通过设置软件限制策略,可以限制域用户在客户机上自行安装使用某些未经许可的软件,从而提高网络的安全性和可靠度。
下面以禁用记事本程序为例来介绍其相关操作。
打开组策略管理工具,在组策略对象中新建一个名为“Disable Notepad”的GPO,并对其进行编辑。
展开“用户配置\策略\Windows设置\安全设置\软件限制策略”,在其上单击右键,选择“创建软件限制策略”。
然后在下方会多出“安全级别”和“其它规则”两个项目,在“其它规则”上单击右键,可以选择创建4种不同的软件限制规则,如图所示。
这4种规则分别对应了4种不同的软件限制方法,其优先级依次为:哈希规则、证书规则、路径规则、网络区域规则。4种规则中比较常用的是路径规则和哈希规则,下面分别进行介绍。
1 路径规则
路径规则通过限制使用某个指定路径下的软件,以达到软件限制的目的。在组策略编辑器中选择“新建路径规则”,在其中输入要限制的记事本程序的路径:C:\windows\system32\notepad.exe,安全级别设为“不允许”,如图所示。
将GPO链接到人事部OU上,然后以人事部员工李四的身份在客户机上登录进行验证。当打开记事本时出现警告提示,记事本成功地被禁用了。如图所示。
需要注意的是,路径规则只能限制在某个具体路径下的程序,如果域用户将记事本的程序文件复制到别的位置(比如桌面),那么这个限制便不起作用了。
2 哈希规则
哈希规则是指将所要限制的程序文件生成一个唯一的哈希值(MD5值),这样无论这个程序文件被放在什么路径下,只要哈希值相符,那么它便会被禁用。但是使用这种方法需要有一个前提,即在制定限制策略时所选择的生成哈希值的文件与所要限制的文件必须是一摸一样,也就是要求这两个程序文件的版本要一致。如Windows Server 2003或Windows XP系统与Win7或Windows Server 2008 R2系统里的notepad.exe文件版本就不一致,所以在制定哈希规则时必须要先将所要限制的客户机里的程序文件复制到DC上以生成哈希值。
继续对“Disable Notepad”GPO进行编辑,在其中新建一个哈希规则,点击“浏览”找到要禁用的notepad.exe文件,系统会自动生成它的哈希值,安全级别设为“不允许”。如图所示。
在客户端将李四注销并重新登录之后,再次运行复制在桌面上的记事本程序文件,发现也不能使用了,哈希规则生效
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1157412