HOW TO:在 Windows Server 2003 中使用软件限制策略

本文说明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略可以标识并指定允许运行的软件，以便保护您的计算机环境不会受到不可信代码的攻击。使用软件限制策略时，可以为组策略对象 (GPO) 定义两种默认安全级别（分别是无限制和不允许）中的一种，使得在默认情况下或者允许软件运行，或者不允许软件运行。要创建此默认安全级别的特例，可以创建针对特定软件的规则。可以创建以下几种规则：

• 哈希规则
• 证书规则
• 路径规则
• Internet 区域规则

一个策略由默认安全级别和所有应用于 GPO 的规则组成。此策略可以应用于所有的计算机或者个别用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否可以运行的决定。有了软件限制策略，用户在运行程序时必须遵守管理员设置的规则。

通过软件限制策略，可以执行以下任务：

• 控制可以在计算机上运行的程序。例如，如果担心用户通过电子邮件收到病毒，可以应用一个策略，不允许一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。
• 在多用户计算机上，仅允许用户运行特定的文件。例如，如果您的计算机上有多个用户，您可以设置软件限制策略，使用户除了可以访问必须在工作中使用的特定文件外，不能访问其他任何软件。
• 确定谁可以向计算机中添加受信任的发布服务器。
• 控制软件限制策略是影响计算机上的所有用户，还是只影响一些用户。
• 阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，如果存在已知病毒，就可以使用软件限制策略阻止计算机打开包含该病毒的文件。重要说明：Microsoft 建议不要用软件限制策略代替防病毒软件。

如何启动软件限制策略

仅对于本地计算机

1. 单击开始，指向程序，指向管理工具，然后单击本地安全策略。
2. 在控制台树中，展开安全设置，然后展开软件限制策略。

对于成员服务器上的域、站点或组织单元或者已经加入域的工作站

1. 打开 Microsoft 管理控制台 (MMC)。要执行此操作，请单击开始，单击运行，键入mmc，然后单击确定。
2. 在文件菜单中，单击添加/删除管理单元，然后单击添加。
3. 单击组策略对象编辑器，然后单击添加。
4. 在选择组策略对象中，单击浏览。
5. 在浏览组策略对象中，选择相应的域、站点或组织单元中的一个组策略对象 (GPO)，然后单击完成。
   
   或者，可以创建一个新的 GPO，然后单击完成。
6. 单击关闭，然后单击确定。
7. 在控制台树中，转到以下位置：
   组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略

对于域控制器上的组织单元或域或者已经安装了管理工具包的工作站

1. 单击开始，指向所有程序，指向管理工具，然后单击 Active Directory 用户和计算机。
2. 在控制台树中，右键单击希望为其设置组策略的域或组织单元。
3. 单击属性，然后单击组策略选项卡。
4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。
   
   或者，可以单击新建创建一个新的 GPO，然后单击编辑。
5. 在控制台树中，转到以下位置：
   组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略

对于站点和域控制器或者已经安装了管理工具包的工作站

1. 单击开始，指向所有程序，指向管理工具，然后单击 Active Directory 站点和服务。
2. 在控制台中，右键单击希望为其设置组策略的站点：
   • Active Directory 站点和服务 [ Domain_Controller_Name。Domain_Name]
   • 站点
   • 站点
   
   
3. 单击属性，然后单击组策略选项卡。
4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。
   
   或者，单击新建创建一个新的 GPO，然后单击编辑。
5. 在控制台树中，转到以下位置：
   组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略
   重要说明：单击用户配置设置将要应用于用户的策略，与用户登录的计算机无关。单击计算机配置设置将要应用于计算机的策略，与登录到计算机的用户无关。
   
   还可以通过使用称为“环回”的高级组策略设置，在特定的用户登录到特定的计算机时对他们应用软件限制策略。

如何防止软件限制策略应用于本地管理员

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 在详细信息窗格中，双击强制。
4. 在“将软件限制策略应用于下列用户”下，单击“除本地管理员以外的所有用户”。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 一般情况下，用户是组织内计算机上的本地管理员组的成员，因此您可能不想启用此设置。软件限制策略不会应用于任何属于本地管理员组的用户。
• 如果您正在为本地计算机定义软件限制策略设置，可以使用此过程防止本地管理员将软件限制策略应用于自身。如果您正在为网络定义软件限制策略设置，可以通过使用组策略，基于安全组的成员身份筛选用户策略设置。

如何创建证书规则

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建证书规则。
4. 单击浏览，然后选择证书。
5. 选择安全级别。
6. 在描述框中，键入对此规则的说明，然后单击确定。

注意：

• 有关如何在 MMC 中启动软件限制策略的信息，请参见 Windows Server 2003 帮助文件的“相关主题”中的“启动软件限制策略”。
• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 默认情况下不启用证书规则。要启用证书规则：
  1. 单击开始，单击运行，键入 regedit，然后单击确定。
  2. 找到并单击以下注册表项：
     HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
  3. 在详细信息窗格中，双击 AuthenticodeEnabled，然后将值数据从 0 更改为 1。
• 证书规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。
• 要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。
• 当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何创建哈希规则

