原則與操作軟件限制原則可以幫助我們?nèi)タ毓苘浖?，提升電腦的安全性與管理性，便于限制在上班時(shí)間禁止運(yùn)行的程序，減少資源消耗。我們可以在公司中定義一個(gè)群組原則物件（Group Policy Object G

原則與操作

軟件限制原則可以幫助我們?nèi)タ毓苘浖?，提升電腦的安全性與管理性，便于限制在上班時(shí)間禁止運(yùn)行的程序，減少資源消耗。我們可以在公司中定義一個(gè)群組原則物件（Group Policy Object GPO），將這個(gè)原則連接到我們所要控管的范圍，只要是在這個(gè)范圍內(nèi)的主機(jī)就會(huì)全部受到這個(gè)原則的控管，所以，就使用與部署可以說相當(dāng)方便。

軟件限制原則主要可以用來執(zhí)行下列控管操作：

1. 控制不當(dāng)應(yīng)用程序運(yùn)行，間接可以抵抗病毒；

2. 在IE中管理可以下載的ActiveX控制項(xiàng)；

3. 控管只能執(zhí)行有數(shù)字簽名的代碼；

4. 確保只有同意的軟件才能安裝在電腦系統(tǒng)上。

預(yù)設(shè)規(guī)則

軟件限制可以通過兩項(xiàng)不同的預(yù)設(shè)規(guī)則來管理：一個(gè)是寬松管理，也就是預(yù)設(shè)上不進(jìn)行任何控管，只控制指定的程序不可以運(yùn)行；一個(gè)是嚴(yán)格管理，也就是預(yù)設(shè)上不允許所有軟件運(yùn)行，只有特定的程序可以運(yùn)行。按照這套邏輯，內(nèi)建有兩個(gè)不同的規(guī)則：

1. 沒有限制：這條規(guī)則允許執(zhí)行所有軟件，除非“其他原則”中有另外定義不可以運(yùn)行的軟件。此原則可以讓用戶安裝新的軟件程序，但仍然讓系統(tǒng)管理員有能力可以鎖定需要控管的軟件，阻止該軟件在用戶的電腦上運(yùn)行。當(dāng)管理員發(fā)現(xiàn)新的病毒或其他不允許運(yùn)行的軟件插件時(shí)，系統(tǒng)管理員可以立即更新規(guī)則，將新的軟件納入其中，阻止該軟件在用戶的電腦上運(yùn)行。但是用戶必須重新開機(jī)，或是注銷之后再重新登錄，才會(huì)應(yīng)用新的軟件規(guī)則。

2. 不允許：此規(guī)則不允許任何軟件在用戶電腦上運(yùn)行，除非“其他原則”中有另外定義可以運(yùn)行的軟件。此規(guī)則只建議應(yīng)用于極高安全性或鎖定只可以運(yùn)行特定軟件的環(huán)境中。因?yàn)槊刻自试S運(yùn)行的應(yīng)用程序都必須逐一比對(duì)規(guī)則，而且每次軟件插件中應(yīng)用Service Pack時(shí)，就必須更新規(guī)則，所以管理維護(hù)上成本教高。

應(yīng)用方式

軟件限制規(guī)則在有Active Directory網(wǎng)域的環(huán)境中可以整合在群組原則中；而在獨(dú)立電腦上，也可以通過本機(jī)組策略加以設(shè)置。應(yīng)用的方式跟一般組策略中的電腦規(guī)則一樣：

1. 系統(tǒng)管理員使用組策略MMC嵌入Active Directory管理單元，為Active Directory的站點(diǎn)、網(wǎng)域或組織單位建立原則。

2. 網(wǎng)域中的電腦啟動(dòng)時(shí)，設(shè)置在群組原則中的電腦規(guī)則下載并應(yīng)用到電腦上，而用戶規(guī)則是在下一次登錄時(shí)套用。

案例分析

本文針對(duì)AD網(wǎng)域的環(huán)境下做集體部署設(shè)置，對(duì)MSN進(jìn)行控管。

1. 開啟AD管理工具，找到要應(yīng)用軟件限制的網(wǎng)域或組織單位中，編輯群組原則物件。

2. 下跳到“電腦設(shè)置”中的“Windows設(shè)置”的“安全性設(shè)置”選項(xiàng)，點(diǎn)開后就會(huì)看到軟件限制策略，預(yù)設(shè)的規(guī)則中沒有定義任何的軟件限制規(guī)則。

3. 用鼠標(biāo)右鍵一下“軟件限制策略”，然后按一下“新增軟件限制策略”。

4. 在此我們可以設(shè)置“哈?！?、“證書”、“路徑”和“網(wǎng)絡(luò)區(qū)域”規(guī)則，以符合組織的需求。本例中，選擇“新增哈希規(guī)則”。

5. 指定將要限制的軟件MSN程序，此時(shí)限制規(guī)則系統(tǒng)會(huì)為該軟件進(jìn)行哈希運(yùn)算，以便得出將來要比對(duì)的哈希值。

6. 按下確定，關(guān)閉AD管理工具畫面即可。

7. 重新啟動(dòng)用戶主機(jī)，啟動(dòng)時(shí)用戶電腦自動(dòng)應(yīng)用所設(shè)置的規(guī)則。

測(cè)試結(jié)果