วิธีการใช้นโยบายการจำกัดซอฟต์แวร์ใน Windows Server 2003

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 324036 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายวิธีการใช้ข้อจำกัดของซอฟต์แวร์นโยบายใน Windows Server 2003 เมื่อคุณใช้นโยบายจำกัดของซอฟต์แวร์ คุณสามารถระบุ และระบุซอฟต์แวร์ที่ได้รับอนุญาตให้เรียกใช้เพื่อให้คุณสามารถป้องกันระบบคอมพิวเตอร์ของคุณจากรหัสที่ไม่น่าเชื่อถือ เมื่อคุณใช้นโยบายจำกัดของซอฟต์แวร์ คุณสามารถกำหนดระดับความปลอดภัยเริ่มต้นของไม่จำกัดหรือไม่ได้รับอนุญาตสำหรับ'นโยบายกลุ่ม ' วัตถุ (GPO) เพื่อให้ซอฟต์แวร์ที่เป็นได้รับอนุญาต หรือไม่ได้รับการอนุญาตให้เรียกใช้ โดยค่าเริ่มต้น เมื่อต้องการสร้างข้อยกเว้นระดับความปลอดภัยนี้เป็นค่าเริ่มต้น คุณสามารถสร้างกฎสำหรับซอฟต์แวร์ที่ระบุ คุณสามารถสร้างกฎชนิดต่อไปนี้:
  • กฎของการแฮช
  • กฎของใบรับรอง
  • กฎเส้นทาง
  • กฎของโซนอินเทอร์เน็ต
นโยบายขึ้นของระดับความปลอดภัยเริ่มต้นและกฎที่ใช้ไปยังวัตถุนโยบายกลุ่มทั้งหมด นโยบายนี้สามารถนำไปใช้ กับคอมพิวเตอร์ทั้งหมด หรือ สำหรับผู้ใช้แต่ละ นโยบายจำกัดของซอฟต์แวร์ให้หลายวิธีในการระบุซอฟท์แวร์ และจะให้ระบบที่ใช้นโยบายการบังคับใช้ในการตัดสินใจเกี่ยวกับว่าซอฟต์แวร์สามารถเรียกใช้ ด้วยนโยบายจำกัดซอฟต์แวร์ ผู้ใช้ต้องทำตามคำแนะนำที่ตั้ง โดยผู้ดูแลเมื่อเรียกใช้โปรแกรม

ด้วยนโยบายจำกัดซอฟต์แวร์ คุณสามารถดำเนินการงานต่อไปนี้:
  • ตัวควบคุมที่โปรแกรมสามารถทำงานบนคอมพิวเตอร์ของคุณ ตัวอย่างเช่น คุณสามารถใช้นโยบายที่ไม่อนุญาตให้บางชนิดแฟ้มที่ทำงานในโฟลเดอร์ที่แนบมากับอีเมลโปรแกรมอีเมลของคุณหากคุณกังวลว่าผู้ใช้ที่ได้รับไวรัสผ่านทางอีเมล
  • อนุญาตให้ผู้ใช้สามารถเรียกใช้เฉพาะแฟ้มเท่านั้นบนคอมพิวเตอร์หลายผู้ใช้ ตัวอย่างเช่น ถ้าคุณมีผู้ใช้หลายคนบนคอมพิวเตอร์ของคุณ คุณสามารถตั้งนโยบายจำกัดของซอฟต์แวร์ในด้วยวิธีการที่ผู้ใช้ไม่สามารถเข้าถึงซอฟต์แวร์ยกเว้นสำหรับแฟ้มเหล่านั้นเฉพาะที่ต้องใช้สำหรับการทำงานของตนเอง
  • ตัดสินใจที่สามารถเพิ่มผู้เผยแพร่ที่เชื่อถือได้ให้คอมพิวเตอร์ของคุณ
  • ควบคุมว่า นโยบายจำกัดของซอฟต์แวร์ผลต่อผู้ใช้ทั้งหมดหรือผู้ใช้เพียงบางอย่างบนคอมพิวเตอร์
  • ป้องกันไม่ให้แฟ้มใด ๆ ที่ทำงานอยู่บนเครื่องคอมพิวเตอร์ของคุณ หน่วยองค์กรของคุณ ไซต์ของคุณ หรือโดเมนของคุณ ตัวอย่างเช่น ถ้ามีไวรัสที่รู้จัก คุณสามารถใช้นโยบายจำกัดของซอฟต์แวร์เพื่อหยุดการคอมพิวเตอร์จากการเปิดแฟ้มที่ประกอบด้วยไวรัส

