我們企業網絡中,經常會出現有使用者使用未授權軟體的情況。比如,有些可以上網的使用者使用QQ等聊天工具;而這往往是BOSS們所不想看到的東西。是以限制使用者使用非授權軟體的重任就落到我們IT部頭上了。其實,限制使用者安裝和使用未授權軟體,對于整個公司的網絡安全也是有好處的,做了限制以後,有些病毒程式也不能運作了。下面我們就來看看怎樣通過組政策來限制使用者安裝和使用軟體:
一、限制使用者使用未授權軟體
方法一:
1. 在需要做限制的OU上右擊,點“屬性”,進入屬性設定頁面,建立一個政策,然後點編輯,如下圖:
2. 打開“組政策編輯器”,選擇“使用者配置”->“管理模闆”->“系統”,然後輕按兩下右面闆上的“不要運作指定的Windows應用程式”,如下圖:
3. 在“不要運作指定的Windows應用程式 屬性”對話框中,選擇“已啟用”,然後點選“顯示”,如下圖:
4. 在“顯示内容”對話框中,添加要限制的程式,比如,如果我們要限制QQ,那麼就添加QQ.exe,如下圖:
5. 點選确定,确定…,完成組政策的設定。然後到用戶端做測試,輕按兩下QQ.exe,如下圖所示,已經被限制了。
不過,由于這種方式是根據程式名的。如果把程式名改一下就會不起作用了,比如我們把QQ.exe改為TT.exe,再登入,如下圖,又可以了。看來我們的工作還沒有完成,還好Microsoft還給我們提供了其它的方式,接下來我們就用哈希規則來做限制。
6. 打開“組政策編輯器”,選擇“使用者配置”->“Windows設定”->“安全設定”->“軟體限制政策”,右擊“軟體限制政策”,選擇“建立軟體限制政策”,如下圖:
7. 右擊“軟體限制政策”下的“其他規則”,選擇“建立哈希規則”,如下圖:
8. 在“建立哈希規則”對話框中,點選“浏覽”,找到要限制的軟體,如下圖:
點選“确定”後,在右面闆上就可以看到我們建立的哈希規則了。
9. 關閉組政策編輯器,哈希規則限制軟體使用就已經建好了。我們到用戶端去測試打開QQ,出現如下提示。OK,現在即使改變名字也不能使用了。
不過,這種方式也不是絕對的有效,如果軟體版本更新,那麼我們就必須對新的版本做一次哈希規則,之前做的哈希規則隻能對那一個版本的軟體有效。如果這樣每次有軟體更新都做哈希規則的話,管理者的任務是很重的,是以這種方法雖然有用,不過,不能算好的方法。
方法二:
接下來,我們使用另外一種方法,就是預設禁止所有軟體運作,然後,開通公司允許使用的軟體。由于每個企業允許使用的軟體都是有限的,這樣做起來比較友善一些。具體方法如下:
1. 打開“組政策編輯器”,選擇“使用者配置”->“管理模闆”->“系統”,在右面闆上輕按兩下“隻運作許可的Windows應用程式”,如下圖:
2. 在“隻運作許可的Windows應用程式 屬性”對話框中,選擇“已啟用”,然後點選“顯示”,如下圖:
3. 在“顯示内容”對話框中,添加公司允許使用的軟體,如下圖:點選确定,确定…關閉組政策編輯器,完成組政策的設定。
4. 我們到用戶端,随便找一個非允許的軟體,輕按兩下都會出現如下所示對話框。OK,現在我們就已經做到限制軟體的使用了。這種方法比前一種方法更為實用。
二、限制使用者安裝軟體
由于我們域中有些使用者具有Power User權限,而擁有該權限的使用者是可以安裝軟體了,為了防止使用者未經授權,自行安裝軟體。我們必須對使用者做安裝軟體的限制。這個設定很簡單:
打開“組政策編輯器”,選擇“使用者配置”->“Windows設定”->“安全設定”->“軟體限制政策”->“安全級别”,然後在右面闆上将預設的安全級别改為“不允許的”。關閉組政策編輯器,設定完成。
我們到用戶端去測試一下,如下圖,我們測試安裝skype軟體,系統會提示已經受到限制。
使用組政策限制軟體的使用和安裝,到這裡就已經介紹完了。其實組政策是一個很強大的工具,用好了組政策,可以給我們的域管理工作帶來很多友善。
本文轉自Tonyguo 51CTO部落格,原文連結:http://blog.51cto.com/tonyguo/188991,如需轉載請自行聯系原作者
![Windows辦公技能——在目前檔案夾中打開指令行視窗[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)