軟件限制策略利用組策略的GPO來設(shè)置，可以在本地計(jì)算機(jī)，站點(diǎn)，域，OU等4個(gè)不同的地方來設(shè)置軟件限制策略，如果以上4級策略設(shè)置沖突，優(yōu)先級由低到高是：本地-站點(diǎn)-域-OU<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

軟件限制策略的規(guī)則

安全級別有兩種：

不受限的（系統(tǒng)默認(rèn)）：所有登錄用戶都可以運(yùn)行指定的軟件（只要有權(quán)限）

不允許的：不論用戶對軟件文件有哪種訪問權(quán)限，都不允許運(yùn)行

可以通過“哈希規(guī)則”，“證書規(guī)則”，“路徑規(guī)則”，“Internet趨于規(guī)則”4種規(guī)則來建立例外的安全級別

哈希（hash）規(guī)則：根據(jù)軟件程序的內(nèi)容計(jì)算出的一連串固定數(shù)目的數(shù)。它是根據(jù)軟件程序的內(nèi)容算出來的，因此不同的軟件有著不同的“哈希”值，所以系統(tǒng)可以用它來識(shí)別軟件。在為某個(gè)軟件建立哈希規(guī)則，限制用戶不允許運(yùn)行此軟件時(shí)，系統(tǒng)就會(huì)為該軟件建立一個(gè)哈希值。當(dāng)用戶要運(yùn)行此軟件時(shí)，用戶的計(jì)算機(jī)就會(huì)對比其自行算出來的哈希值，判斷是否與軟件限制策略中的哈希值相同，如果相同，就拒絕此軟件運(yùn)行。因此軟件的文件名被改變或者被轉(zhuǎn)移到其他位置，哈希值不會(huì)改變，仍然收到軟件限制策略的約束。?但不能用此策略來防病毒，如果可執(zhí)行文件被感染，則計(jì)算出的哈希值會(huì)改變，文件可以被運(yùn)行

證書規(guī)則：通過“簽署證書”識(shí)別軟件，也就是說通過建立“證書規(guī)則”允許或拒絕用戶運(yùn)行某軟件（只適用于MSI（Windows?Installer?Package）文件和腳本scripts，不適用于.exe或.dll的程序）

路徑規(guī)則：用軟件所在的路徑來識(shí)別軟件。如果軟件被轉(zhuǎn)移到其他目錄，則不受約束。分為文件夾路徑規(guī)則和注冊表路徑規(guī)則兩種

Internet區(qū)域規(guī)則：利用軟件所在的“Internet區(qū)域”來辨別軟件，區(qū)域包括本地計(jì)算機(jī)，本地Intranet，受信任的站點(diǎn)，受限制的站點(diǎn)與Internet，也可使用IE來設(shè)置。只適用于Windows?Installer?Package（MSI文件）

對同一個(gè)軟件設(shè)置多個(gè)軟件限制規(guī)則，這些規(guī)則的優(yōu)先級由高到低為：哈希規(guī)則-證書規(guī)則-路徑規(guī)則-Internet區(qū)域規(guī)則，

證書規(guī)則：先啟用（組策略-計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-安全選項(xiàng)-系統(tǒng)設(shè)置：為軟件限制策略對Windows可執(zhí)行文件使用證書規(guī)則）

轉(zhuǎn)載于:https://blog.51cto.com/hanbaiwangzi/190203

總結(jié)

以上是生活随笔為你收集整理的13.软件限制策略的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。