    สิ่งสำคัญ: เราขอแนะนำว่า คุณไม่ได้ใช้นโยบายจำกัดของซอฟต์แวร์ที่เป็นได้แทนที่สำหรับซอฟต์แวร์ป้องกันไวรัส

วิธีการใช้นโยบายการจำกัดซอฟต์แวร์ ด้วย AppLocker

แม้ว่ากฎข้อจำกัดของซอฟต์แวร์และ AppLocker มีจุดประสงค์เดียวกัน AppLocker คือการ ตรวจทานที่สมบูรณ์ของนโยบายจำกัดของซอฟต์แวร์ที่นำมาใช้ใน Windows 7 และ Windows Server 2008 R2 คุณไม่สามารถใช้ AppLocker เพื่อจัดการการตั้งค่านโยบายการจำกัดซอฟต์แวร์ กฎ AppLocker มีเพียงบังคับใช้ในคอมพิวเตอร์ที่กำลังเรียกใช้รุ่นของ Windows 7 Ultimate และองค์กรหรือรุ่นที่ทั้งหมดของ Windows Server 2008 R2 ในขณะที่การกฎนโยบายข้อจำกัดของซอฟต์แวร์จะใช้กับ บนเหล่านี้ และรุ่นก่อนหน้านี้รุ่น

นอกจากนี้ ถ้า AppLocker และการตั้งค่านโยบายจำกัดของซอฟต์แวร์ที่มีการกำหนดค่าใน GPO เดียวกัน เฉพาะการตั้งค่า AppLocker จะถูกใช้บนคอมพิวเตอร์ที่รัน Windows 7 และ Windows Server 2008 R2 ดังนั้น ถ้าคุณต้องใช้กฎข้อจำกัดของซอฟต์แวร์และ AppLocker ในองค์กรของคุณได้ฝึกหัดแนะนำในการสร้างกฎ AppLocker สำหรับคอมพิวเตอร์ที่สามารถใช้นโยบาย AppLocker และกฎนโยบายจำกัดซอฟต์แวร์สำหรับคอมพิวเตอร์ที่ใช้ Windows รุ่นก่อนหน้านี้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้เทคโนโลยีเหล่านี้ข้อจำกัดของซอฟต์แวร์ที่สอง ให้ดูAppLockerหัวข้อในไลบรา Microsoft TechNet ทางเทคนิครี:
.aspx http://technet.microsoft.com/en-us/library/dd723678 (WS.10)

วิธีการเริ่มการทำงานของนโยบายการจำกัดซอฟต์แวร์

สำหรับคอมพิวเตอร์ที่เฉพาะเท่านั้น

  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกนโยบายการรักษาความปลอดภัยท้องถิ่น.
  2. ในคอนโซลทรี ขยายการตั้งค่าการรักษาความปลอดภัยแล้ว ขยายนโยบายการจำกัดซอฟต์แวร์.

สำหรับโดเมน ไซต์แบบ หรือเป็น หน่วยองค์กรบนเซิร์ฟเวอร์สมาชิกหรือเวิร์กสเตชันที่มีการเชื่อมต่อเข้ากับโดเมน

  1. เปิด Microsoft Management Console (MMC) เมื่อต้องการทำเช่นนั้น คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. ในการแฟ้ม:เมนู คลิกเพิ่ม/เอาออกสแนปอินแล้ว คลิกadd.
  3. คลิกตัวแก้ไขวัตถุนโยบายกลุ่มแล้ว คลิกadd.
  4. ในวัตถุนโยบาย กลุ่มที่เลือกคลิกเรียกดู.
  5. ในเรียกดูวัตถุนโยบายกลุ่มอาจเลือก Group Policy object (GPO) ในโดเมนที่เหมาะสม ไซต์ หรือหน่วยองค์กร และคลิกเสร็จสิ้น.