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建哈希规则。
4. 单击浏览找到文件，或者将预先计算好的哈希值粘贴到文件哈希框中。
5. 在安全级别框中，单击不允许或无限制。
6. 在描述框中，键入对此规则的说明，然后单击确定。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 可以创建针对病毒或特洛伊木马程序的哈希规则，以防止恶意软件运行。
• 如果您希望其他用户使用哈希规则防止病毒运行，可以使用软件限制策略计算病毒的哈希值，然后将此哈希值通过电子邮件发送给其他用户。千万不要通过电子邮件发送病毒本身。
• 如果已经通过电子邮件发送了病毒，还可以创建路径规则以阻止用户运行邮件附件。
• 将文件重命名或移动到另一个文件夹不会导致哈希值改变。
• 对文件进行任何更改都会导致哈希值改变。
• 哈希规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。
• 要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。
• 当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何创建 Internet 区域规则

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 在控制台树中，单击软件限制策略。
4. 在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建 Internet 区域规则。
5. 在 Internet 区域中，单击某个 Internet 区域。
6. 在安全级别框中，单击不允许或无限制，然后单击确定。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 区域规则仅应用于 Windows Installer 软件包。
• 区域规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。
• 要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。
• 当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何创建路径规则

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建路径规则。
4. 在路径框中键入路径，或单击浏览查找文件或文件夹。
5. 在安全级别框中，单击不允许或无限制。
6. 在描述框中，键入对此规则的说明，然后单击确定。重要说明：将某些文件夹（如 Windows 文件夹）的安全级别设置为不允许会对操作系统的操作产生负面影响。请确保没有禁用操作系统的关键组件或其相关程序。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 如果为一个安全级别为不允许的程序创建了路径规则，用户将该软件复制到其他位置后仍可运行该软件。
• 路径规则支持的通配符为星号 (*) 和问号 (?)。
• 可以在路径规则中使用环境变量（如 %programfiles% 或 %systemroot%）。
• 当您不知道软件在计算机上的存储位置，但知道其注册表项时，要为该软件创建路径规则，可以创建注册表路径规则。
• 要防止用户运行电子邮件附件，可为邮件程序的附件文件夹创建一个防止用户运行电子邮件附件的路径规则。
• 路径规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。
• 要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。
• 当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何创建注册表路径规则

1. 单击开始，单击运行，键入 regedit，然后单击确定。
2. 在控制台树中，右键单击希望为其创建规则的注册表项，然后单击复制项名称。
3. 记下详细信息窗格中的值名称。
4. 单击开始，单击运行，键入 mmc，然后单击确定。
5. 打开软件限制策略。
6. 在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建路径规则。
7. 在路径中粘贴注册表项名称和值名称。
8. 用百分号 (%) 将注册表路径括起来，例如：
   %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
9. 在安全级别框中，单击不允许或无限制。
10. 在描述框中，键入对此规则的说明，然后单击确定。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 必须是“管理员”组的成员才能执行此步骤。
• 按如下所示修改注册表路径的格式：
  % 注册表配置单元\ 注册表项名称\ 值名称%
• 必须写出注册表配置单元的全称，不能使用缩写。例如，不能用 HKCU 代替 HKEY_CURRENT_USER。
• 注册表路径规则在未尾的百分号 (%) 后面可以加一个后缀。不要在后缀中使用反斜杠 (\)。例如，可以使用以下注册表路径规则：
  %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
• 路径规则只影响指派的文件类型中列出的那些文件类型。存在一个由所有规则共享的指派文件类型的列表。
• 要使软件限制策略生效，用户必须从他们的计算机上注销然后再次登录以更新策略设置。
• 当应用于策略设置的规则不止一个时，存在处理冲突的规则优先权。

如何添加或删除指派的文件类型

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 在详细信息窗格中，双击指派的文件类型。
4. 根据需要执行以下步骤之一：
   • 要添加文件类型，在文件扩展名框中键入文件扩展名，然后单击添加。
   • 要删除文件类型，在指派的文件类型框中单击该文件类型，然后单击删除。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 指派文件类型列表由每个配置的所有规则共享。用于计算机策略设置的指派文件类型列表和用于用户策略设置的指派文件类型列表是不一样的。

如何更改软件限制策略的默认安全级别

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 在详细信息窗格中，双击安全级别。
4. 右键单击希望设为默认值的安全级别，然后单击设为默认值。
   
   小心：如果将某些文件夹的安全级别设置为不允许，会对操作系统产生负面影响。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 在详细信息窗格中，当前的默认安全级别旁边有一个内含选中标记的黑圈。如果右键单击当前的默认安全级别，菜单中不会出现设为默认值命令。
• 将创建规则以指定默认安全级别的特例。当默认安全级别设置为无限制时，规则指定不允许运行的软件。当默认安全级别设置为不允许时，规则指定允许运行的软件。
• 如果更改默认安全级别，计算机中应用了软件限制策略的所有文件都受此改动的影响。
• 安装时，计算机中所有文件的软件限制策略的默认安全级别全都设置为无限制。

如何设置受信任的发布服务器选项

1. 单击开始，单击运行，键入 mmc，然后单击确定。
2. 打开软件限制策略。
3. 双击受信任的发布服务器。
4. 单击希望其决定信任哪些证书的用户，然后单击确定。

注意：

• 如果您还没有为此 GPO 创建新的软件限制策略设置，可能必须创建一个。
• 可以选择谁（用户、管理员或企业管理员）能添加受信任的发布服务器。例如，可以使用此工具防止用户对 ActiveX 控件的发布服务器作出信任决定。
• 本地计算机管理员有权在本地计算机上指定受信任的发布服务器，而企业管理员有权在组织单元级别指定受信任的发布服务器。