|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
多用户环境下活用软件限制策略
|
日期:2007年11月15日 作者: 查看:[大字体
中字体 小字体]
|
将软件限制策略应用到下列用户
该选项决定了是否将软件限制策略应用于管理员用户,默认情况下将会被应用于所有用户。这是一种安全措施,可以让管理员也被自己创建的策略所限制。在默认的设置下,如果不小心设置了错误的策略,并且可能连管理员也被禁止运行策略编辑器,或者根本无法登录,这时候可以使用管理员帐户登录到安全模式下修改策略。不过一般情况下,如果不是很必要,建议软件限制策略只对非管理员用户生效,也就是选中“除本地管理员以外的所有用户”选项。
在应用软件限制策略时
该选项决定了是否在应用软件限制策略时执行证书规则。如果希望使用证书规则,请选择“执行证书规则”,如果希望禁用,请选择“忽略证书规则”。
指派的文件类型
该策略决定了具有什么扩展名的文件可以被视为可执行文件(如图3)。
所有由该策略指定的文件都会被系统当作是可执行文件,而执行这些文件都需要经过软件限制策略的许可。如果希望添加新的文件类型为可执行文件,可以在“文件扩展名”文本框中输入目标文件类型的扩展名,然后单击“添加”按钮;如果不再希望系统将某种类型的文件当作可执行文件,可以从列表中选中目标文件类型,然后单击“删除”按钮。
受信任的发布者
该策略的属性对话框如图4。默认情况下,Windows Vista并不允许我们修改这些设置,因此首先需要选中“定义这些策略设置”选项,接下来所有选项都将可修改了。在这个对话框上,“受信任的发布者管理”选项可以让我们决定谁可以选择受信任的发布者(受信任的发布者发布的程序将允许运行),例如我们可以选择“所有管理员和用户”,这样用户就可以决定;或者我们可以选择“所有管理员”(单机或工作组环境下)或“企业管理员”(域环境中),这样就只能由管理员选择受信任的发布者。接下来的证书验证选项可以用来决定Windows通过检查哪些项目决定证书是否被吊销。通常吊销的证书都是无效的,因此应该及时检查证书吊销情况,以免以前创建的证书规则在证书被吊销后依然生效,让用户运行了已经不再允许运行的程序。如果希望Windows检查证书的发行者是否依然有效,可以选中“是否未被吊销”选项;如果希望让Windows检查证书的有效时间有没有到期,可以选择“是否具有有效的时间戳”选项。
接下来进入到“安全级别”节点,在Windows Vista下,该节点有三条策略,这些策略都是互斥的,因此同一时间里,只有一条策略是生效的默认策略。默认策略的显示和非默认策略有所不同,默认策略的图标上会有一个对钩的图案。如果希望更改默认策略,只需要在目标策略上单击鼠标右键,然后选择“设置为默认”即可,这样原先的默认策略会被取消,系统会自动将我们新选择的策略设置为默认。
不允许的
这条策略的含义是,除了通过其他规则明确允许的软件外,其他软件都禁止运行。
不受限的
这条策略的含义是,除了通过其他策略明确禁止的软件外,其他软件都允许运行。
因此我们可以根据这两条策略的相应作用并结合自己的需要进行配置。例如,如果希望公司员工只使用特定的几个工作需要的程序,而禁止使用本机安装的其他程序,就可以将“不允许的”设为默认值;如果希望用户可以使用绝大多数软件,只禁止运行特定的几个软件,可以将“不受限的”设置为默认值。
除此之外,还有一个名为“基本用户”的策略,“基本用户”这条策略的含义是,除了通过其他规则明确指定的软件外,其他所有软件都只能以一般用户的身份运行(也就是说不能以管理员的身份运行)。
在“其他规则”节点下,可以看到一些系统预设的规则。由于系统的不同以及其他策略的设置,这里可能会出现不同数量的默认规则。通常情况下,这些规则都是为了保证操作系统可以正常使用而准备的,因此如果不是特别必要,最好不要删除或者修改这些系统自建的规则,我们可以按照需要创建自定义的规则。
在“其他规则”节点上单击鼠标右键,从随后出现的右键菜单中,选择“新建证书规则”、“新建哈希规则”、“新建网络区域规则”或者“新建路径规则”,就可以建立对应的规则。我们一起来看看这些规则都是如何创建的。
证书规则
上文中我们已经说过,通过使用证书规则,我们可以通过应用程序文件的数字签名来决定是否允许运行该程序。对于这个功能,应该谨慎使用,因为一旦启用证书规则,那么每次运行程序的时候,系统都将对程序需要的每个可执行文件以及库文件(如果设置了包含库文件的话)检验数字签名,这有可能导致系统性能的降低。
在Windows Vista中,创建证书规则是很简单的,我们不需要专门获得软件公司的证书,因为只要有带有数字签名的文件,Windows Vista就可以自动从中提取证书。因此我们可以直接单击“浏览”按钮,在随后出现的下拉菜单中定位证书。
在定位证书的时候要注意,如果你已经准备好了需要添加规则的证书(.cer或者.crt文件),那么可以在“打开”对话框中选中这些文件即可。如果你手头没有需要的证书,但是想要对特定的软件进行限制,也很简单,只要该软件带有数字签名(由正规公司新发行的软件基本上都带有),那么在“打开”对话框的文件类型下拉菜单中选择“签名的文件”选项,然后直接选择目标软件对应的主文件即可。
上一篇:只需屏蔽五项功能让XP速度更快
下一篇:两招查看Vista系统内网卡MAC地址
|
| 相关文章: |
|
|
|
| 相关软件: |
|
|
|
|