    อีกวิธีหนึ่งคือ คุณสามารถสร้าง GPO ใหม่ และคลิกเสร็จสิ้น.
  6. คลิกปิดแล้ว คลิกตกลง.
  7. ในคอนโซลทรี ไปที่ตำแหน่งที่ตั้งต่อไปนี้:
    วัตถุนโยบายกลุ่มComputer_nameกำหนดค่านโยบาย/คอมพิวเตอร์หรือผู้ใช้/การกำหนด ค่า/Windows/การ ตั้งค่าการรักษาความปลอดภัยการตั้งค่า/ซอฟต์แวร์นโยบายข้อจำกัด

มีหน่วยองค์กรหรือโดเมนบนเป็นตัวควบคุมโดเมนหรือเวิร์กสเตชันที่มีชุดเครื่องมือการดูแลระบบที่ติดตั้ง

  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมทั้งหมดชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์.
  2. ในคอนโซลทรี คลิกขวาโดเมนหรือหน่วยองค์กรที่คุณต้องการตั้งค่า'นโยบายกลุ่ม'สำหรับ
  3. คลิกคุณสมบัติแล้ว คลิกการนโยบายกลุ่มแท็บ
  4. คลิกที่รายการในเชื่อมโยงวัตถุนโยบายกลุ่มการเลือกวัตถุนโยบายกลุ่มอยู่ แล้ว คลิกแก้ไข.

    อีกวิธีหนึ่งคือ คุณคลิกใหม่การสร้าง GPO ใหม่ แล้ว คลิกแก้ไข.
  5. ในคอนโซลทรี ไปที่ตำแหน่งที่ตั้งต่อไปนี้:
    วัตถุนโยบายกลุ่มComputer_nameกำหนดค่านโยบาย/คอมพิวเตอร์หรือผู้ใช้ตั้งค่าคอน ฟิก/Windows/การ ตั้งค่าการรักษาความปลอดภัยการตั้งค่า/ซอฟต์แวร์จำกัดกรมธรรม์

สำหรับ ไซต์ของคุณ และ บนตัวควบคุมโดเมนที่หรือเป็นเวิร์กสเตชัน ที่มีชุดเครื่องมือการดูแลระบบที่ติดตั้ง

  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมทั้งหมดชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกไดเรกทอรีของไซต์ที่ใช้งานอยู่และบริการ.
  2. ในคอนโซลทรี คลิกขวาที่ไซต์ที่คุณต้องการตั้งค่า'นโยบายกลุ่ม'สำหรับ:
    • [ไดเรกทอรีของไซต์และบริการที่ใช้งานอยู่Domain_Controller_Name.domain_name]
    • ไซต์
    • ไซต์

  3. คลิกคุณสมบัติแล้ว คลิกการนโยบายกลุ่มแท็บ
  4. คลิกที่รายการในเชื่อมโยงวัตถุนโยบายกลุ่มการเลือกวัตถุ'นโยบายกลุ่ม'ที่มีอยู่ (GPO), แล้ว คลิกแก้ไข.

    อีกวิธีหนึ่งคือ คลิกใหม่การสร้าง GPO ใหม่ แล้ว คลิกแก้ไข.
  5. ในคอนโซลทรี ไปที่ตำแหน่งที่ตั้งต่อไปนี้:
    วัตถุนโยบายกลุ่มComputer_nameกำหนดค่านโยบาย/คอมพิวเตอร์หรือผู้ใช้ตั้งค่าคอน ฟิก/Windows/การ ตั้งค่าการรักษาความปลอดภัยการตั้งค่า/ซอฟต์แวร์จำกัดกรมธรรม์
    สิ่งสำคัญ: คลิกการกำหนดค่าผู้ใช้การตั้งค่านโยบายที่จะใช้กับผู้ใช้ คำนึงถึงเครื่องคอมพิวเตอร์ที่ล็อกอิน คลิกการกำหนดค่าคอมพิวเตอร์การตั้งค่านโยบายที่จะใช้กับเครื่องคอมพิวเตอร์ โดยไม่คำนึงถึงของผู้ใช้เข้าสู่ระบบได้

