选择“是否具有有效的时间戳”选项。
接下来进入到“安全级别”节点,在Windows Vista下,该节点有三条策略,这些策略都是互斥的,因此同一时间里,只有一条策略是生效的默认策略。默认策略的显示和非默认策略有所不同,默认策略的图标上会有一个对钩的图案。如果希望更改默认策略,只需要在目标策略上单击鼠标右键,然后选择“设置为默认”即可,这样原先的默认策略会被取消,系统会自动将我们新选择的策略设置为默认。
不允许的
这条策略的含义是,除了通过其他规则明确允许的软件外,其他软件都禁止运行。
不受限的
这条策略的含义是,除了通过其他策略明确禁止的软件外,其他软件都允许运行。
因此我们可以根据这两条策略的相应作用并结合自己的需要进行配置。例如,如果希望公司员工只使用特定的几个工作需要的程序,而禁止使用本机安装的其他程序,就可以将“不允许的”设为默认值;如果希望用户可以使用绝大多数软件,只禁止运行特定的几个软件,可以将“不受限的”设置为默认值。
除此之外,还有一个名为“基本用户”的策略,“基本用户”这条策略的含义是,除了通过其他规则明确指定的软件外,其他所有软件都只能以一般用户的身份运行(也就是说不能以管理员的身份运行)。
在“其他规则”节点下,可以看到一些系统预设的规则。由于系统的不同以及其他策略的设置,这里可能会出现不同数量的默认规则。通常情况下,这些规则都是为了保证操作系统可以正常使用而准备的,因此如果不是特别必要,最好不要删除或者修改这些系统自建的规则,我们可以按照需要创建自定义的规则。
在“其他规则”节点上单击鼠标右键,从随后出现的右键菜单中,选择“新建证书规则”、“新建哈希规则”、“新建网络区域规则”或者“新建路径规则”,就可以建立对应的规则。我们一起来看看这些规则都是如何创建的。
[an error occurred while processing this directive]
|
|
|
图1:Windows Vista中可用的软件限制策略 |
新建了软件限制策略后,在“软件限制策略”节点下有三条策略,其作用分别如下:
强制
该策略决定了软件限制策略的适用范围。单击该策略后可以看到如图2的对话框。
|
|
|
图2:“强制”策略的设置内容 |
应用软件限制策略到下列文件
该选项决定了软件限制策略是否应用到库文件。简单来说,库文件为软件的运行提供支持,有时候是运行某些软件时必不可少的组件。但有时候可能有这样的情况:假设我们通过证书规则决定只运行某个厂商开发的软件,但运行该软件需要的某个.dll文件的数字签名来自另外一个厂商,这种情况下,为了让该软件可以正常运行,我们就需要选择“除去库文件之外的所有软件文件”选项,同时一般情况下也建议选择该选项。毕竟大部分软件的运行都是通过一些可执行文件(例如.exe文件)实现的,只要对可执行文件设置好限制,库文件的限制已经不再那么重要了。
将软件限制策略应用到下列用户
该选项决定了是否将软件限制策略应用于管理员用户,默认情况下将会被应用于所有用户。这是一种安全措施,可以让管理员也被自己创建的策略所限制。在默认的设置下,如果不小心设置了错误的策略,并且可能连管理员也被禁止运行策略编辑器,或者根本无法登录,这时候可以使用管理员帐户登录到安全模式下修改策略。不过一般情况下,如果不是很必要,建议软件限制策略只对非管理员用户生效,也就是选中“除本地管理员以外的所有用户”选项。
在应用软件限制策略时
该选项决定了是否在应用软件限制策略时执行证书规则。如果希望使用证书规则,请选择“执行证书规则”,如果希望禁用,请选择“忽略证书规则”。
指派的文件类型
该策略决定了具有什么扩展名的文件可以被视为可执行文件(如图3)。
|
|
|
图3:通过策略决定哪些类型的文件属于可执行文件 |
所有由该策略指定的文件都会被系统当作是可执行文件,而执行这些文件都需要经过软件限制策略的许可。如果希望添加新的文件类型为可执行文件,可以在“文件扩展名”文本框中输入目标文件类型的扩展名,然后单击“添加”按钮;如果不再希望系统将某种类型的文件当作可执行文件,可以从列表中选中目标文件类型,然后单击“删除”按钮。
受信任的发布者
该策略的属性对话框如图4。默认情况下,Windows Vista并不允许我们修改这些设置,因此首先需要选中“定义这些策略设置”选项,接下来所有选项都将可修改了。在这个对话框上,“受信任的发布者管理”选项可以让我们决定谁可以选择受信任的发布者(受信任的发布者发布的程序将允许运行),例如我们可以选择“所有管理员和用户”,这样用户就可以决定;或者我们可以选择“所有管理员”(单机或工作组环境下)或“企业管理员”(域环境中),这样就只能由管理员选择受信任的发布者。接下来的证书验证选项可以用来决定Windows通过检查哪些项目决定证书是否被吊销。通常吊销的证书都是无效的,因此应该及时检查证书吊销情况,以免以前创建的证书规则在证书被吊销后依然生效,让用户运行了已经不再允许运行的程序。如果希望Windows检查证书的发行者是否依然有效,可以选中“是否未被吊销”选项;如果希望让Windows检查证书的有效时间有没有到期,可以选择“是否具有有效的时间戳”选项。
|
|
|
图4:受信任的发布者策略属性 |
接下来进入到“安全级别”节点,在Windows Vista下,该节点有三条策略,这些策略都是互斥的,因此同一时间里,只有一条策略是生效的默认策略。默认策略的显示和非默认策略有所不同,默认策略的图标上会有一个对钩的图案。如果希望更改默认策略,只需要在目标策略上单击鼠标右键,然后选择“设置为默认”即可,这样原先的默认策略会被取消,系统会自动将我们新选择的策略设置为默认。
不允许的
这条策略的含义是,除了通过其他规则明确允许的软件外,其他软件都禁止运行。
不受限的
这条策略的含义是,除了通过其他策略明确禁止的软件外,其他软件都允许运行。
因此我们可以根据这两条策略的相应作用并结合自己的需要进行配置。例如,如果希望公司员工只使用特定的几个工作需要的程序,而禁止使用本机安装的其他程序,就可以将“不允许的”设为默认值;如果希望用户可以使用绝大多数软件,只禁止运行特定的几个软件,可以将“不受限的”设置为默认值。
除此之外,还有一个名为“基本用户”的策略,“基本用户”这条策略的含义是,除了通过其他规则明确指定的软件外,其他所有软件都只能以一般用户的身份运行(也就是说不能以管理员的身份运行)。
在“其他规则”节点下,可以看到一些系统预设的规则。由于系统的不同以及其他策略的设置,这里可能会出现不同数量的默认规则。通常情况下,这些规则都是为了保证操作系统可以正常使用而准备的,因此如果不是特别必要,最好不要删除或者修改这些系统自建的规则,我们可以按照需要创建自定义的规则。
在“其他规则”节点上单击鼠标右键,从随后出现的右键菜单中,选择“新建证书规则”、“新建哈希规则”、“新建网络区域规则”或者“新建路径规则”,就可以建立对应的规则。我们一起来看看这些规则都是如何创建的。
相关文章
- 更新时间:11/09/2007突飞猛进的Windows系统安装模式
新品欣赏
