Použití zásad omezení softwaru v systému Windows Server 2003

Souhrn

Tento článek popisuje použití zásad omezení softwaru v systému Windows Server 2003. Při použití zásad omezení softwaru můžete identifikovat a určit software, který je povoleno spustit tak, prostředí počítače můžete ochránit před nedůvěryhodnými. Při použití zásad omezení softwaru lze definovat výchozí úroveň zabezpečení bez omezení nebo Nepovoleno objekt Zásady skupiny (GPO), takže software je buď povoleno nebo zakázáno pro spuštění ve výchozím nastavení. Chcete-li vytvořit výjimky z této výchozí úrovně zabezpečení, můžete vytvořit pravidla pro určitý software. Můžete vytvořit následující typy pravidel:
  • Pravidla algoritmu hash
  • Pravidla certifikátu
  • Pravidla cesty
  • Pravidla zóny Internetu
Zásada je tvořena výchozí úroveň zabezpečení a všechna pravidla pro objekt zásad skupiny. Tuto zásadu můžete použít pro všechny počítače nebo na jednotlivé uživatele. Zásady omezení softwaru umožňují různými způsoby k identifikaci softwaru a poskytují infrastrukturu založené na zásadách vymáhat splnění rozhodnutí o tom, zda lze software spustit. Zásady omezení softwaru uživatelé musejí dodržovat pokyny, které jsou nastaveny správcem při spuštění programů.

Pomocí zásad omezení softwaru můžete provádět následující úkoly:
  • Ovládací prvek, který lze v počítači spustit programy. Můžete například použít zásadu, která neumožňuje určitých typů souborů ve složce e-mailové přílohy z e-mailového programu spustit, pokud máte obavy o uživatelích přijímání virů prostřednictvím e-mailu.
  • Umožňují uživatelům spouštět pouze určité soubory v počítačích s více uživateli. Například pokud máte v počítači více uživatelů, nastavením zásady omezení softwaru tak, aby uživatelé nemají přístup k softwaru s výjimkou konkrétní soubory, které se musí použít pro jejich práce.
  • Rozhodněte, kdo může přidávat důvěryhodné vydavatele do vašeho počítače.
  • Určit, zda zásady omezení softwaru ovlivní všechny uživatele nebo pouze určité uživatele v počítači.
  • Porušit všechny soubory na místního počítače, organizační jednotky, serveru nebo domény. Například pokud známých virů, můžete použít zásady omezení softwaru k zastavení počítače v otevření souboru, který obsahuje virus.

    Důležité: doporučujeme, že nepoužíváte zásady omezení softwaru jako náhrada antivirového softwaru.
zpět na obsah

Použití zásad omezení softwaru pomocí nástroje AppLocker

Přestože zásady omezení softwaru a AppLocker se stejným cílem, je AppLocker úplné přezkoumání zásady omezení softwaru, které jsou zavedeny v systému Windows 7 a Windows Server 2008 R2. Nástroj AppLocker nelze použít ke správě nastavení zásad omezení softwaru. Pravidla nástroje AppLocker jsou vynuceny pouze v počítačích se systémem Windows 7 Ultimate a Enterprise Edition nebo všechny edice systému Windows Server 2008 R2, že pravidla zásad omezení softwaru jsou vynucena na tyto a starší verze.

Navíc pokud AppLocker a nastavení zásad omezení softwaru v objektu zásad skupiny nakonfigurováno, budou vynuceny pouze nastavení AppLocker v počítačích se systémem Windows 7 a Windows Server 2008 R2. Proto pokud je nutné použít zásady omezení softwaru a AppLocker ve vaší organizaci, je doporučený postup pro vytvoření pravidla nástroje AppLocker pro počítače, které můžete použít nástroj AppLocker zásady a pravidla zásad omezení softwaru pro počítače, které používají dřívější verze systému Windows.

