多用户环境下活用软件限制策略
新客网 XKER.COM 2007-11-14 来源: 收藏本文
运行secpol.msc,打开“本地安全策略”控制台,在控制台窗口左侧的树形图中依次进入到“安全设置” “软件限制策略”,然后在软件限制策略节点上单击鼠标右键,选择“创建软件限制策略”,这样我们就可以创建一个默认的软件限制策略,同时该节点下将出现名为“安全级别”和“其他规则”的两个节点(如图1)。下面我们分别介绍出现的每个策略。
新建了软件限制策略后,在“软件限制策略”节点下有三条策略,其作用分别如下:
强制
该策略决定了软件限制策略的适用范围。单击该策略后可以看到如图2的对话框。
应用软件限制策略到下列文件
该选项决定了软件限制策略是否应用到库文件。简单来说,库文件为软件的运行提供支持,有时候是运行某些软件时必不可少的组件。但有时候可能有这样的情况:假设我们通过证书规则决定只运行某个厂商开发的软件,但运行该软件需要的某个.dll文件的数字签名来自另外一个厂商,这种情况下,为了让该软件可以正常运行,我们就需要选择“除去库文件之外的所有软件文件”选项,同时一般情况下也建议选择该选项。毕竟大部分软件的运行都是通过一些可执行文件(例如.exe文件)实现的,只要对可执行文件设置好限制,库文件的限制已经不再那么重要了。
将软件限制策略应用到下列用户
该选项决定了是否将软件限制策略应用于管理员用户,默认情况下将会被应用于所有用户。这是一种安全措施,可以让管理员也被自己创建的策略所限制。在默认的设置下,如果不小心设置了错误的策略,并且可能连管理员也被禁止运行策略编辑器,或者根本无法登录,这时候可以使用管理员帐户登录到安全模式下修改策略。不过一般情况下,如果不是很必要,建议软件限制策略只对非管理员用户生效,也就是选中“除本地管理员以外的所有用户”选项。
在应用软件限制策略时
该选项决定了是否在应用软件限制策略时执行证书规则。如果希望使用证书规则,请选择“执行证书规则”,如果希望禁用,请选择“忽略证书规则”。
指派的文件类型
该策略决定了具有什么扩展名的文件可以被视为可执行文件(如图3)。
所有由该策略指定的文件都会被系统当作是可执行文件,而执行这些文件都需要经过软件限制策略的许可。如果希望添加新的文件类型为可执行文件,可以在“文件扩展名”文本框中输入目标文件类型的扩展名,然后单击“添加”按钮;如果不再希望系统将某种类型的文件当作可执行文件,可以从列表中选中目标文件类型,然后单击“删除”按钮。
新建了软件限制策略后,在“软件限制策略”节点下有三条策略,其作用分别如下:
强制
该策略决定了软件限制策略的适用范围。单击该策略后可以看到如图2的对话框。
应用软件限制策略到下列文件
该选项决定了软件限制策略是否应用到库文件。简单来说,库文件为软件的运行提供支持,有时候是运行某些软件时必不可少的组件。但有时候可能有这样的情况:假设我们通过证书规则决定只运行某个厂商开发的软件,但运行该软件需要的某个.dll文件的数字签名来自另外一个厂商,这种情况下,为了让该软件可以正常运行,我们就需要选择“除去库文件之外的所有软件文件”选项,同时一般情况下也建议选择该选项。毕竟大部分软件的运行都是通过一些可执行文件(例如.exe文件)实现的,只要对可执行文件设置好限制,库文件的限制已经不再那么重要了。
将软件限制策略应用到下列用户
该选项决定了是否将软件限制策略应用于管理员用户,默认情况下将会被应用于所有用户。这是一种安全措施,可以让管理员也被自己创建的策略所限制。在默认的设置下,如果不小心设置了错误的策略,并且可能连管理员也被禁止运行策略编辑器,或者根本无法登录,这时候可以使用管理员帐户登录到安全模式下修改策略。不过一般情况下,如果不是很必要,建议软件限制策略只对非管理员用户生效,也就是选中“除本地管理员以外的所有用户”选项。
在应用软件限制策略时
该选项决定了是否在应用软件限制策略时执行证书规则。如果希望使用证书规则,请选择“执行证书规则”,如果希望禁用,请选择“忽略证书规则”。
指派的文件类型
该策略决定了具有什么扩展名的文件可以被视为可执行文件(如图3)。
所有由该策略指定的文件都会被系统当作是可执行文件,而执行这些文件都需要经过软件限制策略的许可。如果希望添加新的文件类型为可执行文件,可以在“文件扩展名”文本框中输入目标文件类型的扩展名,然后单击“添加”按钮;如果不再希望系统将某种类型的文件当作可执行文件,可以从列表中选中目标文件类型,然后单击“删除”按钮。
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