    คุณยังสามารถใช้นโยบายจำกัดของซอฟต์แวร์ผู้ใช้เฉพาะเมื่อพวกเขาสู่คอมพิวเตอร์ที่ระบุ โดยใช้การตั้งค่า'นโยบายกลุ่ม'เป็นขั้นสูงที่ชื่อลูป

วิธีการป้องกันไม่ให้ใช้กับผู้ดูแลท้องถิ่นนโยบายการจำกัดซอฟต์แวร์

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. ในบานหน้าต่างรายละเอียด คลิกสองครั้งบังคับ.
  4. ภายใต้ใช้นโยบายจำกัดของซอฟต์แวร์ผู้ใช้ต่อไปนี้คลิกผู้ใช้ทั้งหมดยกเว้นผู้ดูแลท้องถิ่น.
หมายเหตุ:
  • คุณอาจต้องสร้างการตั้งเป็นซอฟต์แวร์ข้อจำกัดของนโยบายค่าใหม่สำหรับวัตถุนโยบายกลุ่มนี้ถ้าคุณยังไม่ได้ทำ
  • โดยทั่วไป ผู้ใช้ที่เป็นสมาชิกของกลุ่มผู้ดูแลระบบภายในเครื่องคอมพิวเตอร์ในองค์กรของคุณ ดังนั้น คุณอาจไม่ต้องการเปิดการตั้งค่านี้ นโยบายจำกัดของซอฟต์แวร์ที่ไม่ได้นำไปใช้กับผู้ใช้ที่เป็นสมาชิกของกลุ่มผู้ดูแลระบบภายในของตนเอง
  • ถ้าคุณกำลังกำหนดค่านโยบายจำกัดของซอฟต์แวร์สำหรับเครื่องคอมพิวเตอร์ของคุณ ใช้ขั้นตอนนี้เพื่อป้องกันไม่ให้ผู้ดูแลท้องถิ่นมีนโยบายจำกัดของซอฟต์แวร์นำไปใช้กับแฟ้มเหล่านั้น ถ้าคุณกำลังกำหนดค่านโยบายจำกัดของซอฟต์แวร์สำหรับเครือข่ายของคุณ ตัวกรองข้อมูลการตั้งค่านโยบายผู้ใช้ขึ้นอยู่กับสมาชิกในกลุ่มความปลอดภัย โดยใช้'นโยบายกลุ่ม'

วิธีการสร้างกฎของใบรับรอง

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. ในคอนโซลทรีหรือหน้าต่างรายละเอียด คลิกขวากฎเพิ่มเติมแล้ว คลิกสร้างกฎสำหรับใบรับรอง.
  4. คลิกเรียกดูแล้ว เลือกใบรับรอง
  5. เลือกระดับความปลอดภัย
  6. ในการคำอธิบาย:กล่อง พิมพ์คำอธิบายสำหรับกฎนี้ และคลิกตกลง.
หมายเหตุ:
  • สำหรับข้อมูลเกี่ยวกับวิธีการเริ่มการทำงานของนโยบายจำกัดของซอฟต์แวร์ใน MMC ให้ดูที่ "เริ่มนโยบายจำกัดของซอฟต์แวร์" ในหัวข้อที่เกี่ยวข้องในแฟ้ม Windows Server 2003 วิธีใช้
  • คุณอาจต้องสร้างข้อจำกัดของซอฟต์แวร์ใหม่การตั้งค่านโยบายสำหรับวัตถุนโยบายกลุ่มนี้ถ้าคุณยังไม่ได้ทำ
  • โดยค่าเริ่มต้น กฎใบรับรองจะไม่เปิดอยู่ การเปิดใช้กฎของใบรับรอง:
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:regeditแล้ว คลิกตกลง.
    2. ค้นหาและคลิกที่คีย์รีจิสทรีต่อไปนี้::
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. ในบานหน้าต่างรายละเอียด คลิกสองครั้งAuthenticodeEnabledแล้ว เปลี่ยนข้อมูลค่าตั้งแต่ 0 ถึง 1
  • ชนิดแฟ้มเท่านั้นที่ได้รับผลกระทบตามกฎของใบรับรองคือที่อยู่ในชนิดแฟ้มที่กำหนดไว้. ไม่มีรายการของชนิดแฟ้มที่กำหนดหนึ่งที่ใช้ร่วมกัน โดยกฎทั้งหมด
  • สำหรับนโยบายจำกัดของซอฟต์แวร์ผล ผู้ใช้ต้องปรับปรุงการตั้งค่านโยบายโดยการออกจากระบบจากแล้ว เข้าสู่ระบบในคอมพิวเตอร์ของตน
  • เมื่อมีใช้กฎมากกว่าหนึ่งการตั้งค่านโยบาย ไม่มีน้ำหนักของกฎสำหรับข้อขัดแย้ง