Další informace o použití těchto dvou technologií omezení softwaru naleznete v tématu AppLocker v technické knihovně Microsoft TechNet:zpět na obsah

Spuštění zásad omezení softwaru

V místním počítači

  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Místní zásady zabezpečení.
  2. Ve stromu konzoly rozbalte položku Nastavení zabezpečenía potom rozbalte položku Zásady omezení softwaru.
zpět na obsah

Pro doménu, lokalitu nebo organizační jednotku na členský Server nebo pracovní stanici připojené k doméně

  1. Otevřete konzola Microsoft Management Console (MMC). Chcete-li to provést, klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-ina potom klepněte na tlačítko Přidat.
  3. Klepněte na položku Editor objektů Zásady skupinya potom klepněte na tlačítko Přidat.
  4. V dialogovém okně Vybrat objekt Zásady skupinyklepněte na tlačítko Procházet.
  5. V Vyhledat objekt Zásady skupinyvyberte objekt Zásady skupiny (GPO) v odpovídající doméně, síti nebo organizační jednotce a potom klepněte na tlačítko Dokončit.

    Alternativně můžete vytvořit nový objekt zásad skupiny a potom klepněte na tlačítko Dokončit.
  6. Klepněte na tlačítko Zavříta potom klepněte na tlačítko OK.
  7. Ve stromu konzoly přejděte do následujícího umístění:
    Konfigurace zásad/počítače název_počítače objektu Zásady skupiny nebo uživatele a konfigurace/Windows nastavení zabezpečení nastavení/zásada omezení softwaru
zpět na obsah

Pro organizační jednotky nebo domény na řadič domény nebo pracovní stanici má nainstalovány nástroje pro správu

  1. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Active Directory Users and Computers.
  2. Ve stromu konzoly klepněte pravým tlačítkem myši na doménu nebo organizační jednotku, kterou chcete nastavit Zásady skupiny pro.
  3. Klepněte na příkaz Vlastnostia potom klepněte na kartu Zásady skupiny .
  4. Klepněte na položku v seznamu Propojení objektu Zásady skupiny vyberte existující objekt zásad skupiny a klepněte na tlačítko Upravit.

    Případně klepněte na tlačítko Nový vytvořte nový objekt zásad skupiny a potom klepněte na tlačítko Upravit.
  5. Ve stromu konzoly přejděte do následujícího umístění:
    Konfigurace zásad/počítače název_počítače objektu Zásady skupiny nebo uživatelské konfigurace a Windows nastavení zabezpečení nastavení/zásada omezení softwaru
zpět na obsah

Pro svůj web a na řadiči domény nebo pracovní stanici, který má nainstalovány nástroje pro správu

  1. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Active Directory sítě a služby.
  2. Ve stromu konzoly klepněte pravým tlačítkem myši na web, který chcete nastavit Zásady skupiny pro:
    • [Active Directory sítě a služby
      Domain_Controller_Name.
      Domain_Name]
    • Servery
    • Webu

  3. Klepněte na příkaz Vlastnostia potom klepněte na kartu Zásady skupiny .
  4. Klepněte na položku v seznamu Propojení objektu Zásady skupiny vyberte existující objekt Zásady skupiny (GPO) a potom klepněte na tlačítko Upravit.

    Případně klepněte na tlačítko Nový vytvořte nový objekt zásad skupiny a potom klepněte na tlačítko Upravit.
  5. Ve stromu konzoly přejděte do následujícího umístění:
    Konfigurace zásad/počítače název_počítače objektu Zásady skupiny nebo uživatelské konfigurace a Windows nastavení zabezpečení nastavení/zásada omezení softwaru
    Důležité: klepněte na tlačítko Konfigurace uživatele Chcete-li nastavit zásady, které budou použity pro uživatele bez ohledu na to, ke kterému se přihlásí na počítač. Klepněte na tlačítko Konfigurace počítače Chcete-li nastavit zásady, které budou použity k počítačům, bez ohledu na to uživatelé přihlášení k nim.

