Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để sử dụng các chính sách hạn chế phần mềm trong Windows Server 2003

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:324036
TÓM TẮT
Bài viết này mô tả cách sử dụng hạn chế phần mềm Các chính sách trong Windows Server 2003. Khi bạn sử dụng các chính sách hạn chế phần mềm, bạn có thể xác định và xác định phần mềm này được phép chạy như vậy mà bạn có thể bảo vệ môi trường máy tính của bạn từ mã không đáng tin cậy. Khi bạn sử dụng các các chính sách hạn chế phần mềm, bạn có thể xác định mức bảo mật mặc định của Không bị giới hạn hoặc Không được phep cho một đối tượng Group Policy (GPO) vì vậy phần mềm đó là một trong hai được phép hoặc không được phép để chạy theo mặc định. Để tạo ra trường hợp ngoại lệ này mặc định mức bảo mật, bạn có thể tạo quy tắc cho phần mềm cụ thể. Bạn có thể tạo các loại sau đây của các quy tắc:
  • Quy tắc băm
  • Giấy chứng nhận quy tắc
  • Đường dẫn quy tắc
  • Quy tắc vùng Internet
Một chính sách được tạo thành mức mặc định an ninh và tất cả các quy tắc áp dụng cho một GPO. Chính sách này có thể áp dụng cho tất cả các máy tính hoặc để người dùng cá nhân. Các chính sách hạn chế phần mềm cung cấp một số cách để xác định phần mềm, và họ cung cấp một chính sách dựa trên cơ sở hạ tầng để thi hành quyết định về việc liệu phần mềm có thể chạy. Với những hạn chế phần mềm các chính sách, người dùng phải làm theo các hướng dẫn được thiết lập bởi quản trị viên khi họ chạy chương trình.

Với các chính sách hạn chế phần mềm, bạn có thể thực hiện các tác vụ sau:
  • Kiểm soát cho các chương trình có thể chạy trên máy tính của bạn. Cho Ví dụ, bạn có thể áp dụng một chính sách không cho phép một số kiểu tập tin để chạy trong thư mục tập tin đính kèm thư điện tử của chương trình thư điện tử của bạn nếu bạn đang quan tâm về người dùng nhận được virus thông qua e-mail.
  • Cho phép người dùng chạy chỉ cụ thể tranh đa người dùng các máy tính. Ví dụ, nếu bạn có nhiều người dùng trên máy tính của bạn, bạn có thể thiết lập các chính sách hạn chế phần mềm như vậy mà người dùng không có truy cập vào bất kỳ phần mềm ngoại trừ các tập tin cụ thể mà họ phải sử dụng cho công việc của họ.
  • Quyết định ai có thể thêm nhà xuất bản tin cậy của bạn máy tính.
  • Kiểm soát cho dù chính sách hạn chế phần mềm ảnh hưởng đến tất cả người sử dụng hoặc chỉ một số người dùng trên một máy tính.
  • Ngăn chặn bất kỳ tệp nào đang chạy trên máy tính địa phương, của bạn đơn vị tổ chức, trang web của bạn hoặc tên miền của bạn. Ví dụ, nếu có một vi rút được biết đến, bạn có thể sử dụng các chính sách hạn chế phần mềm để ngăn chặn máy tính từ việc mở tập tin có chứa virus.

    Quan trọng: Chúng tôi đề nghị rằng bạn không sử dụng hạn chế phần mềm các chính sách thay thế cho phần mềm chống vi-rút.

Làm thế nào để sử dụng các chính sách hạn chế phần mềm với AppLocker

Mặc dù các chính sách hạn chế phần mềm và AppLocker có mục đích tương tự, AppLocker là một phiên bản đầy đủ của các chính sách hạn chế phần mềm đang giới thiệu trong Windows 7 và Windows Server 2008 R2. Bạn không thể sử dụng AppLocker để quản lý các thiết đặt chính sách hạn chế phần mềm. Qui tắc AppLocker chỉ áp dụng trên các máy tính đang chạy phiên bản Windows 7 Ultimate và Enterprise hoặc tất cả các phiên bản của Windows Server 2008 R2, trong khi các quy tắc chính sách hạn chế phần mềm đang thi hành các và trước đó các phiên bản.

Ngoài ra, nếu AppLocker và thiết đặt chính sách hạn chế phần mềm được cấu hình trong GPO cùng, chỉ có các thiết đặt AppLocker sẽ được áp dụng trên các máy tính đang chạy Windows 7 và Windows Server 2008 R2. Vì vậy, nếu bạn phải sử dụng các chính sách hạn chế phần mềm và AppLocker trong tổ chức của bạn, đó là thực hành được đề nghị để tạo quy tắc AppLocker cho máy tính có thể dùng AppLocker chính sách và quy tắc chính sách hạn chế phần mềm cho máy tính đang chạy phiên bản trước của Windows.