วิธีการสร้างกฎของแฮช

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. ในคอนโซลทรีหรือหน้าต่างรายละเอียด คลิกขวากฎเพิ่มเติมแล้ว คลิกสร้างกฎสำหรับการแฮช.
  4. คลิกเรียกดูเมื่อต้องการค้นหาแฟ้ม หรือวางแฮที่ precalculated ในนั้นแฮแฟ้มกล่อง
  5. ในการระดับความปลอดภัยกล่อง คลิกอย่างใดอย่างหนึ่งไม่ได้รับอนุญาตหรือไม่จำกัด.
  6. ในการคำอธิบาย:กล่อง พิมพ์คำอธิบายสำหรับกฎนี้ และคลิกตกลง.
หมายเหตุ:
  • คุณอาจต้องสร้างข้อจำกัดของซอฟต์แวร์ใหม่การตั้งค่านโยบายสำหรับวัตถุนโยบายกลุ่มนี้ถ้าคุณยังไม่ได้ทำ
  • คุณสามารถสร้างกฎแฮไวรัสหรือม้าโทรจันเพื่อป้องกันซอฟต์แวร์ที่เป็นอันตรายจากการทำงาน
  • ถ้าคุณต้องการให้ผู้ใช้อื่น ๆ ใช้กฎแฮดังนั้นเป็นไวรัสไม่สามารถทำงาน คำนวณแฮของไวรัส โดยใช้นโยบายการจำกัดซอฟต์แวร์ และค่าแฮชของผู้ใช้คนอื่น ๆ ของอีเมลแล้ว ไม่เคยอีเมลไวรัสตัวเอง
  • ถ้าไวรัสถูกส่งผ่านทางอีเมล คุณสามารถสร้างกฎเส้นทางการป้องกันไม่ให้ผู้ใช้เรียกใช้สิ่งที่แนบกับจดหมาย
  • A file that is renamed or moved to another folder still results in the same hash.
  • Any change to a file results in a different hash.
  • The only file types that are affected by hash rules are those that are listed inDesignated file types. There is one list of designated file types that is shared by all rules.
  • For software restriction policies to take effect, users must update policy settings by logging off from and then logging on to their computers.
  • When more than one rule is applied to policy settings, there is a precedence of rules for handling conflicts.

How to create an Internet Zone Rule

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. ในคอนโซลทรี คลิกนโยบายการจำกัดซอฟต์แวร์.
  4. In either the console tree or the details pane, right-clickAdditional Rulesแล้ว คลิกNew Internet Zone Rule.
  5. ในInternet zone, click an Internet zone.
  6. ในการSecurity Levelbox, click eitherไม่ได้รับอนุญาตหรือไม่จำกัดแล้ว คลิกตกลง.
หมายเหตุ:
  • You may have to create new software restriction policy settings for this GPO if you have not already done so.
  • Zone rules apply to Windows Installer packages only.
  • The only file types that are affected by zone rules are those that are listed inDesignated file types. There is one list of designated file types that is shared by all rules.
  • For software restriction policies to take effect, users must update policy settings by logging off from and then logging on to their computers.
  • When more than one rule is applied to policy settings, there is a precedence of rules for handling conflicts.

