在 Windows XP 中軟體限制原則的描述

文章翻譯 文章翻譯
文章編號: 310791 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文說明在 Windows XP 中的軟體限制原則。

系統管理員可以使用軟體限制原則來允許執行的軟體。 利用軟體限制原則系統管理員可以防止不必要的程式執行。 這包括病毒和特洛伊木馬程式的軟體或其他軟體,也會造成問題。

其他相關資訊

您可以使用 Windows XP 中的 「 群組原則 」 工具來實作軟體限制原則。 若要軟體限制原則使用在下列的方法之一:
  • 使用 「 群組原則
    1. 按一下 [ 開始 ],然後按一下 [ 執行
    2. 輸入 gpedit.msc ,再按 [確定]
    3. 展開下列項目:
      [電腦設定
      Windows 設定
      安全性設定
      軟體限制原則
  • 使用 [本機安全性原則
    1. 按一下 [ 開始 ],然後按一下 [ 執行
    2. 輸入 secpol.msc ,再按 [確定]
    3. 請依照指示啟用原則。

預設的安全性層級和例外狀況

您可以設定預設安全性層級,並定義表單預設的規則的例外狀況的其他規則。 預設安全性層級會決定所有程式的行為。 其他規則提供預設安全性層級的例外狀況。 兩種安全性層級是:
  • 不允許 -如果您為預設設定 不允許 規則,不允許任何程式。 您必須建立其他規則,可讓特定的程式執行。

    使用 不允許 做為預設值並不是個不錯的主意除非系統管理員有完整的 [允許的程式清單。
  • 沒有限制 -如果您將 [ 沒有限制 ] 設定為預設的規則,所有程式都允許執行。 您必須建立其他規則,如果您想要限制個別程式。

    如果系統管理員並沒有完整的 [允許的程式清單,但需要以避免執行中的特定程式,最適合 沒有限制

其他的規則

您可以設定數種其他規則:
  • 雜湊的雜湊規則系統管理員以列出要封鎖或明確地允許程式檔。 它會雜湊,這會導致仍保持不變,不論檔案名稱或位置的一個密碼編譯指紋。 您可以使用這個方法,以防止執行的特定版本的程式,或防止程式執行,而不管它的位置。 在 Windows XP (所有服務封包層級) 的問題可防止雜湊規則使用的 DLL 檔案。 雜湊規則的 Windows Server 2003 與更新版本的 Windows 正確工作。 Windows XP 的一個可能的解決方法是建立一個登入指令碼,使用下列命令會移除註冊相關的 DLL 檔案:
    regsvr32 /u filename.dll
  • 憑證-您可以藉由提供程式碼簽章的軟體發行者憑證建立憑證規則。 雜湊的規則類似無論程式檔所在的位置,或它的稱為套用憑證規則。
  • 路徑-路徑規則適用於所有執行從指定的本機或網路的路徑,或從路徑中的子資料夾中的程式。
  • 網際網路區域-您可以使用網際網路區域規則來套用軟體限制原則規則根據在其中執行該程式在 Microsoft Internet Explorer 安全性區域。 目前,這些規則只適用於 Microsoft Windows 安裝程式封裝,從該區域執行。 網際網路區域規則不適用於 Internet Explorer 所下載的程式中。

一般設定規則

除了預設安全性] 和 [其他規則中,您也可以定義一般設定規則,以判斷如何在電腦上套用軟體限制原則。 這些包括:
  • 強制-您可以使用強制設定,來判斷強制執行哪些檔案,以及哪些使用者會受到安全性限制原則設定。 預設情況下,程式庫 (如動態連結程式庫或 DLL) 以外的所有軟體檔案都是安全性限制原則設定的。 您可以設定安全性限制原則套用到所有軟體檔案。 請注意這可能需要您將新增每個程式庫檔案所需的程式的規則。

    預設情況下,所有使用者都都在電腦上的 [安全性限制] 原則設定。 您可以設定本機的系統管理員以外的所有使用者可執行程式不允許本機系統管理員的強制執行。
  • 指定檔案類型-您可以使用這個原則來設定要套用安全性限制原則設定檔案類型。
  • 信任提供者-您可以使用受信任的提供者屬性,來設定哪些使用者可以選取受信任的發行者。 您也可以決定其是否有任何,憑證撤銷檢查會在信任某個發行者之前執行。

在 Windows 7 和 Windows Server 2008 R2 AppLocker

雖然軟體限制原則,AppLocker 有相同的目標,AppLocker 是完成修訂的軟體限制原則。 Windows 7 與 Windows Server 2008 R2 引進 AppLocker。 您不能使用 AppLocker 來管理軟體限制原則設定。 AppLocker 規則會強制執行只能在 Windows 7 終極和企業的版本或所有版本的 Windows Server 2008 R2,正在執行的電腦上而這些或更早版本,軟體限制原則規則會強制執行版本。

此外,如果 AppLocker] 及 [軟體限制原則設定都在同一群組原則物件 (GPO) 中設定了,只有 AppLocker 設定會強制執行之電腦上正在執行 Windows 7 和 Windows Server 2008 R2 所中。 因此,如果您必須在您的組織中使用軟體限制原則,AppLocker,我們建議您建立的電腦執行較早版本 Windows 的電腦可以使用 AppLocker 原則及軟體限制原則規則 AppLocker 規則。

如需有關如何使用這兩種軟體限制技術,請參閱 Microsoft TechNet 技術文件庫中的 AppLocker 主題的詳細資訊:
http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx

屬性

文章編號: 310791 - 上次校閱: 2009年9月10日 - 版次: 3.0
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional
關鍵字:?
kbmt kbenv kbinfo KB310791 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:310791
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com