Để biết thêm chi tiết về cách sử dụng phần mềm hai hạn chế công nghệ, xem các AppLocker chủ đề trong thư viện kỹ thuật Microsoft TechNet:

Làm thế nào để bắt đầu chính sách hạn chế phần mềm

Cho các máy tính địa phương chỉ

  1. Nhấp vào Bắt đầu, điểm đến Chương trình, điểm đến Công cụ quản trị, sau đó bấm Chính sách bảo mật cục bộ.
  2. Trong giao diện điều khiển cây, mở rộng Thiết đặt bảo mật, và sau đó mở rộng Các chính sách hạn chế phần mềm.

Cho một tên miền, một trang web hoặc một đơn vị tổ chức trên một máy chủ thành viên hoặc một máy trạm gia nhập vào một tên miền

  1. Mở Microsoft Management Console (MMC). Để làm điều này, bấm Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Trên các Tệp trình đơn, nhấp vào Thêm/loại bỏ-theo, sau đó bấm Thêm.
  3. Nhấp vào Trình soạn thảo đối tượng chính sách nhóm, sau đó bấm Thêm.
  4. Trong Chọn nhóm đối tượng chính sách, bấm Trình duyệt.
  5. Trong Duyệt tìm một đối tượng chính sách nhóm, hoặc là chọn một đối tượng Group Policy (GPO) trong nhaán tên miền, trang web, hoặc tổ chức đơn vị và sau đó nhấp vào Kết thúc.

    Ngoài ra, bạn có thể tạo một GPO mới, và sau đó Nhấp vào Kết thúc.
  6. Nhấp vào Đóng, sau đó bấm Ok.
  7. Trong giao diện điều khiển cây, đi đến vị trí sau:
    Đối tượng chính sách nhóm Computer_name Cấu hình chính sách/máy tính hoặc người dùng/Configuration/Windows Settings/Security Settings/phần mềm chính sách hạn chế

Đối với đơn vị tổ chức hoặc một tên miền trên một bộ điều khiển vùng hoặc một máy trạm đã đóng gói công cụ quản trị cài đặt

  1. Nhấp vào Bắt đầu, điểm đến Tất cả chương trình, điểm đến Công cụ quản trị, sau đó bấm Người dùng thư mục hoạt động và máy tính.
  2. Trong cây giao diện điều khiển, bấm chuột phải vào tên miền hoặc các đơn vị tổ chức mà bạn muốn đặt chính sách nhóm cho.
  3. Nhấp vào Thuộc tính, sau đó bấm các Chính sách Nhóm tab.
  4. Nhấp vào mục nhập trong Liên kết đối tượng chính sách nhóm để chọn một GPO hiện có, và sau đó bấm Chỉnh sửa.

    Ngoài ra, bạn có thể nhấp vào Mới để tạo ra một GPO mới, và sau đó nhấp vào Chỉnh sửa.
  5. Trong giao diện điều khiển cây, đi đến vị trí sau:
    Đối tượng chính sách nhóm Computer_name Chính sách/máy tính cấu hình hoặc chính sách hạn chế người dùng Configuration/Windows Settings/Security Settings/phần mềm

Cho trang web của bạn và trên bộ kiểm soát miền hoặc một máy trạm đã đóng gói công cụ quản trị cài đặt

  1. Nhấp vào Bắt đầu, điểm đến Tất cả chương trình, điểm đến Công cụ quản trị, sau đó bấm Hoạt động thư mục các trang web và dịch vụ.
  2. Trong cây giao diện điều khiển, bấm chuột phải vào các trang web mà bạn muốn đặt chính sách nhóm cho:
    • Hoạt động thư mục các trang web và các dịch vụ [ Domain_Controller_Name. Domain_Name]
    • Các trang web
    • Trang web

  3. Nhấp vào Thuộc tính, sau đó bấm các Chính sách Nhóm tab.
  4. Nhấp vào mục nhập trong Liên kết đối tượng chính sách nhóm để chọn một đối tượng chính sách nhóm hiện có (GPO), và sau đó nhấp vào Chỉnh sửa.

    Ngoài ra, bấm Mới để tạo ra một GPO mới, và sau đó nhấp vào Chỉnh sửa.
  5. Trong giao diện điều khiển cây, đi đến vị trí sau:
    Đối tượng chính sách nhóm Computer_name Chính sách/máy tính cấu hình hoặc chính sách hạn chế người dùng Configuration/Windows Settings/Security Settings/phần mềm
    Quan trọng: Click vào Cấu hình người dùng để thiết lập chính sách này sẽ được áp dụng cho người dùng, bất kể các máy tính mà họ đăng nhập. Nhấp vào Cấu hình máy tính để thiết lập chính sách này sẽ được áp dụng cho máy vi tính, bất kể những người sử dụng đăng nhập cho họ.