    Můžete také použít zásady omezení softwaru pro konkrétní uživatele při přihlášení k počítači pomocí upřesňující nastavení Zásady skupiny s názvem zpětné smyčky.
zpět na obsah

Jak zabránit zásady omezení softwaru pro místní správce

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. V podokně podrobností poklepejte na položku vynucení.
  4. V části použít zásady omezení softwaru se následující uživateléklepněte na tlačítko všechny uživatele s výjimkou místních správců.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové nastavení zásad omezení softwaru pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Uživatelé jsou obvykle členy místní skupiny Administrators v počítačích ve vaší organizaci; proto pravděpodobně nebudete chtít zapnout toto nastavení. Zásady omezení softwaru se nevztahují na všechny uživatele, kteří jsou členy své skupiny místního správce.
  • Pokud definujete nastavení zásad omezení softwaru pro místní počítač, tímto způsobem zabránit zásady omezení softwaru použita s místní skupiny administrators. Pokud definujete nastavení zásad omezení softwaru pro síť, filtrujte nastavení zásad pro uživatele na základě členství ve skupinách zabezpečení pomocí Zásady skupiny.
zpět na obsah

Jak vytvořit pravidlo certifikátu

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. Ve stromu konzoly nebo v podokně podrobností klepněte pravým tlačítkem myši
    Další pravidlaa vyberte příkaz Nové pravidlo certifikátu.
  4. Klepněte na tlačítko Procházeta potom vyberte certifikát.
  5. Vyberte úroveň zabezpečení.
  6. Do pole Popis zadejte popis tohoto pravidla a klepněte na tlačítko OK.
Poznámky:
  • Informace o spuštění zásad omezení softwaru v konzole MMC naleznete v tématu "Spuštění zásady omezení softwaru" v části Příbuzná témata v souboru nápovědy k systému Windows Server 2003.
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Ve výchozím nastavení nejsou pravidla certifikátu zapnuta. Chcete-li povolit pravidla certifikátu:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
    2. Vyhledejte a klepněte na následující klíč registru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. V podokně podrobností poklepejte na položku AuthenticodeEnableda potom změňte hodnotu dat od 0 do 1.
  • Pouze typy souborů, které jsou ovlivněny pravidla certifikátu jsou ty, které jsou uvedeny v seznamu určené typy souborů. Existuje jeden seznam určených typů souborů, který je sdílen všemi pravidly.
  • Pro zásady omezení softwaru se projeví uživatelé musí aktualizovat nastavení zásad z odhlášení a přihlášení k počítači.
  • Pokud je na nastavení zásad použito více než jedno pravidlo, je priorita pravidel zpracování konfliktů.
zpět na obsah

Jak vytvořit pravidlo algoritmu Hash

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. Ve stromu konzoly nebo v podokně podrobností klepněte pravým tlačítkem myši
    Další pravidlaa potom klepněte na tlačítko Nové pravidlo algoritmu Hash.
  4. Klepněte na tlačítko Procházet vyhledejte soubor nebo vložit předem vypočtená hodnota hash v poli hodnota hash souboru .
  5. V rozevíracím seznamu úroveň zabezpečení klepněte buď na Nepovoleno nebo bez omezení.
  6. Do pole Popis zadejte popis tohoto pravidla a klepněte na tlačítko OK.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Můžete vytvořit pravidlo algoritmu hash pro vir nebo trojského koně k zabránění spuštění škodlivého softwaru.
  • Ostatním uživatelům pomocí pravidla algoritmu hash tak, aby virus nelze spustit, pokud chcete vypočítat hodnotu hash viru pomocí zásad omezení softwaru a poté hodnotu hash ostatním uživatelům odeslat e-mailem. Nikdy neposílejte samotný virus.
  • Pokud virus byl rozeslán prostřednictvím e-mailu, můžete také vytvořit pravidlo cesty a zabránit uživatelům ve spouštění příloh pošty.
  • Soubor, který je přejmenován či přesunut do jiné složky stále výsledky se stejnou hodnotou hash.
  • Jakékoli změny souboru výsledků v různých hash.
  • Jsou pouze typy souborů, které jsou pravidla algoritmu hash, která jsou uvedena v seznamu určené typy souborů. Existuje jeden seznam určených typů souborů, který je sdílen všemi pravidly.
  • Pro zásady omezení softwaru se projeví uživatelé musí aktualizovat nastavení zásad z odhlášení a přihlášení k počítači.
  • Pokud je na nastavení zásad použito více než jedno pravidlo, je priorita pravidel zpracování konfliktů.
zpět na obsah

