คำอธิบายของกฎข้อจำกัดของซอฟต์แวร์ใน Windows XP

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 310791 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายเกี่ยวกับนโยบายจำกัดของซอฟต์แวร์ใน Windows XP

ผู้ดูแลระบบสามารถใช้นโยบายการจำกัดซอฟต์แวร์เพื่อให้ซอฟต์แวร์ที่จะเรียกใช้ โดยใช้นโยบายการจำกัดซอฟต์แวร์ ผู้ดูแลระบบสามารถป้องกันโปรแกรมที่ไม่ต้องเรียกใช้ ซึ่งรวมถึงไวรัส และม้าโทรจันซอฟต์แวร์ หรือซอฟต์แวร์อื่น ๆ ที่เรียกว่าการทำให้เกิดปัญหา

ข้อมูลเพิ่มเติม

คุณสามารถใช้เครื่องมือ'นโยบายกลุ่ม'ใน Windows XP จะใช้นโยบายการจำกัดซอฟต์แวร์ เมื่อต้องการเปิดการใช้งานนโยบายการจำกัดซอฟต์แวร์ ใช้รายการใดรายการอย่างใดอย่างหนึ่งในวิธีการต่อไปนี้:
  • การใช้'นโยบายกลุ่ม'
    1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
    2. ประเภท:gpedit.mscแล้ว คลิกตกลง.
    3. ขยายรายการต่อไปนี้:
      การกำหนดค่าคอมพิวเตอร์
      การตั้งค่า windows
      การตั้งค่าการรักษาความปลอดภัย
      นโยบายการจำกัดซอฟต์แวร์
  • การใช้นโยบายการรักษาความปลอดภัยท้องถิ่น
    1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
    2. ประเภท:secpol.mscแล้ว คลิกตกลง.
    3. ทำตามคำแนะนำในการเปิดใช้งานนโยบาย

ระดับการรักษาความปลอดภัยเริ่มต้นและข้อยกเว้น

คุณสามารถกำหนดระดับความปลอดภัยเริ่มต้น และกำหนดกฎเพิ่มเติมที่ฟอร์มข้อยกเว้นกฎเริ่มต้น ระดับการรักษาความปลอดภัยเริ่มต้นกำหนดลักษณะการทำงานสำหรับโปรแกรมทั้งหมด กฎเพิ่มเติมให้ระดับความปลอดภัยเริ่มต้นข้อยกเว้น ระดับการรักษาความปลอดภัยที่สองคือ:
  • ไม่ได้รับอนุญาต-ถ้าคุณตั้งค่าไม่ได้รับอนุญาตตามกฎการเริ่มต้น ไม่มีโปรแกรมที่อนุญาต คุณต้องสร้างกฎเพิ่มเติมที่เปิดใช้งานโปรแกรมเฉพาะที่จะเรียกใช้

    การใช้ไม่ได้รับอนุญาตตามค่าเริ่มต้นไม่ควรยกเว้นว่าผู้ดูแลระบบที่มีรายการที่สมบูรณ์ของโปรแกรมที่อนุญาต
  • ไม่จำกัด-ถ้าคุณตั้งค่าไม่จำกัดตามกฎการเริ่มต้น โปรแกรมทั้งหมดได้รับอนุญาตให้เรียกใช้ คุณต้องสร้างกฎเพิ่มเติมถ้าคุณต้องการจำกัดการแต่ละโปรแกรม

    ไม่จำกัดเป็นที่ดีที่สุดถ้าไม่มีรายการที่สมบูรณ์ของโปรแกรมที่อนุญาต ผู้ดูแล แต่ต้องการในการป้องกันการเรียกใช้โปรแกรมบางอย่าง

กฎเพิ่มเติม

คุณสามารถกำหนดค่าหลายชนิดของกฎที่มีการเพิ่มเติม:
  • แฮ - ด้วยกฎแฮ ผู้ดูแลระบบแสดงรายการแฟ้มโปรแกรมที่ถูกบล็อก หรือได้รับอนุญาต มี hashed และนี้ส่งผลลายนิ้วมือเข้ารหัสลับที่ยังคงเหมือนเดิม คำนึงถึงชื่อแฟ้มหรือตำแหน่งที่ตั้ง คุณสามารถใช้วิธีนี้ เพื่อป้องกันไม่ให้โปรแกรมรุ่นที่เฉพาะทำงาน หรือ เพื่อป้องกันไม่ให้โปรแกรมรัน ซึ่งจะอยู่ ปัญหาใน Windows XP (บริการ pack ระดับทั้งหมด) ป้องกันไม่ให้แฮกฎจากการทำงานกับแฟ้ม DLL แฮกฎทำงานอย่างถูกต้อง Windows Server 2003 และ Windows รุ่นที่ใหม่กว่า One possible workaround for Windows XP is to create a logon script that unregisters the relevant DLL files by using the following command:
    regsvr32 /uFileName :.dll
  • Certificate - You can build Certificate rules by providing a code-signing software publisher certificate. Like Hash rules, Certificate rules apply no matter where the program file is located or what it is named.
  • Path - Path rules apply to all programs that run from the specified local or network path, or from subfolders that are in the path.
  • Internet Zone - You can use Internet Zone rules to apply software restriction policy rules based on the Microsoft Internet Explorer security zone in which the program is run. Currently, these rules apply only to Microsoft Windows Installer packages that are run from the zone. Internet Zone rules do not apply to programs that are downloaded by Internet Explorer.

General Configuration Rules

In addition to the default security and additional rules, you can also define general configuration rules to determine how software restriction policies are applied on the computer. These include:
  • Enforcement - You can use the Enforcement settings to determine which files are enforced, and which users are subject to the security restriction policy configuration. By default, all software files except libraries (such as dynamic-link libraries, or DLLs) are subject to the security restriction policy settings. You can configure the security restriction policies to apply to all software files. Note that this may require that you add rules for each library file that is required by a program.

    By default, all users are subject to the security restriction policy settings on the computer. You can configure enforcement for all users except local administrators, which allows local administrators to run disallowed programs.
  • Designated Files Types - You can use this policy to configure the file types to which the security restriction policy settings apply.
  • Trusted Providers - You can use the Trusted Providers properties to configure which users can select trusted publishers. You can also determine which, if any, certificate revocation checks are performed before trusting a publisher.

AppLocker on Windows 7 and on Windows Server 2008 R2

Although software restriction policies and AppLocker have the same goal, AppLocker is a complete revision of software restriction policies. AppLocker was introduced with Windows 7 and Windows Server 2008 R2. You cannot use AppLocker to manage the software restriction policy settings. AppLocker rules are enforced only on computers that are running Windows 7 Ultimate and Enterprise editions or all editions of Windows Server 2008 R2, whereas the software restriction policy rules are enforced on these and earlier versions.

Additionally, if AppLocker and the software restriction policy settings are configured in the same Group Policy object (GPO), only the AppLocker settings are enforced on the computers that are running Windows 7 and Windows Server 2008 R2. Therefore, if you must use both software restriction policies and AppLocker in your organization, we recommend that you create AppLocker rules for computers that can use AppLocker policy and software restriction policy rules for computers that are running earlier versions of Windows.

For more information about how to use these two software restriction technologies, see the AppLocker topic in the Microsoft TechNet Technical Library:
http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 310791 - รีวิวครั้งสุดท้าย: 26 กันยายน 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows XP Professional Edition
Keywords: 
kbenv kbinfo kbmt KB310791 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:310791

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com