Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Mô tả về các chính sách hạn chế phần mềm trong Windows XP

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:310791
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này mô tả các chính sách hạn chế phần mềm trong Windows XP.

Quản trị viên có thể sử dụng các chính sách hạn chế phần mềm cho phép phần mềm chạy. Bằng cách sử dụng một chính sách hạn chế phần mềm, người quản trị có thể khiến không mong muốn chương trình đang chạy. Điều này bao gồm các vi rút và phần mềm Trojan horse hay các phần mềm khác được biết là gây ra vấn đề.
THÔNG TIN THÊM
Bạn có thể sử dụng các công cụ chính sách nhóm trong Windows XP để thực hiện các chính sách hạn chế phần mềm. Để cho phép một chính sách hạn chế phần mềm, sử dụng một trong những phương pháp sau đây:
 • Dùng chính sách nhóm
  1. Nhấp vào Bắt đầu, sau đó bấm Chạy.
  2. Loại gpedit.msc, sau đó bấm Ok.
  3. Mở rộng các mục sau đây:
   Cấu hình máy tính
   Thiết đặt Windows
   Thiết đặt bảo mật
   Các chính sách hạn chế phần mềm
 • Bằng cách sử dụng chính sách bảo mật cục bộ
  1. Nhấp vào Bắt đầu, sau đó bấm Chạy.
  2. Loại secpol.msc, sau đó bấm Ok.
  3. Thực hiện theo các hướng dẫn để kích hoạt một chính sách.

Mức mặc định an ninh và ngoại lệ

Bạn có thể cấu hình mặc định mức bảo mật và xác định bổ sung quy tắc tạo thành trường hợp ngoại lệ cho quy tắc mặc định. Mức độ bảo mật mặc định sẽ xác định hành vi cho tất cả các chương trình. Quy tắc bổ sung cung cấp ngoại lệ đối với mức độ bảo mật mặc định. Mức bảo mật hai là:
 • Không được phep -Nếu bạn thiết lập Không được phep theo các quy tắc mặc định, các chương trình không được phép. Bạn cần phải tạo quy tắc bổ sung cho phép các chương trình cụ thể để chạy.

  Bằng cách sử dụng Không được phep Theo mặc định không phải là một ý tưởng tốt trừ khi người quản trị có danh sách đầy đủ các chương trình cho phép.
 • Không bị giới hạn -Nếu bạn thiết lập Không bị giới hạn theo quy tắc mặc định, tất cả các chương trình được phép chạy. Bạn phải tạo các quy tắc bổ sung nếu bạn muốn để hạn chế các chương trình cá nhân.

  Không bị giới hạn là tốt nhất nếu người quản trị không có danh sách đầy đủ các chương trình được phép, nhưng cần phải ngăn chặn một số chương trình đang chạy.

Quy tắc bổ sung

Bạn có thể cấu hình một số loại hình bổ sung quy tắc:
 • Băm - với một quy tắc Hash, các quản trị viên danh sách tệp chương trình được chặn hoặc cho phép một cách rõ ràng. Nó băm, và điều này kết quả trong một vân tay mật mã mà vẫn giữ nguyên, bất kể của tên tệp hoặc vị trí. Bạn có thể sử dụng phương pháp này để ngăn chặn một phiên bản đặc biệt của một chương trình chạy hoặc để ngăn chặn một chương trình hoạt động, bất kể của nơi nó nằm. Một vấn đề trong Windows XP (tất cả các dịch vụ gói cấp) ngăn quy tắc băm làm việc với tập tin DLL. Quy tắc băm làm việc đúng với Windows Server 2003 và phiên bản mới nhất của Windows. Một workaround có thể để Windows XP là tạo ra một kịch bản đăng nhập unregisters các tập tin DLL liên quan bằng cách sử dụng lệnh sau đây:
  regsvr32 /u tên tập tin.dll
 • Chứng chỉ - bạn có thể xây dựng quy tắc giấy chứng nhận bằng cách cung cấp chứng chỉ ký mã nhà xuất bản phần mềm. Giống như quy tắc Hash, giấy chứng nhận quy định áp dụng không có vấn đề nơi tệp chương trình có vị trí hoặc những gì nó được đặt tên theo.
 • Đường dẫn - đường dẫn quy tắc áp dụng cho tất cả các chương trình chạy được chỉ định địa phương hoặc đường dẫn mạng, hoặc từ thư mục con trong đường dẫn.
 • Vùng Internet - bạn có thể sử dụng vùng Internet quy tắc áp dụng quy tắc chính sách hạn chế phần mềm dựa trên khu vực an ninh Microsoft Internet Explorer mà chương trình đang chạy. Hiện nay, các quy tắc này chỉ áp dụng cho Microsoft Windows Installer gói được điều hành từ khu vực. Vùng Internet quy tắc áp dụng cho các chương trình được tải xuống Internet Explorer.