Vytvoření pravidla zóny Internetu

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. Ve stromu konzoly klepněte na položku Zásady omezení softwaru.
  4. Ve stromu konzoly nebo v podokně podrobností klepněte pravým tlačítkem myši
    Další pravidlaa vyberte příkaz Nové pravidlo zóny Internetu.
  5. V zóně sítě Internetklepněte na zónu Internetu.
  6. V rozevíracím seznamu Úroveň zabezpečení klepněte buď na Nepovoleno nebo bez omezenía potom klepněte na tlačítko OK.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Pravidla zón mají vliv pouze na balíčky Instalační služba Windows Installer.
  • Pouze typy souborů, které jsou ovlivněny pravidla zóny jsou ty, které jsou uvedeny v seznamu určené typy souborů. Existuje jeden seznam určených typů souborů, který je sdílen všemi pravidly.
  • Pro zásady omezení softwaru se projeví uživatelé musí aktualizovat nastavení zásad z odhlášení a přihlášení k počítači.
  • Pokud je na nastavení zásad použito více než jedno pravidlo, je priorita pravidel zpracování konfliktů.
zpět na obsah

Jak vytvořit pravidlo cesty

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. Ve stromu konzoly nebo v podokně podrobností klepněte pravým tlačítkem myši
    Další pravidlaa potom klepněte na tlačítko Nové pravidlo cesty.
  4. Do pole cesta zadejte cestu nebo klepněte na tlačítko Procházet vyhledejte soubor nebo složku.
  5. V rozevíracím seznamu úroveň zabezpečení klepněte buď na Nepovoleno nebo bez omezení.
  6. Do pole Popis zadejte popis tohoto pravidla a klepněte na tlačítko OK.

    Důležité: V některých složek, například složky Windows, nastavení úrovně zabezpečení na hodnotu Nepovoleno může nepříznivě ovlivnit činnost operačního systému. Ujistěte se, že není zakázat důležitou součást operačního systému nebo jeden z jeho závislých programů.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Pokud vytváříte pravidlo cesty pro program s zabezpečení úroveň Nepovoleno, uživatel může stále spustit software zkopírováním do jiného umístění.
  • Zástupné znaky, které jsou podporovány pravidlo cesty jsou hvězdičky (*) a otazník (?).
  • Pravidlo cesty můžete použít proměnné prostředí, například % programfiles % nebo % systemroot %.
  • Chcete-li vytvořit pravidlo cesty pro software, pokud si nejste jisti, kde jsou uloženy v počítači, ale máte jeho klíč registru, můžete vytvořit pravidlo cesty registru.
  • Chcete-li zabránit uživatelům ve spouštění příloh e-mailů, můžete vytvořit pravidlo cesty pro složku příloh e-mailů, která zabrání uživatelům ve spouštění příloh e-mailů.
  • Pouze typy souborů, které jsou ovlivněny pravidla cesty jsou ty, které jsou uvedeny v seznamu určené typy souborů. Existuje jeden seznam určených typů souborů, který je sdílen všemi pravidly.
  • Pro zásady omezení softwaru se projeví uživatelé musí aktualizovat nastavení zásad z odhlášení a přihlášení k počítači.
  • Pokud je na nastavení zásad použito více než jedno pravidlo, je priorita pravidel zpracování konfliktů.
zpět na obsah

Jak vytvořit pravidlo cesty registru

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Ve stromu konzoly klepněte pravým tlačítkem myši na klíč registru, který chcete vytvořit pravidlo pro a potom klepněte na příkaz Zkopírovat název klíče.
  3. Poznámka: název hodnoty v podokně podrobností.
  4. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  5. Otevřít zásady omezení softwaru.
  6. Ve stromu konzoly nebo v podokně podrobností klepněte pravým tlačítkem myši
    Další pravidlaa potom klepněte na tlačítko Nové pravidlo cesty.
  7. V cestěvložte název klíče registru a název hodnoty.
  8. Uzavřete cestu registru například znak procent (%):
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. V rozevíracím seznamu úroveň zabezpečení klepněte buď na Nepovoleno nebo bez omezení.
  10. Do pole Popis zadejte popis tohoto pravidla a klepněte na tlačítko OK.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Musíte být členem skupiny Administrators k provedení tohoto postupu.
  • Formát cesty registru takto:
    % Podregistr registru\ název klíče registru\ název hodnota%
  • Musíte napsat název podregistru registru; nelze použít zkratky. Například nemůžete nahradit HKCU HKEY_CURRENT_USER.
  • Pravidla cesty registru může obsahovat příponu po uzavření procento (%). Do pole přípona nepoužívejte zpětné lomítko (\). Například můžete použít následující pravidla cesty registru:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Pouze typy souborů, které jsou ovlivněny pravidla cesty jsou ty, které jsou uvedeny v seznamu určené typy souborů. Existuje jeden seznam určených typů souborů, který je sdílen všemi pravidly.
  • Pro zásady omezení softwaru se projeví uživatelé musí aktualizovat nastavení zásad z odhlášení a přihlášení k počítači.
  • Pokud je na nastavení zásad použito více než jedno pravidlo, je priorita pravidel zpracování konfliktů.
zpět na obsah