How to create a Path Rule

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. In either the console tree or the details pane, right-clickAdditional Rulesแล้ว คลิกNew Path Rule.
  4. ในการเส้นทางbox, type a path or clickเรียกดูto find a file or folder.
  5. ในการระดับความปลอดภัยbox, click eitherไม่ได้รับอนุญาตหรือไม่จำกัด.
  6. ในการคำอธิบาย:box, type a description for this rule, and then clickตกลง.

    สิ่งสำคัญ: On certain folders, such as the Windows folder, setting the security level toไม่ได้รับอนุญาตcan adversely affect the operation of your operating system. Make sure that you do not disallow a crucial component of the operating system or one of its dependent programs.
หมายเหตุ:
  • You may have to create new software restriction policy settings for this GPO if you have not already done so.
  • If you create a path rule for a program with a security level ofไม่ได้รับอนุญาต, a user can still run the software by copying it to another location.
  • อักขระตัวแทนที่ได้รับการสนับสนุน โดยกฎเส้นทางมีเครื่องหมายดอก (*) และเครื่องหมายคำถาม (?)
  • คุณสามารถใช้ตัวแปรสภาพแวดล้อม เช่น programfiles %%หรือ% systemroot % ในกฎเส้นทางของคุณ
  • เมื่อต้องการสร้างกฎเส้นทางสำหรับซอฟต์แวร์เมื่อคุณไม่ทราบว่าที่เก็บอยู่บนคอมพิวเตอร์ แต่คุณมีคีย์รีจิสทรีของ คุณสามารถสร้างกฎเส้นทางรีจิสทรี
  • เมื่อต้องการป้องกันไม่ให้ผู้ใช้สิ่งที่แนบกับอีเมลของที่ทำงานอยู่ คุณสามารถสร้างกฎเส้นทางสำหรับโฟลเดอร์ในสิ่งที่แนบของโปรแกรมจดหมายของคุณที่ป้องกันไม่ให้ผู้ใช้ทำงานเอกสารแนบอีเมล์
  • ชนิดแฟ้มเท่านั้นที่ได้รับผลกระทบ โดยกฎเส้นทางคือที่อยู่ในชนิดแฟ้มที่กำหนดไว้. ไม่มีรายการของชนิดแฟ้มที่กำหนดหนึ่งที่ใช้ร่วมกัน โดยกฎทั้งหมด
  • สำหรับนโยบายจำกัดของซอฟต์แวร์ผล ผู้ใช้ต้องปรับปรุงการตั้งค่านโยบายโดยการออกจากระบบจากแล้ว เข้าสู่ระบบในคอมพิวเตอร์ของตน
  • เมื่อมีใช้กฎมากกว่าหนึ่งการตั้งค่านโยบาย ไม่มีน้ำหนักของกฎสำหรับข้อขัดแย้ง

