通過設定軟體限制政策,可以限制域使用者在客戶機上自行安裝使用某些未經許可的軟體,進而提高網絡的安全性和可靠度。
下面以禁用記事本程式為例來介紹其相關操作。
打開組政策管理工具,在組政策對象中建立一個名為“Disable Notepad”的GPO,并對其進行編輯。
展開“使用者配置\政策\Windows設定\安全設定\軟體限制政策”,在其上單擊右鍵,選擇“建立軟體限制政策”。
<a href="http://blog.51cto.com/attachment/201303/185811510.jpg" target="_blank"></a>
然後在下方會多出“安全級别”和“其它規則”兩個項目,在“其它規則”上單擊右鍵,可以選擇建立4種不同的軟體限制規則,如圖所示。
<a href="http://blog.51cto.com/attachment/201303/185858691.jpg" target="_blank"></a>
這4種規則分别對應了4種不同的軟體限制方法,其優先級依次為:哈希規則、證書規則、路徑規則、網絡區域規則。4種規則中比較常用的是路徑規則和哈希規則,下面分别進行介紹。
<b>1 路徑規則</b>
路徑規則通過限制使用某個指定路徑下的軟體,以達到軟體限制的目的。在組政策編輯器中選擇“建立路徑規則”,在其中輸入要限制的記事本程式的路徑:C:\windows\system32\notepad.exe,安全級别設為“不允許”,如圖所示。
<a href="http://blog.51cto.com/attachment/201303/190222695.jpg" target="_blank"></a>
将GPO連結到人事部OU上,然後以人事部員工李四的身份在客戶機上登入進行驗證。當打開記事本時出現警告提示,記事本成功地被禁用了。如圖所示。
<a href="http://blog.51cto.com/attachment/201303/190305254.jpg" target="_blank"></a>
需要注意的是,路徑規則隻能限制在某個具體路徑下的程式,如果域使用者将記事本的程式檔案複制到别的位置(比如桌面),那麼這個限制便不起作用了。
<b>2 哈希規則</b>
哈希規則是指将所要限制的程式檔案生成一個唯一的哈希值(MD5值),這樣無論這個程式檔案被放在什麼路徑下,隻要哈希值相符,那麼它便會被禁用。但是使用這種方法需要有一個前提,即在制定限制政策時所選擇的生成哈希值的檔案與所要限制的檔案必須是一摸一樣,也就是要求這兩個程式檔案的版本要一緻。如Windows Server 2003或Windows XP系統與Win7或Windows Server 2008 R2系統裡的notepad.exe檔案版本就不一緻,是以在制定哈希規則時必須要先将所要限制的客戶機裡的程式檔案複制到DC上以生成哈希值。
繼續對“Disable Notepad”GPO進行編輯,在其中建立一個哈希規則,點選“浏覽”找到要禁用的notepad.exe檔案,系統會自動生成它的哈希值,安全級别設為“不允許”。如圖所示。
<a href="http://blog.51cto.com/attachment/201303/190441391.jpg" target="_blank"></a>
在用戶端将李四登出并重新登入之後,再次運作複制在桌面上的記事本程式檔案,發現也不能使用了,哈希規則生效
本文轉自 yttitan 51CTO部落格,原文連結:http://blog.51cto.com/yttitan/1157412
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)