多用户环境下活用软件限制策略
新客网 XKER.COM 2007-11-14 来源: 收藏本文
在多人共用一台计算机的环境下,我们可能需要对每个人可以使用的软件进行限制。例如,系统中安装了一个游戏,可你不打算让其他使用这台计算机的人玩这个游戏。或者公司的计算机上安装了很多软件,老板希望员工只能使用与工作相关的程序,其他非必需的程序都不准使用。
为了实现这一目标,我们可以配置Windows中的软件限制策略,Windows XP Pro、Windows Server 2003以及Windows Vista商业版、企业版和旗舰版这些带有组策略功能的操作系统都可以配置软件限制策略(Windows 2000虽然带有组策略,但没有软件限制策略功能)。
本文会介绍单机环境下软件限制策略的使用。需要注意的一点是,和其他大部分策略一样,软件限制策略在域环境下才能发挥出最大作用,例如通过不同的OU(组织单元),域管理员可以为不同部门或者不同需求的员工创建出不同的策略。在单机或工作组环境下,我们的策略只能对本地帐户生效。
软件限制策略可以让我们设置允许用户运行哪些程序,不允许运行哪些程序。同时我们可以通过不同的规则来指定允许或者禁止运行的软件。在Windows的软件限制策略中,我们可以通过下列条件来创建规则:
证书规则
通过证书规则,我们可以借助软件可执行程序自带的数字证书来创建策略。例如,我们可以通过证书规则决定,所有带有来自微软的数字证书的软件都可以运行,或者所有带有某个不被信任的开发商的数字证书的软件都禁止运行。这样每当我们试图运行一个程序的时候,系统都会查看该程序的数字签名,然后跟软件限制策略中的定义进行比较,并根据策略的设置决定是否允许运行。
哈希规则
在使用哈希规则的时候,我们可以指定一个软件的可执行文件,然后由操作系统计算该文件的哈希值,并根据计算出来的哈希值决定是否允许运行该软件。
网络区域规则
该规则主要用于使用Windows Installer技术安装的软件,因为通过该规则,我们可以对来自不同Internet区域的软件的安装程序采取不同的限制措施。
路径规则
通过该规则,我们可以利用程序的安装路径或者注册表路径来决定是否允许某个路径的程序的运行。
上述四种方式各有利弊,下面的表格列出了不同目的建议使用的规则。
不同目的采取的建议策略
目的 建议使用的规则
允许或不允许运行特定版本的程序 哈希规则
允许或不允许运行始终安装在同一位置的程序 文件路径规则
允许或不允许运行安装在计算机上任何位置的程序 注册表路径规则
允许或不允许运行保存在中央服务器上的程序或脚本 文件路径规则
允许或不允许运行保存在中央服务器上的一批程序或脚本 带有通配符的文件路径规则
允许或不允许某个特定名称的程序运行 路径规则
允许或不允许某个特定公司开发的软件 证书规则
允许或不允许从某个Internet区域站点安装软件 网络区域规则
通常来说,不同的情况需要选择不同的规则。例如,假设我们通过哈希规则允许某个软件运行,但这个软件有一天升级了,升级程序对软件的主文件进行了修补,导致文件的哈希值产生了改变(要知道,无论多大的文件,只要内容被改变了哪怕一个字节,该文件的哈希值也会发生巨大的变化),那么用户将无法再使用这个程序,除非管理员修改软件限制策略。这时候我们就可以使用证书规则来限制,毕竟无论软件怎么升级,只要开发商没有“改头换面”,那么该软件包含的数字证书就不会变化。
同时这些规则的应用还存在一个优先级问题。例如,同一个程序,如果按照证书规则来看,是允许运行的,但按照路径规则来看,是不被允许的。那么系统到底该允许还是禁止该程序运行?一般来说,上述四类规则按照优先级的高低顺序排列,依次是:哈希规则、证书规则、路径规则、网络区域规则,高优先级规则的设置会覆盖低优先级规则的设置。同时,对于同一种规则,“禁止”要优先于“允许”,例如对某个软件,我们无意中使用某种规则(例如哈希规则)同时创建了禁止运行和允许运行这两条规则,那么最终的结果是系统禁止该程序运行。
为了实现这一目标,我们可以配置Windows中的软件限制策略,Windows XP Pro、Windows Server 2003以及Windows Vista商业版、企业版和旗舰版这些带有组策略功能的操作系统都可以配置软件限制策略(Windows 2000虽然带有组策略,但没有软件限制策略功能)。
本文会介绍单机环境下软件限制策略的使用。需要注意的一点是,和其他大部分策略一样,软件限制策略在域环境下才能发挥出最大作用,例如通过不同的OU(组织单元),域管理员可以为不同部门或者不同需求的员工创建出不同的策略。在单机或工作组环境下,我们的策略只能对本地帐户生效。
软件限制策略可以让我们设置允许用户运行哪些程序,不允许运行哪些程序。同时我们可以通过不同的规则来指定允许或者禁止运行的软件。在Windows的软件限制策略中,我们可以通过下列条件来创建规则:
证书规则
通过证书规则,我们可以借助软件可执行程序自带的数字证书来创建策略。例如,我们可以通过证书规则决定,所有带有来自微软的数字证书的软件都可以运行,或者所有带有某个不被信任的开发商的数字证书的软件都禁止运行。这样每当我们试图运行一个程序的时候,系统都会查看该程序的数字签名,然后跟软件限制策略中的定义进行比较,并根据策略的设置决定是否允许运行。
哈希规则
在使用哈希规则的时候,我们可以指定一个软件的可执行文件,然后由操作系统计算该文件的哈希值,并根据计算出来的哈希值决定是否允许运行该软件。
网络区域规则
该规则主要用于使用Windows Installer技术安装的软件,因为通过该规则,我们可以对来自不同Internet区域的软件的安装程序采取不同的限制措施。
路径规则
通过该规则,我们可以利用程序的安装路径或者注册表路径来决定是否允许某个路径的程序的运行。
上述四种方式各有利弊,下面的表格列出了不同目的建议使用的规则。
不同目的采取的建议策略
目的 建议使用的规则
允许或不允许运行特定版本的程序 哈希规则
允许或不允许运行始终安装在同一位置的程序 文件路径规则
允许或不允许运行安装在计算机上任何位置的程序 注册表路径规则
允许或不允许运行保存在中央服务器上的程序或脚本 文件路径规则
允许或不允许运行保存在中央服务器上的一批程序或脚本 带有通配符的文件路径规则
允许或不允许某个特定名称的程序运行 路径规则
允许或不允许某个特定公司开发的软件 证书规则
允许或不允许从某个Internet区域站点安装软件 网络区域规则
通常来说,不同的情况需要选择不同的规则。例如,假设我们通过哈希规则允许某个软件运行,但这个软件有一天升级了,升级程序对软件的主文件进行了修补,导致文件的哈希值产生了改变(要知道,无论多大的文件,只要内容被改变了哪怕一个字节,该文件的哈希值也会发生巨大的变化),那么用户将无法再使用这个程序,除非管理员修改软件限制策略。这时候我们就可以使用证书规则来限制,毕竟无论软件怎么升级,只要开发商没有“改头换面”,那么该软件包含的数字证书就不会变化。
同时这些规则的应用还存在一个优先级问题。例如,同一个程序,如果按照证书规则来看,是允许运行的,但按照路径规则来看,是不被允许的。那么系统到底该允许还是禁止该程序运行?一般来说,上述四类规则按照优先级的高低顺序排列,依次是:哈希规则、证书规则、路径规则、网络区域规则,高优先级规则的设置会覆盖低优先级规则的设置。同时,对于同一种规则,“禁止”要优先于“允许”,例如对某个软件,我们无意中使用某种规则(例如哈希规则)同时创建了禁止运行和允许运行这两条规则,那么最终的结果是系统禁止该程序运行。
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