วิธีการสร้างกฎเส้นทางของรีจิสทรี

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:regeditแล้ว คลิกตกลง.
  2. ในคอนโซลทรี คลิกขวาที่คีย์รีจิสทรีที่คุณต้อง การสร้างกฎสำหรับ แล้ว คลิกการคัดลอกชื่อคีย์.
  3. หมายเหตุชื่อของค่าในบานหน้าต่างรายละเอียด
  4. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  5. เปิดกฎข้อจำกัดของซอฟต์แวร์
  6. ในคอนโซลทรีหรือหน้าต่างรายละเอียด คลิกขวากฎเพิ่มเติมแล้ว คลิกกฎเส้นทางใหม่.
  7. ในเส้นทางวางชื่อคีย์รีจิสทรีและชื่อของค่า
  8. ใส่เส้นทางรีจิสทรีในเครื่องหมายเปอร์เซ็นต์(%) ตัวอย่างเช่น:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. ในการระดับความปลอดภัยกล่อง คลิกอย่างใดอย่างหนึ่งไม่ได้รับอนุญาตหรือไม่จำกัด.
  10. ในการคำอธิบาย:กล่อง พิมพ์คำอธิบายสำหรับกฎนี้ และคลิกตกลง.
หมายเหตุ:
  • คุณอาจต้องสร้างข้อจำกัดของซอฟต์แวร์ใหม่การตั้งค่านโยบายสำหรับวัตถุนโยบายกลุ่มนี้ถ้าคุณยังไม่ได้ทำ
  • คุณต้องเป็นสมาชิกของกลุ่ม Administrators เพื่อทำตามขั้นตอนนี้
  • จัดรูปแบบเส้นทางรีจิสทรีเป็นดังนี้:
    %รีจิสทรีไฮฟ์\ชื่อคีย์รีจิสทรี\ชื่อค่า:%
  • คุณต้องเขียนออกจากชื่อของรีจิสทรีไฮฟ์ คุณไม่สามารถใช้ตัวย่อ ตัวอย่างเช่น คุณไม่สามารถแทนhkcuสำหรับHKEY_CURRENT_USER.
  • กฎเส้นทางของรีจิสทรีสามารถประกอบด้วยส่วนต่อท้ายหลังจากที่การลงทะเบียนเปอร์เซ็นต์การปิดบัญชี(% 1) ไม่สามารถใช้เครื่องหมายทับขวา (\) ในส่วนต่อท้าย ตัวอย่างเช่น คุณสามารถใช้กฎเส้นทางรีจิสทรีต่อไปนี้:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • ชนิดแฟ้มเท่านั้นที่ได้รับผลกระทบ โดยกฎเส้นทางคือที่อยู่ในชนิดแฟ้มที่กำหนดไว้. ไม่มีรายการของชนิดแฟ้มที่กำหนดหนึ่งที่ใช้ร่วมกัน โดยกฎทั้งหมด
  • สำหรับนโยบายจำกัดของซอฟต์แวร์ผล ผู้ใช้ต้องปรับปรุงการตั้งค่านโยบายโดยการออกจากระบบจากแล้ว เข้าสู่ระบบในคอมพิวเตอร์ของตน
  • เมื่อมีใช้กฎมากกว่าหนึ่งการตั้งค่านโยบาย ไม่มีน้ำหนักของกฎสำหรับข้อขัดแย้ง

วิธีการเพิ่ม หรือลบชนิดแฟ้มที่ถูกกำหนด

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. ในบานหน้าต่างรายละเอียด คลิกสองครั้งกำหนดชนิดของแฟ้ม.
  4. ทำตามขั้นตอนต่อไปนี้ตามความเหมาะสมอย่างใดอย่างหนึ่ง:
    • เมื่อต้องเพิ่มชนิดแฟ้ม พิมพ์นามสกุลของชื่อแฟ้มในนั้นส่วนขยายของแฟ้มกล่อง แล้วคลิกadd.
    • เมื่อต้องลบประเภทแฟ้ม คลิกชนิดแฟ้มที่อยู่ในนั้นชนิดแฟ้มที่กำหนดไว้กล่อง แล้วคลิกเอาออก.
หมายเหตุ:
  • คุณอาจต้องสร้างข้อจำกัดของซอฟต์แวร์ใหม่การตั้งค่านโยบายสำหรับวัตถุนโยบายกลุ่มนี้ถ้าคุณยังไม่ได้ทำ
  • รายการชนิดแฟ้มที่กำหนดใช้ร่วมกัน โดยกฎทั้งหมดสำหรับแต่ละโครงแบบ รายการชนิดแฟ้มที่กำหนดไว้สำหรับการตั้งค่านโยบายของคอมพิวเตอร์จะแตกต่างจากรายการของชนิดแฟ้มที่กำหนดไว้สำหรับผู้ใช้การตั้งค่านโยบาย

วิธีการเปลี่ยนแปลงการรักษาความปลอดภัยระดับของซอฟต์แวร์จำกัดนโยบายเริ่มต้น

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. ในบานหน้าต่างรายละเอียด คลิกสองครั้งระดับความปลอดภัย.
  4. คลิกขวาที่ระดับความปลอดภัยที่คุณต้อง การตั้งค่าเป็นค่าเริ่มต้น แล้ว คลิกการตั้งค่าเป็นค่าเริ่มต้น.

    ข้อควรระวัง: ในบางโฟลเดอร์ ถ้าคุณตั้งค่าความปลอดภัยเริ่มต้นระดับการไม่ได้รับอนุญาตคุณส่งผลต่อระบบปฏิบัติการของคุณได้มากขึ้น
หมายเหตุ:
  • คุณอาจต้องสร้างข้อจำกัดของซอฟต์แวร์ใหม่การตั้งค่านโยบายสำหรับวัตถุนโยบายกลุ่มนี้ถ้าคุณยังไม่ได้ทำ
  • ในบานหน้าต่างรายละเอียด ระดับความปลอดภัยเริ่มต้นปัจจุบันถูกบ่งชี้ โดยวงกลมสีดำด้วยเครื่องหมายถูกที่อยู่ในนั้น ถ้าคุณคลิกขวาที่ปัจจุบันเป็นค่าเริ่มต้นระดับความปลอดภัย การการตั้งค่าเป็นค่าเริ่มต้นคำสั่งไม่ปรากฏในเมนู
  • มีสร้างกฎเพื่อระบุข้อยกเว้นระดับการรักษาความปลอดภัยเริ่มต้น เมื่อการตั้งค่าระดับความปลอดภัยเริ่มต้นให้ไม่จำกัดกฎระบุซอฟต์แวร์ที่ไม่ได้รับอนุญาตให้เรียกใช้ เมื่อการตั้งค่าระดับความปลอดภัยเริ่มต้นให้ไม่ได้รับอนุญาตกฎระบุซอฟต์แวร์ที่ได้รับอนุญาตให้เรียกใช้
  • ถ้าคุณเปลี่ยนระดับเริ่มต้น คุณผลต่อแฟ้มทั้งหมดบนคอมพิวเตอร์ที่มีการนำไปใช้กับแฟ้มนโยบายจำกัดของซอฟต์แวร์
  • เมื่อการติดตั้ง ระดับความปลอดภัยเริ่มต้นของนโยบายจำกัดของซอฟต์แวร์บนแฟ้มทั้งหมดบนคอมพิวเตอร์ของคุณถูกกำหนดเป็นไม่จำกัด.

วิธีการตั้งค่าตัวเลือกของผู้เผยแพร่ที่เชื่อถือได้

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmcแล้ว คลิกตกลง.
  2. เปิดกฎข้อจำกัดของซอฟต์แวร์
  3. คลิกสองครั้งผู้เผยแพร่ที่เชื่อถือได้.
  4. คลิกผู้ใช้ที่คุณต้องการตัดสินใจว่า ใบรับรองที่จะสามารถเชื่อถือได้ และคลิกตกลง.
หมายเหตุ:
  • คุณอาจต้องสร้างข้อจำกัดของซอฟต์แวร์ใหม่การตั้งค่านโยบายสำหรับวัตถุนโยบายกลุ่มนี้ถ้าคุณยังไม่ได้ทำ
  • คุณสามารถเลือกที่สามารถเพิ่มผู้เผยแพร่ที่เชื่อถือได้ ผู้ใช้ ผู้ดูแล หรือผู้ดูแลระบบระดับองค์กร ตัวอย่างเช่น คุณสามารถใช้เครื่องมือนี้เพื่อป้องกันไม่ให้ผู้ใช้ทำให้ความเชื่อถือตัดสินใจเกี่ยวกับผู้เผยแพร่ของตัวควบคุม ActiveX
  • ผู้ดูแลคอมพิวเตอร์เฉพาะที่มีสิทธิ์ในการระบุผู้เผยแพร่ที่เชื่อถือได้ของเครื่องคอมพิวเตอร์ แต่ผู้ดูแลระบบระดับองค์กรที่มีสิทธิ์ในการระบุผู้เผยแพร่ที่เชื่อถือได้ในระดับของหน่วยองค์กร

คุณสมบัติ

หมายเลขบทความ (Article ID): 324036 - รีวิวครั้งสุดท้าย: 13 มกราคม 2554 - Revision: 5.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Keywords: 
kbmgmtservices kbhowto kbhowtomaster kbmt KB324036 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:324036

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com