Quy tắc cấu hình chung

Thêm vào mặc định an ninh và quy tắc bổ sung, bạn cũng có thể xác định cấu hình chung quy tắc xác định như thế nào các chính sách hạn chế phần mềm được áp dụng trên máy tính. Chúng bao gồm:
 • Thực thi pháp luật - bạn có thể sử dụng các thiết đặt thực thi pháp luật để xác định những tập tin được thi hành, và những người sử dụng có thể cấu hình chính sách hạn chế bảo mật. Theo mặc định, tất cả các phần mềm file ngoại trừ thư viện (như năng động liên kết thư viện, hoặc DLL) có thể thiết lập chính sách hạn chế bảo mật. Bạn có thể cấu hình các chính sách hạn chế bảo mật áp dụng cho tất cả các phần mềm file. Lưu ý rằng điều này có thể yêu cầu rằng bạn thêm các quy tắc cho mỗi tập tin thư viện được yêu cầu một chương trình.

  Theo mặc định, tất cả người dùng có thể thiết lập chính sách hạn chế bảo mật trên máy tính. Bạn có thể cấu hình thực thi pháp luật cho tất cả người dùng ngoại trừ quản trị viên địa phương, cho phép quản trị viên địa phương để chạy chương trình disallowed.
 • Chỉ định tập tin loại - bạn có thể sử dụng chính sách này để cấu hình các loại tệp mà thiết đặt chính sách hạn chế bảo mật áp dụng.
 • Các nhà cung cấp tin cậy - bạn có thể sử dụng thuộc tính của các nhà cung cấp đáng tin cậy để cấu hình mà người dùng có thể lựa chọn các nhà xuất bản tin cậy. Bạn cũng có thể xác định, nếu có, thu hồi chứng chỉ kiểm tra được thực hiện trước khi tin tưởng một nhà xuất bản.

AppLocker trên Windows 7 và Windows Server 2008 R2

Mặc dù các chính sách hạn chế phần mềm và AppLocker có mục đích tương tự, AppLocker là một phiên bản đầy đủ của các chính sách hạn chế phần mềm. AppLocker đã được giới thiệu với Windows 7 và Windows Server 2008 R2. Bạn không thể sử dụng AppLocker để quản lý các thiết đặt chính sách hạn chế phần mềm. AppLocker qui tắc được áp dụng chỉ trên máy tính đang chạy phiên bản Windows 7 Ultimate và Enterprise hoặc tất cả các phiên bản của Windows Server 2008 R2, trong khi các quy tắc chính sách hạn chế phần mềm đang thi hành các và trước đó các phiên bản.

Ngoài ra, nếu AppLocker và thiết đặt chính sách hạn chế phần mềm được cấu hình trong cùng một Group Policy object (GPO), chỉ có các thiết đặt AppLocker được thi hành trên các máy tính đang chạy Windows 7 và Windows Server 2008 R2. Vì vậy, nếu bạn phải sử dụng các chính sách hạn chế phần mềm và AppLocker trong tổ chức của bạn, chúng tôi đề nghị bạn tạo quy tắc AppLocker cho máy tính có thể dùng AppLocker phần mềm và chính sách hạn chế chính sách quy cho máy tính đang chạy phiên bản trước của Windows.

Để biết thêm chi tiết về cách sử dụng phần mềm hai hạn chế công nghệ, xem chủ đề AppLocker trong thư viện kỹ thuật Microsoft TechNet:
SRP

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 310791 - Xem lại Lần cuối: 12/07/2015 08:03:25 - Bản sửa đổi: 3.0

Microsoft Windows XP Professional

 • kbnosurvey kbarchive kbenv kbinfo kbmt KB310791 KbMtvi
Phản hồi