Windows XP 客户端的软件限制策略三
Microsoft 建议为软件限制策略创建一个单独的 GPO,以便在紧急情况下需要禁用该策略时,它不会影响域策略或本地策略的其余部分。
此外,如果您在 OU 的设计阶段使用软件限制策略意外地锁定了工作站,则可以在“安全模式”下重新启动计算机,并以本地管理员的身份登录,然后修改该策略。在“安全模式”下启动 Windows 时将不应用软件限制策略。在“安全模式”下启动计算机后,请运行 gpupdate.exe,然后重新启动计算机。
为了获得最大安全性,请将 ACL 与软件限制策略一同使用。用户可能会重命名或移动不允许的文件,或覆盖不受限的文件,以此来尝试跳过软件限制策略。为了防止发生这种情况,请使用 ACL 拒绝授予用户执行这些操作的权限。
登录脚本通常位于域控制器或中央服务器上的 Sysvol 下。域控制器通常可以随每次登录而更改。如果默认规则设置为“不允许的”,请确保创建用于标识登录脚本位置的规则。如果登录服务器具有相似的名称,可考虑使用通配符来定位它们,或使用具有不受限设置的登录脚本名称。
注意:在将新的软件限制策略设置应用于域之前,应在整个测试环境中对其进行测试。新策略设置的行为可能与最初的预计行为不符。通过测试可以减少在网络中部署软件限制策略设置时遇到问题的可能性。
过程演练
以下步骤将指导您完成设计软件限制策略,并将其作为 GPO 应用于环境中的便携式计算机和台式计算机的全部过程。
步骤 1:为 OU 创建 GPO
找到为环境中的台式计算机或便携式计算机创建的 OU.如果在独立客户端上工作,则设置位于本地计算机策略中。在此策略中,单击“属性”,然后新建一个 GPO.根据组织的命名约定来命名策略。注意,此策略将只用于强制实施软件限制。
步骤 2:设置软件限制策略
突出显示此 GPO,然后单击“编辑”。遍历该树,直到找到“Windows 设置”\“安全设置”\“软件限制策略”。首次编辑该策略时,您将看到下列消息:
未定义软件安全策略。
此消息警告您创建策略将定义默认值。这些默认值可能覆盖其他软件限制策略中的设置。由于尚未设置软件限制设置,因此将使用默认设置启动。右键单击“操作”菜单,然后选择“新建软件限制策略”。
步骤 3:设置路径规则
确定了工作站将拥有的应用程序和脚本后,便可以设置路径规则。某些程序将启动其他程序来执行任务。环境中的软件应用程序可能依赖于一个或多个支持程序。当前安装的软件上的清单和安装文档对于跟踪路径规则非常有用。工作站设计示例可能包括下列规则:
Applications = *\Program Files
Shared Group Applications= g:\Group Applications
Logon script = Logon.bat
Desktop Shortcuts = *.lnk
Malicious VB Script =*.vbs
步骤 4:设置策略选项
下列内容包括此设计的建议设置。这些选项将改变数字签名文件的强制行为范围或 Authenticode 信任设置。
强制 - 如果计算机是域的组成部分,则确保 Domain Admins 组自动添加到 Administrators 组。
应用于用户 - 此选项包含除本地管理员以外的所有用户。使用此设置将延迟每个应用程序的启动。为弥补此不足,此设计将策略设置为不检查 DLL.
应用于文件 - 此选项包括除库(如 DLL)以外的所有软件文件。使用此设置将延迟每个应用程序的启动。为弥补此不足,此设计将策略设置为不检查 DLL.
指派的文件类型 - 对于本指南中定义的 GPO 设计,未向该列表中添加其他文件类型。实际上,可以根据需要添加自定义应用程序文件类型扩展,以使其遵守相同的规则。
受信任的出版商 - 对于本指南中定义的 GPO 设计,启用了“管理员”组,并选中了“受信任的出版商属性: 本地计算机管理员”选项。
最新相关文章发表评论