Jak přidat nebo odstranit určený typ souboru

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. V podokně podrobností poklepejte na položku Určené typy souborů.
  4. Proveďte jeden z následujících kroků podle potřeby:
    • Chcete-li přidat typ souboru, zadejte příponu názvu souboru v
      Přípona souboru a klepněte na tlačítko Přidat.
    • Chcete-li odstranit typ souboru, klepněte na typ souboru v seznamu určené typy souborů a potom klepněte na tlačítko Odebrat.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Seznamu typů souborů určených je sdílen všemi pravidly pro jednotlivé konfigurace. Seznam typů souborů určených pro zásady počítače se liší od seznamu typů souborů určených pro nastavení zásad pro uživatele.
zpět na obsah

Jak změnit výchozí nastavení zabezpečení úroveň pro zásady omezení softwaru

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. V podokně podrobností poklepejte na položku Úrovně zabezpečení.
  4. Klepněte pravým tlačítkem myši na úroveň zabezpečení, kterou chcete nastavit jako výchozí a potom klepněte na tlačítko nastavit jako výchozí.

    Upozornění: V určitých složek Pokud nastavíte výchozí úroveň zabezpečení na hodnotu Nepovoleno, můžete může nepříznivě ovlivnit operační systém.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • V podokně podrobností je aktuální výchozí úroveň zabezpečení označena černým kroužkem se políčko zaškrtnuto. Pokud klepnete pravým tlačítkem myši aktuální výchozí úroveň zabezpečení, nebude příkaz nastavit jako výchozí v nabídce nezobrazí.
  • Pravidla lze určit výjimky z výchozí úrovně zabezpečení. Pokud je výchozí úroveň zabezpečení nastavena na hodnotu bez omezení, pravidla určit software, který není povoleno spustit. Pokud je výchozí úroveň zabezpečení nastavena na hodnotu Nepovoleno, pravidla určit software, který je povoleno spustit.
  • Pokud změníte výchozí úroveň, vliv se všechny soubory v počítačích, které se na ně vztahují zásady omezení softwaru.
  • Při instalaci je výchozí úroveň zabezpečení zásad omezení softwaru všech souborů v počítači nastavena na hodnotu bez omezení.
zpět na obsah

Postup nastavení možností důvěryhodných vydavatelů

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. Otevřít zásady omezení softwaru.
  3. Poklepejte na položku důvěryhodný vydavatel.
  4. Klepněte na uživatele, kteří chtějí rozhodnout, které certifikáty bude důvěryhodný a potom klepněte na tlačítko OK.
Poznámky:
  • Bude pravděpodobně nutné vytvořit nové omezení softwaru nastavení zásad pro tento objekt zásad skupiny, pokud jste tak již neučinili.
  • Můžete vybrat, kdo může přidat důvěryhodných vydavatelů, uživatelé, správci nebo správci rozlehlé sítě. Například můžete použít tento nástroj zabránit uživatelům v rozhodování o důvěryhodnosti vydavatelů prvků ActiveX.
  • Správci místních počítačů mají právo určovat důvěryhodné vydavatele v místním počítači, ale správci rozlehlých sítí mají právo určovat důvěryhodné vydavatele na úrovni organizační jednotky.
zpět na obsah
Vlastnosti

ID článku: 324036 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor