|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
多用户环境下活用软件限制策略
|
日期:2007年11月15日 作者: 查看:[大字体
中字体 小字体]
|
在多人共用一台计算机的环境下,我们可能需要对每个人可以使用的软件进行限制。例如,系统中安装了一个游戏,可你不打算让其他使用这台计算机的人玩这个游戏。或者公司的计算机上安装了很多软件,老板希望员工只能使用与工作相关的程序,其他非必需的程序都不准使用。
为了实现这一目标,我们可以配置Windows中的软件限制策略,Windows XP Pro、Windows Server 2003以及Windows Vista商业版、企业版和旗舰版这些带有组策略功能的操作系统都可以配置软件限制策略(Windows 2000虽然带有组策略,但没有软件限制策略功能)。
本文会介绍单机环境下软件限制策略的使用。需要注意的一点是,和其他大部分策略一样,软件限制策略在域环境下才能发挥出最大作用,例如通过不同的OU(组织单元),域管理员可以为不同部门或者不同需求的员工创建出不同的策略。在单机或工作组环境下,我们的策略只能对本地帐户生效。
软件限制策略可以让我们设置允许用户运行哪些程序,不允许运行哪些程序。同时我们可以通过不同的规则来指定允许或者禁止运行的软件。在Windows的软件限制策略中,我们可以通过下列条件来创建规则:
证书规则
通过证书规则,我们可以借助软件可执行程序自带的数字证书来创建策略。例如,我们可以通过证书规则决定,所有带有来自微软的数字证书的软件都可以运行,或者所有带有某个不被信任的开发商的数字证书的软件都禁止运行。这样每当我们试图运行一个程序的时候,系统都会查看该程序的数字签名,然后跟软件限制策略中的定义进行比较,并根据策略的设置决定是否允许运行。
哈希规则
在使用哈希规则的时候,我们可以指定一个软件的可执行文件,然后由操作系统计算该文件的哈希值,并根据计算出来的哈希值决定是否允许运行该软件。
网络区域规则
该规则主要用于使用Windows Installer技术安装的软件,因为通过该规则,我们可以对来自不同Internet区域的软件的安装程序采取不同的限制措施。
路径规则
通过该规则,我们可以利用程序的安装路径或者注册表路径来决定是否允许某个路径的程序的运行。
上述四种方式各有利弊,下面的表格列出了不同目的建议使用的规则。
不同目的采取的建议策略
目的 建议使用的规则
允许或不允许运行特定版本的程序 哈希规则
允许或不允许运行始终安装在同一位置的程序 文件路径规则
允许或不允许运行安装在计算机上任何位置的程序 注册表路径规则
允许或不允许运行保存在中央服务器上的程序或脚本 文件路径规则
允许或不允许运行保存在中央服务器上的一批程序或脚本 带有通配符的文件路径规则
允许或不允许某个特定名称的程序运行 路径规则
允许或不允许某个特定公司开发的软件 证书规则
允许或不允许从某个Internet区域站点安装软件 网络区域规则
通常来说,不同的情况需要选择不同的规则。例如,假设我们通过哈希规则允许某个软件运行,但这个软件有一天升级了,升级程序对软件的主文件进行了修补,导致文件的哈希值产生了改变(要知道,无论多大的文件,只要内容被改变了哪怕一个字节,该文件的哈希值也会发生巨大的变化),那么用户将无法再使用这个程序,除非管理员修改软件限制策略。这时候我们就可以使用证书规则来限制,毕竟无论软件怎么升级,只要开发商没有“改头换面”,那么该软件包含的数字证书就不会变化。
同时这些规则的应用还存在一个优先级问题。例如,同一个程序,如果按照证书规则来看,是允许运行的,但按照路径规则来看,是不被允许的。那么系统到底该允许还是禁止该程序运行?一般来说,上述四类规则按照优先级的高低顺序排列,依次是:哈希规则、证书规则、路径规则、网络区域规则,高优先级规则的设置会覆盖低优先级规则的设置。同时,对于同一种规则,“禁止”要优先于“允许”,例如对某个软件,我们无意中使用某种规则(例如哈希规则)同时创建了禁止运行和允许运行这两条规则,那么最终的结果是系统禁止该程序运行。
运行secpol.msc,打开“本地安全策略”控制台,在控制台窗口左侧的树形图中依次进入到“安全设置” “软件限制策略”,然后在软件限制策略节点上单击鼠标右键,选择“创建软件限制策略”,这样我们就可以创建一个默认的软件限制策略,同时该节点下将出现名为“安全级别”和“其他规则”的两个节点(如图1)。下面我们分别介绍出现的每个策略。
新建了软件限制策略后,在“软件限制策略”节点下有三条策略,其作用分别如下:
强制
该策略决定了软件限制策略的适用范围。单击该策略后可以看到如图2的对话框。
应用软件限制策略到下列文件
该选项决定了软件限制策略是否应用到库文件。简单来说,库文件为软件的运行提供支持,有时候是运行某些软件时必不可少的组件。但有时候可能有这样的情况:假设我们通过证书规则决定只运行某个厂商开发的软件,但运行该软件需要的某个.dll文件的数字签名来自另外一个厂商,这种情况下,为了让该软件可以正常运行,我们就需要选择“除去库文件之外的所有软件文件”选项,同时一般情况下也建议选择该选项。毕竟大部分软件的运行都是通过一些可执行文件(例如.exe文件)实现的,只要对可执行文件设置好限制,库文件的限制已经不再那么重要了。
上一篇:只需屏蔽五项功能让XP速度更快
下一篇:两招查看Vista系统内网卡MAC地址
|
| 相关文章: |
|
|
|
| 相关软件: |
|
|
|
|
