Windows XP 客户端的软件限制策略一
1.在组策略对象编辑器工具栏上,单击“Windows 设置”、“安全设置”、“软件限制策略”,然后右键单击“其他规则”。
2.单击快捷菜单上的“新散列规则”。
图 6.1
“新散列规则”对话框
3.单击“浏览”选择要哈希的文件。本例中的可执行文件为 Excel.exe.新文件哈希值显示在“文件哈希:”框中。应用程序版本显示在“文件信息:”框中。
4.选择要用于此规则的安全级别默认设置。可供选择的选项包括:
不允许的
不受限的
证书规则
证书规则指定代码签名软件发布者的证书。例如,管理员可能需要所有脚本和 ActiveX 控件的签名证书。符合证书规则的允许来源包括:
商业证书颁发机构 (CA),如 VeriSign.
Windows 2000 或 Windows Server 2003公钥基础结构 (PKI)。
自签名证书。
证书规则是一种非常有效的标识软件的方法,因为它使用已签名文件的签名中包含的已签名哈希来匹配文件,而不管文件的名称或位置如何。要创建证书规则的例外,可以使用哈希规则对其进行标识。
启用证书规则
证书规则在默认情况下不启用。可以执行下列步骤来启用证书规则。
要启用证书规则,请执行下列操作:
1.在组策略对象编辑器中打开 GPO.
2.在控制台树中,单击“安全选项”。
3.在详细信息窗格中,双击“系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则”。
4.单击“启用”以启用证书规则。
大多数商业 Web 站点的软件代码都由商业 CA 进行签名。这些证书通常在一到几年内有效。使用证书规则时,应注意证书的有效期。可以与软件发布者联系,以获取有关他们所发行证书的有效期的详细信息。从商务 CA 收到证书时,可以将其导出到文件中,以创建证书规则。可以执行下列步骤来导出证书。
要导出证书,请执行下列操作:
1.选择要颁发证书的受信任发布者。本例中的证书发布者为 Microsoft MSN。
图 6.2
“安全设置警告”对话框显示了受信任的出版商
2.单击“详细信息”选项卡。
注意:将此证书复制到文件,然后使用它创建证书规则。
图 6.3
“证书”对话框的“详细信息”选项卡
3.随即将显示“证书导出向导”欢迎页面。单击“下一步”继续操作。
图 6.4
“证书导出向导”欢迎页面
4.在“导出文件格式”页面上,选择“DER 编码二进制 X.509(。CER)”,然后单击“下一步”创建扩展名为 (。cer) 的证书文件。
图 6.5“证书导出向导”的“导出文件格式”页面显示了选定的编码方法
5.在“要导出的文件”页面上,指定描述性的证书规则文件名。该证书将导出到 Windows XP 中的 Certificate Directory.
图 6.6“证书导出向导”的“要导出的文件”页面显示了文件名示例
6.随即将显示“正在完成证书导出向导”页面,其中包含一个显示证书文件的指定设置的列表。检查这些设置,然后单击“完成”以导出该文件。
图 6.7
“正在完成证书导出向导”页面显示了指定设置
现在可以使用此文件创建证书规则。
图 6.8
“新建证书”对话框显示了指定设置
路径规则
路径规则指定程序的文件夹路径或完全限定路径。当路径规则指定文件夹时,它将匹配该文件夹中包含的任何程序以及相关子文件夹中包含的任何程序。路径规则既支持本地路径也支持 UNC 路径。
管理员必须在路径规则中定义用于启动特定应用程序的所有目录。例如,如果管理员在桌面上创建了一个用于启动应用程序的快捷方式,则在路径规则中,用户必须能够同时访问可执行文件路径和快捷方式路径才能运行该应用程序。试图仅使用这两个路径之一来运行应用程序将触发“Software Restricted”警告。
最新相关文章- ·WinXP中常见网络与安全服务详解
- ·进入XP系统后假死机的解决方法
- ·相差不大XP SP3辉煌无望(下)
- ·相差不大XP SP3辉煌无望(上)
- ·进入系统却迟迟不见反应解决办法
- ·设置XP桌面文字透明方式五种方法
- ·巧改Boot.ini修复XP+Vista启动故障
- ·破解WINXP下的IP地址突变之谜
- ·精简版XP无法安装U盾的解决方法
- ·XP的898461补丁无法更新
- ·如何定制“开始”菜单中的程序数目
- ·Windows XP显示上次光盘内容
- ·Win XP显示上次光盘内容解决方法
- ·自己制作Windows XP显示桌面图标快捷方式
- ·几秒钟自由定制XP启动画面Boot.bmp
- ·微软Win XP系统还原功能使用功略
发表评论