文章編號: 324036 - 上次校閱: 2006年2月16日 - 版次: 5.2

如何在 Windows Server 2003 中使用軟體限制原則

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,如何在 Windows Server 2003 中使用軟體限制原則。使用軟體限制原則時,您可以識別和指定允許執行的軟體,如此,就能保護電腦環境避免執行不信任的程式碼。使用軟體限制原則時,您可以定義群組原則物件 (GPO) 的預設安全性等級為 [沒有限制][不允許],以便根據預設允許或不允許執行軟體。如果要建立這個預設安全性等級的例外狀況,您可以針對特定軟體建立規則。您可以建立下列類型的規則:
  • 雜湊規則
  • 憑證規則
  • 路徑規則
  • 網際網路區域規則
原則是由預設安全性等級與所有套用至 GPO 的規則所組成。這個原則可以套用至所有電腦或個別使用者。軟體限制原則提供幾種方法可以識別軟體,並提供原則基礎架構以強制執行有關軟體是否可以執行的決定。有了軟體限制原則,使用者必須遵守系統管理員在執行程式時設定的指導方針。

使用軟體限制原則,您可以執行下列工作:
  • 控制哪些程式可以在您的電腦上執行。例如,如果您擔心使用者經由電子郵件收到病毒,可以套用原則,不允許在電子郵件程式的電子郵件附件資料夾中執行某些檔案類型。
  • 只允許使用者在多位使用者共用的電腦上執行特定檔案。例如,如果電腦上有多位使用者,您可以設定軟體限制原則,讓使用者無法存取任何軟體,只能存取工作上必須用到的那些特定檔案。
  • 決定何人可以將受信任的發行者新增至您的電腦。
  • 控制軟體限制原則會影響電腦上的所有使用者,還是只會影響某些使用者。
  • 防止在您的本機電腦、組織單位、站台或網域上執行任何檔案。例如,如果發現已知的病毒,您可以使用軟體限制原則阻止電腦開啟包含病毒的檔案。重要:Microsoft 建議您,不要用軟體限制原則取代防毒軟體。
回此頁最上方

如何啟動軟體限制原則

僅限在本機電腦中

  1. 按一下 [開始],指向 [程式集],再指向 [系統管理工具],然後按一下 [本機安全性原則]
  2. 在主控台樹狀目錄中,展開 [安全性設定],然後展開 [軟體限制原則]

在成員伺服器上的網域、站台或組織單位,或者加入網域的工作站中

  1. 開啟 Microsoft Management Console (MMC)。如果要執行這項操作,請按一下 [開始],按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]
  3. 按一下 [群組原則物件編輯器],然後按一下 [新增]
  4. [選取群組原則物件] 中,按一下 [瀏覽]
  5. [瀏覽群組原則物件] 中,選取適當網域、站台或組織單位中的群組原則物件 (GPO),然後按一下 [完成]

    或者,您可以建立新的 GPO,然後按一下 [完成]
  6. 按一下 [關閉],再按一下 [確定]
  7. 在主控台樹狀目錄中,移至下列位置:
    [群組原則物件 Computer_name 原則]/[電腦設定] 或 [使用者設定]/[Windows 設定]/[安全性設定]/[軟體限制原則]

在網域控制站上的組織單位或網域,或者已安裝系統管理工具包的工作站中

  1. 按一下 [開始],指向 [所有程式],再指向 [系統管理工具],然後按一下 [Active Directory 使用者和電腦]
  2. 在主控台樹狀目錄中,用滑鼠右鍵按一下您想要設定群組原則的網域或組織單位。
  3. 按一下 [內容],然後按一下 [群組原則] 索引標籤。
  4. 按一下 [群組原則物件連結] 中的項目,以選取現有的 GPO,然後按一下 [編輯]

