当前位置：清风网络学院 → 操作系统 → Windows Diy → 多用户环境下活用软件限制策略


	精品推荐


特别推荐

·手动删除Windows系统中guest用户


热点TOP10

·0X000000该内存不能为read的解决方法

·怎么样重装系统后能使电脑更快？

·EasyRecovery 604硬盘数据恢复软件技巧

·进程管理知识库 - igfxpers.exe - igfxpers

多用户环境下活用软件限制策略

日期：2007年11月15日作者：查看:[大字体中字体小字体]

　　在输入注册表路径的时候需要注意，输入的路径必须用半角的百分号（%）包裹起来，同时必须输入完整的根键名称，不能输入缩写。路径的格式是这样的：

　　%%

　　例如，我们可以输入这样的路径：

　　%HKEY_LOCAL_MACHINESoftwareMicrosoft%

　　但不能输入这样的路径：

　　%HKLMSoftwareMicrosoft%

　　输入好路径后，在“安全级别”下拉菜单中选择希望使用的设置。
　　关于软件限制策略的介绍就是上面这些。那么在了解了所有的概念后，怎样才能根据需要设置出符合要求的策略来？下文会以家庭和办公室两种环境进行模拟。

　　家庭环境：禁止特定程序运行

　　家长需要使用Windows Live Messenger联系朋友，但不希望孩子用这个软件在网上和陌生人聊天，这时候可以考虑使用软件限制策略。

　　要使用这个功能，家长必须使用管理员帐户，孩子则必须使用非管理员帐户。这样做主要有两个目的：首先，在单机环境下，软件限制策略只能对所有本地帐户生效，只有一个例外，就是管理员帐户，我们可以通过组策略决定软件限制策略是否对管理员帐户生效。另外，不让孩子使用管理员帐户，可以防止孩子私自修改相关策略，取消限制。

　　完整的操作过程是这样的：

　　1. 运行secpol.msc打开“本地安全策略”控制台，从窗口左侧的控制台树中依次进入“安全设置”　“软件限制策略”，用鼠标右键单击“软件限制策略”，选择“创建软件限制策略”。接着双击右侧的“强制”策略，把“将软件限制策略应用到下列用户”选项设置为“除本地管理员以外的所有用户”。

　　2. 接着创建禁止运行Windows Live Messenger的策略。在“其他规则”节点上单击鼠标右键，选择“新建路径规则”，在随后打开的对话框中单击“浏览”按钮，然后选择Windows Live Messenger的安装路径。确定路径后在“安全级别”下拉菜单中选择“不允许的”。

　　这样就设置完成了。现在请考虑，为什么在这里我们要使用路径规则，而不使用其他规则？如果使用证书规则，那么所有带有微软数字签名的软件都将无法使用，而Windows Vista中这样的软件数不胜数。如果使用哈希规则，那么一旦Windows Live Messenger升级了，哈希改变，就会导致显示失效。

　　看看会怎样吧。让孩子使用自己的帐户登录系统，运行其他软件都正常，但在尝试运行Windows Live Messenger的时候会看到如图11的错误提示信息。

多用户环境下活用软件限制策略

　　公司环境：允许特定程序运行

　　公司里的情况就复杂多了，老板可能希望员工只使用工作上需要的程序，而禁止运行其他任何和工作无关的程序。假设老板希望在保证Windows正常运行的情况下，只允许员工运行AutoCAD，不允许使用其他任何程序，完整的操作过程是这样的：

　　1. 首先和上面的例子一样，给员工创建非管理员帐户，当然，原因也是一样的。

　　2. 接着运行secpol.msc打开“本地安全策略”控制台，创建软件限制策略，并将“强制”策略设置为“除本地管理员以外的所有用户”。

　　3. 进入到“安全级别”节点，在“不允许的”节点上单击鼠标右键，选择“设置为默认”，并在随后出现的提示对话框上单击“是”。这样才可以在禁止运行所有程序的前提下只允许指定的程序运行。

　　4. 进入到“其他规则”节点，一定要注意，由于实际情况的不同，这里可能会出现一些安全级别显示为“不受限的”的规则，不要编辑或者删除这些规则，只有存在这些规则才能保证操作系统能够正常运行。用鼠标右键单击“其他规则”节点，选择“新建哈希规则”。在随后出现的对话框中单击“浏览”按钮，选择AutoCAD软件的主文件，然后在“安全级别”下拉菜单中选择“不受限的”。

　　注意：这种方法无法限制Windows自带的程序。　　

　　软件限制策略使用建议

　　基本上，和软件限制策略有关的概念性内容就是上面这些了，很简单，但是如何利用这些概念创建出能够保证系统和信息安全的规则则需要长期的练习。同时在使用该功能的时候还有一些问题需要注意。

　　首先，如果设置的策略对所有用户，包括管理员都生效，但因为自己设置错误，导致系统无法使用，甚至本地安全策略控制台都打不开，这时候该怎么办？遇到这种情况也不用着急，只要在安全模式下使用管理员帐户登录即可，安全模式下软件限制策略不会生效，因此我们可以在安全模式下修改错误的设置。

　　另外，请密切注意你的设置在保证限制的同时，是否会影响到用户的使用。例如，如果我们需要在禁止使用其他软件的同时允许使用Windows Live Messenger和客户交流，那么是否只要对msnmsgr.exe（Windows Live Messenger的主程序）创建一条哈希规则就可以了？这样做该软件确实可以使用，但功能上会受到限制，例如语音通信或者视频通信，虽然也是在Windows Live Messenger中完成的，但实际上这些应用由专门的程序来完成。因此在创建规则的时候，一定要确保不仅可以保证必要软件的正常使用，还得保证所有需要的功能都不会受到限制。

上一页 [1] [2] [3] [4] [5] 下一页

上一篇:只需屏蔽五项功能让XP速度更快

下一篇:两招查看Vista系统内网卡MAC地址

·EasyRecovery 604硬盘数据恢复软件技巧

·突破网盘限制两招获取Fs2You真实地址

·如何阻止局域网用户使用P2P软件下载

·慧眼识金四款智能选股软件显身手

·不用任何软件（木马程序）盗取账号密码

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot