сценарій виконання політика обмеження сценарій виконання програм у Windows Server 2003

Переклади статей Переклади статей
Номер статті: 324036 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Підсумки

У цій статті описується сценарій виконання програмного забезпечення обмеження Політики у Windows Server 2003. Під Вільний час сценарій виконання політика обмеження сценарій виконання програм можна визначити та вказати Підтримка програмного забезпечення, яке можна запускати, так що ви можуть захистити комп'ютерне середовище від ненадійного коду. При використанні в політика обмеження сценарій виконання програм, можна визначити рівень безпеки за промовчанням Unrestricted або Заборонений для об'єкта групової політики (GPO) так, що Підтримка програмного забезпечення або Неприпустиме або не дозволений для запуску за промовчанням. Щоб створити винятки з цього за промовчанням рівень безпеки, можна створити правила для конкретного програмного забезпечення. Ви можете створити на такі типи правил:
  • Хеш правил
  • Сертифікат правил
  • Шлях правил
  • Правила зона Інтернету
Стратегію складається з рівень безпеки за промовчанням і всі правила, що застосовуються до об'єкт групової політики. Ця політика можна застосувати до всіх комп'ютерів, або для окремих користувачів. політика обмеження сценарій виконання програм надати ряд способів ідентифікувати Підтримка програмного забезпечення, і вони на основі політики інфраструктури для забезпечення дотримання рішення про те, чи можна запускати Підтримка програмного забезпечення. З обмеженням програмного забезпечення політики, користувачі повинні дотримуватися вказівок, які настроєно адміністраторами коли вони запуску програм.

За допомогою політик обмеженого сценарій виконання програм ви можете виконання таких завдань:
  • Елемент керування, які програми можна запускати на комп'ютері. Для Наприклад, можна застосувати політику, яка не дозволяє певні типи файлів, для запуску у папці вкладення електронна пошта з програми електронна пошта, якщо ви стурбовані тим про користувачів, які отримують вірусів через електронну пошту.
  • Дозволити користувачам запускати тільки певні файли на кількох користувачів комп'ютери. Наприклад, якщо у вас є кілька користувачів на комп'ютерах, можна Настроювання політика обмеження сценарій виконання програм таким чином, що користувачі не мають доступ до будь-якого програмного забезпечення, за винятком тих конкретних файлів, що вони повинні використовувати для їх роботи.
  • Вирішіть, які можна додати довірених видавців, щоб ваш комп’ютер-зразок.
  • Контролювати, чи політик обмеженого сценарій виконання програм впливають на всі користувачі або просто певних користувачів на комп'ютері.
  • Заборонити будь-які файли на вашому локальному комп'ютері, ваш організаційного підрозділу, вашому сайті або вашого домену. Наприклад, якщо є на відомих вірусів, щоб зупинити комп'ютера можна використовувати політик обмеженого сценарій виконання програм відкрити файл, що містить вірус.

    Важливо: рекомендується не використовувати Підтримка програмного забезпечення обмеження правила як заміну для антивірусного програмного забезпечення.

Як використовувати політик обмеженого сценарій виконання програм з AppLocker

Хоча політик обмеженого сценарій виконання програм і AppLocker мають ту ж мету, AppLocker є повний перегляд політика обмеження сценарій виконання програм, які вводяться в Windows 7 і Windows Server 2008 R2. Не можна використовувати AppLocker керування настройок політики обмеження програмного забезпечення. AppLocker правила лише насильницького на комп'ютерах під керуванням випусків Windows 7 Ultimate і підприємства або всіх випусків Windows Server 2008 R2, у той Вільний час як Підтримка програмного забезпечення обмеження політики правила діють на ці і раніше версії.

Крім того, якщо в ж GPO настроїти параметри політики обмеження програмного забезпечення та AppLocker, тільки AppLocker параметри, буде дотримуватися на комп'ютерах, які працюють під керуванням Windows 7 і Windows Server 2008 R2. Таким чином, якщо в установі потрібно використати політик обмеженого сценарій виконання програм і AppLocker, це Рекомендовані практики для створення AppLocker правил для комп'ютерів, які ви можете використовувати AppLocker політики та програмного забезпечення обмеження політики правила для комп'ютерів, які працюють під керуванням попередніх версій Windows.

Щоб отримати додаткові відомості про сценарій виконання цих двох технологій обмеження програмного забезпечення перегляньте AppLocker тему в Microsoft TechNet технічної бібліотеки:
ASPX http://TechNet.Microsoft.com/EN-US/Library/dd723678 (WS.10)

Як почати політик обмеженого сценарій виконання програм

Для локального комп'ютера лише

  1. Натисніть кнопку Пуск, виберіть пункт програми, адмініструванняі виберіть пункт Локальна політика безпеки.
  2. У дереві консолі Параметри безпеки, послідовно розгорніть вузли та Політик обмеженого сценарій виконання програм.

Для домену, сайту або організаційного підрозділу на рядовому сервері або робочої станції, що приєдналися до домену

  1. Відкрийте консоль керування MMC Microsoft (MMC). Для цього натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. У меню файл виберіть команду Додати/видалити оснасткаі натисніть кнопку Додати.
  3. Відкрийте Редактор об'єктів групової політикиі натисніть кнопку Додати.
  4. Вибрати об'єкт групової політикинатисніть кнопку Огляд.
  5. У Пошук об'єкта групової політикиабо вибрати об'єкт групової політики (GPO) у відповідну домену, сайту, або організаційного підрозділу та натисніть кнопку Готово.

    Крім того, можна створити новий об'єкт групової політики а потім натисніть кнопку Готово.
  6. Натисніть кнопку Закритиі натисніть кнопку ОК.
  7. У дереві консолі йти в папці:
    Об'єкт групової політики Computer_name Конфігурація політики/комп'ютера або користувача, конфігурації, Windows настройки безпеки настройки/програмне забезпечення політик обмеженого сценарій виконання програм

Організаційний підрозділ або домен на контролері домену або робочої станції, що адміністрація інструменти пакет інстальовано

  1. Натисніть кнопку Пуск, виберіть пункт Усі програми, адмініструваннята натисніть кнопку служба Active Directory - користувачі й комп'ютери.
  2. У дереві консолі, клацніть правою кнопкою миші домену або Організаційний підрозділ, який потрібно встановити групову політику для.
  3. Натисніть кнопку Властивостіа потім відкрийте вкладку Групової політики .
  4. Клацніть запис А у Зв'язки об'єкта групової політики виберіть існуючий GPO і натисніть кнопку Редагувати.

    Крім того, можна натисніть новий , щоб створити новий об'єкт групової політики та натисніть кнопку Редагувати.
  5. У дереві консолі йти в папці:
    Об'єкт групової політики Computer_name Конфігурація політики/комп'ютера або користувача конфігурація Windows/настройки безпеки настройки/програмне забезпечення обмеження політики

Для вашого сайту і на контролері домену або робочій станції, що має адміністрації інструменти пакет інстальовано

  1. Натисніть кнопку Пуск, виберіть пункт Усі програми, адмініструванняі натисніть кнопку Active Directory-сайты и застосунок-служба.
  2. У дереві консолі клацніть правою кнопкою миші сайт, який ви хочете встановити групової політики для:
    • Активний [Каталог сайтів і служб Domain_Controller_Name. Domain_Name]
    • Сайти
    • Сайт

  3. Натисніть кнопку Властивостіа потім відкрийте вкладку Групової політики .
  4. Клацніть елемент Зв'язки об'єкта групової політики , щоб вибрати наявний об'єкт групової політики (GPO) а потім клацніть змінити.

    Або ж, натисніть новий , щоб створити новий об'єкт групової політики і натисніть кнопку Редагувати.
  5. У дереві консолі йти в папці:
    Об'єкт групової політики Computer_name Конфігурація політики/комп'ютера або користувача конфігурація Windows/настройки безпеки настройки/програмне забезпечення обмеження політики
    Важливо: клацніть Конфігурація користувача для настройки політик, що застосовуються до користувачів, незалежно від на комп’ютер-зразок, до якого вони увійти. Виберіть Конфігурація комп'ютера для настройки політик, що застосовуються до комп'ютерів, незалежно від користувачам, які підключилися до них.

    Можна також застосувати програмного забезпечення обмеження політики для певних користувачів, коли вони входять до конкретного комп'ютера на використовуючи передові параметр групової політики, названий кільцеву.

Як запобігти політик обмеженого сценарій виконання програм від застосування до локальних адміністраторів

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. В області відомостей двічі клацніть правоохоронних органів.
  4. У розділі Застосування політик обмеженого сценарій виконання програм для на таких користувачів, натисніть кнопку Усі користувачі, крім місцевих Адміністратори.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм параметр для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • Зазвичай користувачі — це члени локального адміністратора групи на комп'ютерах у вашій організації; Таким чином, ви не можете Увімкніть цю настройку. політика обмеження сценарій виконання програм не застосовуються до будь-яких користувачів хто є членами своєї групи локального адміністратора.
  • Якщо задано настройки політики обмеження програмного забезпечення на локальному комп'ютері, ця процедура дає змогу запобігти локальних адміністраторів від необхідності політик обмеженого сценарій виконання програм застосовуються до них. Якщо задано параметри політики обмеження програмного забезпечення для мережі, фільтр політики користувача Параметри на основі членства у групах безпеки за допомогою групової політики.

Як створити правило сертифіката

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. У дереві консолі або область відомостей клацніть правою кнопкою миші Додаткові правилаа потім клацніть Новий сертифікат правило.
  4. Натисніть кнопку Огляда потім виберіть сертифікат.
  5. Виберіть рівень безпеки.
  6. У полі Опис введіть опис для цього правила і натисніть кнопку ОК.
Примітки:
  • Відомості про запуск програмного забезпечення обмеження політики в консолі MMC, див "Пуск політик обмеженого сценарій виконання програм" в пов'язаних тем у файл Windows Server 2003 допомогти.
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • За промовчанням правила сертифіката не увімкнуто. Щоб увімкнути сертифікат правила:
    1. Натисніть кнопку Пуск, клацніть виконати, введіть regeditі натисніть кнопку ОК.
    2. Знайдіть і клацніть такий розділ реєстру:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. В області відомостей двічі клацніть AuthenticodeEnabledта змініть дані значень від 0 до 1.
  • Тільки типи файлів, які постраждали від правил сертифіката є ті, які перераховані в місця для типів файлів. Існує один список типів файлів місця, які поділяють всі правила.
  • Для політик обмеженого сценарій виконання програм вступили в силу, користувачів необхідно оновити настройки політики виходу з, а потім увійти на їх комп'ютери.
  • Коли більш ніж одне правило застосовується до настройки політики, Існує прецедент правила для обробки конфлікти.

Як створити правило хеш

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. У дереві консолі або область відомостей клацніть правою кнопкою миші Додаткові правилаі натисніть кнопку Створити правило хеш.
  4. Натисніть кнопку Огляд , щоб знайти файл, або вставте precalculated хеш в полі хеш файлу .
  5. У полі рівень безпеки натисніть кнопку Заборонений або Unrestricted.
  6. У полі Опис введіть опис для цього правила і натисніть кнопку ОК.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • Ви можете створити правило хеш для вірус або троянський кінь для запобігти запуску зловмисних програм.
  • Якщо ви хочете, щоб інші користувачі хеш правила, щоб вірус не можна запустити, розрахувати хеш вірусу за допомогою програмного забезпечення обмеження правила а потім електронна пошта хеш-значення для інших користувачів. Ніколи не електронна пошта вірус сама по собі.
  • Якщо вірус було надіслано електронною поштою, ви можете також створити правило шлях, щоб заборонити користувачам запускати вкладення електронна пошта.
  • Файл перейменовано або переміщено до іншої папки ще Результати в той же хеш.
  • Будь-які зміни до файлу результатів по-іншому хеш.
  • Є лише типи файлів, які постраждали від хеш правил ті, що перераховані в місця для типів файлів. Існує один список типів файлів місця, які поділяють всі правила.
  • Для політик обмеженого сценарій виконання програм вступили в силу, користувачів необхідно оновити настройки політики виходу з, а потім увійти на їх комп'ютери.
  • Коли більш ніж одне правило застосовується до настройки політики, Існує прецедент правила для обробки конфлікти.

Створення правила електронної Інтернет-зони

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. У дереві консолі клацніть політика обмеження сценарій виконання програм.
  4. У дереві консолі або область відомостей клацніть правою кнопкою миші Додаткові правилаі натисніть кнопку Створити правило для зони Інтернету.
  5. В зоні Інтернетунатисніть кнопку в зоні Інтернету.
  6. У полі Рівень безпеки натисніть кнопку Заборонений або Unrestrictedі натисніть кнопку ОК.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • Зона правила застосовуються до пакети інсталятора Windows тільки.
  • Є лише типи файлів, які постраждали від правилами ті, що перераховані в місця для типів файлів. Існує один список типів файлів місця, які поділяють всі правила.
  • Для політик обмеженого сценарій виконання програм вступили в силу, користувачів необхідно оновити настройки політики виходу з, а потім увійти на їх комп'ютери.
  • Коли більш ніж одне правило застосовується до настройки політики, Існує прецедент правила для обробки конфлікти.

Як створити правило шлях

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. У дереві консолі або область відомостей клацніть правою кнопкою миші Додаткові правилаа потім клацніть Новий шлях правило.
  4. У полі шлях введіть шлях або натисніть кнопку Огляд , щоб знайти файл або каталог вхідних повідомлень.
  5. У полі рівень безпеки натисніть кнопку Заборонений або Unrestricted.
  6. У полі Опис введіть опис для цього правила і натисніть кнопку ОК.

    Важливо: на певні папки, такі як папки Windows, встановивши на рівень безпеки для Заборонений може негативно вплинути на роботу операційної системи. Зробити впевнений, що ви не заборонити найважливішим компонентом операційної системи або один з його залежними програм.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • Якщо ви створюєте правило шлях для програми з безпеки рівень Заборонений, користувач може як і раніше запускати Підтримка програмного забезпечення скопіювавши його до іншого розташування.
  • Знаки підстановки, які підтримуються правило шлях є зірочку (*) і знак запитання (?).
  • Можна використовувати змінні середовища, наприклад % programfiles % або % systemroot %, у вашому шляху правило.
  • Щоб створити правило шлях для програмного забезпечення, коли ви не знаєте там, де вона зберігається на комп'ютері, але ви повинні її розділ реєстру, ви можете створити правило шлях реєстру.
  • Щоб запобігти запуску вкладення електронна пошта, ви можете створення контура правила для папки вкладення поштову програму, яка не дозволяє Користувачі з запуску вкладень електронна пошта.
  • Є лише типи файлів, які постраждали від правил шлях ті, що перераховані в місця для типів файлів. Існує один список типів файлів місця, які поділяють всі правила.
  • Для політик обмеженого сценарій виконання програм вступили в силу, користувачів необхідно оновити настройки політики виходу з, а потім увійти на їх комп'ютери.
  • Коли більш ніж одне правило застосовується до настройки політики, Існує прецедент правила для обробки конфлікти.

Як створити правило шлях реєстру

  1. Натисніть кнопку Пуск, клацніть виконати, введіть regeditі натисніть кнопку ОК.
  2. У дереві консолі правою реєстрі ключ, що ви потрібно створити правило для і виберіть команду Копіювати ім'я ключа.
  3. Примітка ім'я значення в області відомостей.
  4. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  5. Відкрити політик обмеженого сценарій виконання програм.
  6. У дереві консолі або область відомостей клацніть правою кнопкою миші Додаткові правилаа потім клацніть Новий шлях правило.
  7. У шляхвставити ім'я ключа реєстру та ім'я значення.
  8. Візьміть відсоток знаків (%), шлях реєстру для Приклад:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. У полі рівень безпеки натисніть кнопку Заборонений або Unrestricted.
  10. У полі Опис введіть опис для цього правила і натисніть кнопку ОК.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • Ви повинні бути членом групи адміністраторів до виконання Ця процедура.
  • Форматувати шлях до реєстру наступним чином:
    % Кущ реєстру\ Назва ключ реєстру\ Ім'я значення%
  • Ви повинні написати назву куща реєстру; Ви не можна використовувати скорочення. Наприклад, ви не можете замінений HKCUHKEY_CURRENT_USER.
  • Правило шлях реєстру може містити суфікс після на знак відсотка закриття (%). Не використовуйте риски (\) в суфікс. Для Наприклад, можна використовувати наступні правила шлях реєстру:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Є лише типи файлів, які постраждали від правил шлях ті, що перераховані в місця для типів файлів. Існує один список типів файлів місця, які поділяють всі правила.
  • Для політик обмеженого сценарій виконання програм вступили в силу, користувачів необхідно оновити настройки політики виходу з, а потім увійти на їх комп'ютери.
  • Коли більш ніж одне правило застосовується до настройки політики, Існує прецедент правила для обробки конфлікти.

Як додати або видалити місця для типу файлів

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. В області відомостей двічі клацніть Місця для типів файлів.
  4. Виконайте одну з таких дій відповідно:
    • запит на додавання типу файлів, введіть розширення імені файлу в регіоні Розширення файлу поле і натисніть кнопку Додати.
    • Щоб видалити тип файлу, виберіть відповідний тип файлу у вікні місця для типів файлів і натисніть кнопку Видалити.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • Списку Типи файлів місця поділяють всі правила для Кожен конфігурації. Список типів призначеного файл для настроювання політики комп'ютера відрізняється від списку Типи призначеного файлів для користувача політика настройки.

Як змінити замовчуванням безпеки рівня з політика обмеження сценарій виконання програм

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. В області відомостей двічі клацніть Рівні безпеки.
  4. Клацніть правою кнопкою миші рівень безпеки, який потрібно встановити як до за промовчанням і натисніть кнопку установити за промовчанням.

    Застереження: У певних папках, якщо встановити рівень безпеки за промовчанням Заборонений, ви може негативно вплинути на вашій операційній системі.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • В області відомостей є нинішній рівень безпеки за промовчанням позначається чорний коло з галочка в ньому. Якщо клацнути правою кнопкою миші на поточний рівень безпеки за промовчанням, команда за промовчанням не відображається в меню.
  • Правила створюються для визначення винятків за промовчанням рівень безпеки. Коли Unrestrictedвстановлений рівень безпеки за промовчанням, правила вказати програмного забезпечення, що не дозволило запустити. Коли на Забороненийустановлено рівень безпеки за промовчанням, правила вказати Підтримка програмного забезпечення, яке можна запускати.
  • Якщо змінити рівень за промовчанням, ви впливати на всі файли на комп'ютери, які мають політик обмеженого сценарій виконання програм, що застосовується до їх.
  • При установці, рівень безпеки за промовчанням програмного забезпечення обмеження політики на всіх файлів на комп'ютері настроєно на Unrestricted.

Як встановити параметри Довірений видавець

  1. Натисніть кнопку Пуск, виберіть пункт Запуск, введіть mmcі натисніть кнопку ОК.
  2. Відкрити політик обмеженого сценарій виконання програм.
  3. Двічі клацніть Надійні видавці.
  4. Виберіть користувачів, які ви хочете, щоб визначити, які сертифікати будуть довіряти і натисніть кнопку ОК.
Примітки:
  • Ви, можливо, для створення нової політика обмеження сценарій виконання програм настройки для цього об'єкта групової політики, якщо ви ще не зробили цього.
  • Ви можете вибрати, які можна додати довірених видавців, користувачів, Адміністратори або адміністратори підприємства. Наприклад, ви можете використовувати це інструмент, щоб запобігти прийняття рішень довіри про видавців ActiveX Елементи керування.
  • локальний комп’ютер-зразок Адміністратори мають право визначити мати надійних видавців на локальному комп'ютері, а адміністратори підприємства право вказати довірених видавців на рівні організаційного підрозділу.

Властивості

Номер статті: 324036 - Востаннє переглянуто: 12 липня 2012 р. - Редакція: 2.0
Застосовується до:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Ключові слова: 
kbmgmtservices kbhowto kbhowtomaster kbmt KB324036 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 324036

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com