    或者,您可以按一下 [新增] 以建立新的 GPO,然後按一下 [編輯]
  5. 在主控台樹狀目錄中,移至下列位置:
    [群組原則物件 Computer_name 原則]/[電腦設定] 或 [使用者設定]/[Windows 設定]/[安全性設定]/[軟體限制原則]

在站台和網域控制站,或者已安裝系統管理工具包的工作站中

  1. 按一下 [開始],指向 [所有程式],再指向 [系統管理工具],然後按一下 [Active Directory 站台及服務]
  2. 在主控台樹狀目錄中,用滑鼠右鍵按一下您想要設定群組原則的站台:
    • Active Directory 站台及服務 [ Domain_Controller_Name.Domain_Name]
    • 站台
    • 站台

  3. 按一下 [內容],然後按一下 [群組原則] 索引標籤。
  4. 按一下 [群組原則物件連結] 中的項目,以選取現有的群組原則物件 (GPO),然後按一下 [編輯]

    或者,按一下 [新增] 以建立新的 GPO,然後按一下 [編輯]
  5. 在主控台樹狀目錄中,移至下列位置:
    [群組原則物件 Computer_name 原則]/[電腦設定] 或 [使用者設定]/[Windows 設定]/[安全性設定]/[軟體限制原則]
    重要:無論使用者登入哪台電腦,都可以按一下 [使用者設定] 以設定要套用至使用者的原則。無論哪位使用者登入電腦,都可以按一下 [電腦設定] 以設定要套用至電腦的原則。

    您也可以將軟體限制原則套用至特定使用者,那些使用者會使用名為回送的進階群組原則設定登入特定的電腦。
回此頁最上方

如何防止軟體限制原則套用至本機系統管理員

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 在詳細資料窗格中,按兩下 [強制]
  4. [套用軟體限制原則到下列使用者] 底下,按一下 [所有使用者,除了本機系統管理員]
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 一般而言,使用者即為組織電腦上本機系統管理員群組的成員,因此,您可能不會想要開啟這個設定。軟體限制原則不會套用至任何屬於本機系統管理員群組的使用者。
  • 如果您要為本機電腦定義軟體限制原則設定,請使用這個程序以避免將軟體限制原則套用至本機系統管理員。如果您想要為網路定義軟體限制原則,請使用群組原則,根據安全性群組中的成員資格篩選使用者原則設定。
回此頁最上方

如何建立憑證規則

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 在控制台樹狀目錄或詳細資料窗格中,用滑鼠右鍵按一下 [其他原則],然後按一下 [新增憑證規則]
  4. 按一下 [瀏覽],然後選取憑證。
  5. 選取安全性等級。
  6. [說明] 方塊中,輸入有關這個規則的說明,然後按一下 [確定]
注意
  • 如需有關如何在 MMC 中啟動軟體限制原則的詳細資訊,請參閱 Windows Server 2003 說明檔案相關主題中的<啟動軟體限制原則>。
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 預設不會開啟憑證規則。如果要開啟憑證規則:
    1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
    2. 找出並按一下下列登錄機碼:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. 在詳細資料窗格中,按兩下 [AuthenticodeEnabled],然後將數值資料從 0 變更為 1。
  • 只有列在 [指定的檔案類型] 中的檔案類型,才會受到憑證規則的影響。有一份所有規則共用的指定檔案類型清單。
  • 如果要讓軟體限制原則生效,使用者必須先登出再登入電腦,以更新原則設定。
  • 當有一個以上的規則套用至原則設定時,處理衝突時便有規則的優先順序。
回此頁最上方

如何建立雜湊規則

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 在控制台樹狀目錄或詳細資料窗格中,用滑鼠右鍵按一下 [其他原則],然後按一下 [新增雜湊規則]
  4. 按一下 [瀏覽] 以尋找檔案,或者在 [檔案雜湊] 方塊中貼上預先計算的雜湊。
  5. [安全性等級] 方塊中,按一下 [不允許][沒有限制]
  6. [說明] 方塊中,輸入有關這個規則的說明,然後按一下 [確定]
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 您可以針對病毒或特洛伊木馬程式建立雜湊規則,以防止惡意軟體執行。
  • 如果您希望其他使用者使用雜湊規則,使病毒無法執行,請使用軟體限制原則計算病毒的雜湊,然後用電子郵件將雜湊值傳送給其他使用者。千萬不要傳送病毒本身。
  • 如果病毒已經透過電子郵件傳送出去,您也可以建立路徑規則,以防止使用者執行郵件附件。
  • 已重新命名或移至另一個資料夾的檔案仍會產生相同的雜湊。
  • 任何對檔案所做的變更都會相同不同的雜湊。
  • 只有列在 [指定的檔案類型] 中的檔案類型,才會受到雜湊規則的影響。有一份所有規則共用的指定檔案類型清單。
  • 如果要讓軟體限制原則生效,使用者必須先登出再登入電腦,以更新原則設定。
  • 當有一個以上的規則套用至原則設定時,處理衝突時便有規則的優先順序。
回此頁最上方

如何建立網際網路區域規則

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 在主控台樹狀目錄中,按一下 [軟體限制原則]
  4. 在主控台樹狀目錄或詳細資料窗格中,用滑鼠右鍵按一下 [其他原則],然後按一下 [新增網際網路區域原則]
  5. [網際網路區域] 中,按一下網際網路區域。
  6. [安全性等級] 方塊中,按一下 [不允許][沒有限制],然後按一下 [確定]
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 區域規則只會套用至 Windows Installer 套件。
  • 只有列在 [指定的檔案類型] 中的檔案類型,才會受到區域規則的影響。有一份所有規則共用的指定檔案類型清單。
  • 如果要讓軟體限制原則生效,使用者必須先登出再登入電腦,以更新原則設定。
  • 當有一個以上的規則套用至原則設定時,處理衝突時便有規則的優先順序。
回此頁最上方

如何建立路徑規則

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 在主控台樹狀目錄或詳細資料窗格中,用滑鼠右鍵按一下 [其他原則],然後按一下 [新增路徑規則]
  4. [路徑] 方塊中輸入路徑,或按一下 [瀏覽] 以尋找檔案或資料夾。
  5. [安全性等級] 方塊中,按一下 [不允許][沒有限制]
  6. [說明] 方塊中,輸入有關這個規則的說明,然後按一下 [確定]重要:在某些資料夾上 (例如 Windows 資料夾),將安全性等級設定為 [不允許] 可能會對作業系統的操作造成不良的影響。請確認您並未不允許作業系統或其相依程式的重要元件。
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 如果您為安全性等級設為 [不允許] 的程式建立路徑規則,則使用者仍然可以藉由將軟體複製到其他位置的方式執行軟體。
  • 路徑規則支援的萬用字元為星號 (*) 和問號 (?)。
  • 您可以在路徑規則中使用環境變數,例如 %programfiles% 或 %systemroot%。
  • 當您不知道軟體在電腦中的儲存位置,但知道軟體的登錄機碼時,如果要為軟體建立路徑規則,您可以建立登錄路徑規則。
  • 如果要防止使用者執行電子郵件附件,您可以為郵件程式的附件資料夾建立路徑規則,以防止使用者執行電子郵件附件。
  • 只有列在 [指定的檔案類型] 中的檔案類型,才會受到路徑規則的影響。有一份所有規則共用的指定檔案類型清單。
  • 如果要讓軟體限制原則生效,使用者必須先登出再登入電腦,以更新原則設定。
  • 當有一個以上的規則套用至原則設定時,處理衝突時便有規則的優先順序。
回此頁最上方

如何建立登錄路徑規則

  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 在主控台樹狀目錄中,用滑鼠右鍵按一下您要建立規則的登錄機碼,然後按一下 [複製機碼名稱]
  3. 記下詳細資料窗格中的數值名稱。
  4. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  5. 開啟 [軟體限制原則]。
  6. 在主控台樹狀目錄或詳細資料窗格中,用滑鼠右鍵按一下 [其他原則],然後按一下 [新增路徑規則]
  7. [路徑] 中,貼上登錄機碼名稱和數值名稱。
  8. 以百分比符號 (%) 括住登錄路徑,例如:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. [安全性等級] 方塊中,按一下 [不允許][沒有限制]
  10. [說明] 方塊中,輸入有關這個規則的說明,然後按一下 [確定]
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 您必須是系統管理員群組的成員,才能執行這個程序。
  • 格式化登錄路徑,如下所示:
    % Registry Hive\ Registry Key Name\ Value Name%
  • 您必須寫出登錄 Hive 的名稱,請勿使用縮寫。例如,您不可以將 HKCU 替代為 HKEY_CURRENT_USER
  • 登錄路徑規則可以在結尾的百分比符號 (%) 後面包含尾碼。請勿在尾碼中使用反斜線 (\)。例如,您可以使用下列登錄路徑規則:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • 只有列在 [指定的檔案類型] 中的檔案類型,才會受到路徑規則的影響。有一份所有規則共用的指定檔案類型清單。
  • 如果要讓軟體限制原則生效,使用者必須先登出再登入電腦,以更新原則設定。
  • 當有一個以上的規則套用至原則設定時,處理衝突時便有規則的優先順序。
回此頁最上方

如何新增或刪除指定的檔案類型

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 在詳細資料窗格中,按兩下 [指定的檔案類型]
  4. 視情況執行下列其中一個步驟:
    • 如果要新增檔案類型,請在 [副檔名] 方塊中輸入副檔名,然後按一下 [新增]
    • 如果要刪除檔案類型,請按一下 [指定的檔案類型] 方塊中的檔案類型,然後按一下 [移除]
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 指定的檔案類型清單是由每個設定中的所有規則共用。電腦原則設定的指定檔案類型清單與使用者原則設定的指定檔案類型清單不同。
回此頁最上方

如何變更軟體限制原則的預設安全性等級

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 在詳細資料窗格中,按兩下 [安全性等級]
  4. 用滑鼠右鍵按一下您想要設定成預設值的安全性等級,然後按一下 [設成預設值]

    警告:在某些資料夾中,如果您將預設安全性等級設定為 [不允許],可能會對作業系統造成不良的影響。
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 在詳細資料窗格中,目前的預設安全性等級會以其中包含核取記號的黑色圓圈來表示。如果您用滑鼠右鍵按一下目前的預設安全性等級,[設成預設值] 指令便不會出現在功能表中。
  • 隨即會建立規則以指定預設安全性等級的例外狀況。當預設的安全性等級設為 [沒有限制] 時,規則會指定不允許執行的軟體。當預設的安全性等級設為 [不允許] 時,規則會指定允許執行的軟體。
  • 如果您變更預設等級,就會影響已套用軟體限制原則之電腦上的所有檔案。
  • 安裝時,電腦上所有檔案之軟體限制原則的預設安全性等級會設為 [沒有限制]
回此頁最上方

如何設定受信任的發行者選項

  1. 按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]
  2. 開啟 [軟體限制原則]。
  3. 按兩下 [受信任的發行者]
  4. 按一下您想要決定將信任哪個憑證的使用者,然後按一下 [確定]
注意
  • 如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
  • 您可以選取何人能夠新增受信任的發行者、使用者、系統管理員或企業系統管理員。例如,您可以使用這個工具,防止使用者選擇 ActiveX 控制項的發行者做為受信任的對象。
  • 本機電腦系統管理員能夠在本機電腦上指定受信任的發行者,而企業系統管理員則可以指定組織單位等級上受信任的發行者。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
回此頁最上方
關鍵字:?
kbhowto kbhowtomaster kbmgmtservices KB324036
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。