    Bạn có thể áp dụng các phần mềm các chính sách hạn chế cho người dùng cụ thể khi họ đăng nhập vào máy tính cụ thể bởi dùng một thiết đặt chính sách nhóm tiên tiến đặt tên loopback.

Làm thế nào để ngăn chặn các chính sách hạn chế phần mềm áp dụng các quản trị viên địa phương

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Trong ngăn chi tiết, bấm đúp vào Thực thi pháp luật.
  4. Dưới Áp dụng các chính sách hạn chế phần mềm cho các người dùng sau, bấm Tất cả người dùng ngoại trừ địa phương quản trị viên.
Chú ý:
  • Bạn có thể phải tạo ra một chính sách hạn chế phần mềm mới thiết lập cho GPO này nếu bạn không làm như vậy.
  • Thông thường, người dùng là thành viên của các quản trị viên địa phương nhóm trên máy tính của họ trong tổ chức của bạn; Vì vậy, bạn có thể không muốn bật cài đặt này. Các chính sách hạn chế phần mềm không áp dụng cho bất kỳ người dùng các thành viên của nhóm quản trị viên địa phương của họ là ai.
  • Nếu bạn xác định thiết đặt chính sách hạn chế phần mềm Đối với máy tính địa phương của bạn, sử dụng thủ tục này để ngăn chặn các quản trị viên địa phương từ có các chính sách hạn chế phần mềm được áp dụng đối với họ. Nếu bạn xác định thiết đặt chính sách hạn chế phần mềm cho mạng của bạn, chính sách người sử dụng bộ lọc thiết đặt dựa trên các thành viên trong các nhóm bảo mật bằng cách sử dụng chính sách nhóm.

Làm thế nào để tạo một quy tắc giấy chứng nhận

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Trong giao diện điều khiển cây hoặc ngăn chi tiết, bấm chuột phải vàoQuy tắc bổ sung, sau đó bấm Quy tắc mới giấy chứng nhận.
  4. Nhấp vào Trình duyệt, và sau đó chọn một chứng chỉ.
  5. Chọn một mức độ bảo mật.
  6. Trong các Mô tả hộp, gõ một mô tả cho quy tắc này và sau đó nhấp vào Ok.
Chú ý:
  • Thông tin về làm thế nào để bắt đầu những hạn chế phần mềm các chính sách trong MMC, xem "Bắt đầu phần mềm giới hạn sách" trong các chủ đề có liên quan trong file Windows Server 2003 giúp.
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Theo mặc định, giấy chứng nhận quy tắc không bật. Để bật giấy chứng nhận quy tắc:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại regedit, sau đó bấm Ok.
    2. Định vị rồi bấm vào khoá đăng ký sau:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. Trong ngăn chi tiết, bấm đúp vào AuthenticodeEnabled, và sau đó thay đổi dữ liệu giá trị từ 0 đến 1.
  • Các loại tệp chỉ bị ảnh hưởng bởi luật lệ Giấy chứng nhận là những người được liệt kê trong Loại tệp được chỉ định. Đó là một danh sách các tập tin được chỉ định loại được chia sẻ bởi tất cả quy tắc.
  • Đối với các chính sách hạn chế phần mềm có hiệu lực, người sử dụng phải cập nhật thiết đặt chính sách đăng xuất từ và sau đó đăng nhập vào để của họ các máy tính.
  • Khi nhiều hơn một quy tắc được áp dụng cho thiết đặt chính sách, đó là một ưu tiên của các quy tắc để xử lý xung đột.

Làm thế nào để tạo một quy tắc băm

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Trong giao diện điều khiển cây hoặc ngăn chi tiết, bấm chuột phải vàoQuy tắc bổ sung, sau đó bấm Quy tắc Hash mới.
  4. Nhấp vào Trình duyệt để tìm một tệp, hoặc dán một băm precalculated trong các Tập tin băm hộp.
  5. Trong các Mức bảo mật hộp, bấm vào một trong hai Không được phep hoặc Không bị giới hạn.
  6. Trong các Mô tả hộp, gõ một mô tả cho quy tắc này và sau đó nhấp vào Ok.
Chú ý:
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Bạn có thể tạo một quy tắc băm cho một vi-rút hoặc một Trojan horse cho ngăn không cho chạy phần mềm độc hại.
  • Nếu bạn muốn người dùng khác để sử dụng một quy tắc băm để các virus không thể chạy, tính toán các hash của vi rút bằng cách sử dụng hạn chế phần mềm các chính sách, và sau đó e-mail giá trị băm cho người dùng khác. Không bao giờ e-mail virus riêng của mình.
  • Nếu vi-rút đã được gửi qua thư điện tử, bạn cũng có thể tạo một quy tắc đường dẫn để ngăn chặn người dùng chạy phần đính kèm thư.
  • Một tập tin được đổi tên hoặc di chuyển đến một thư mục khác vẫn còn kết quả trong cùng bảng băm.
  • Bất kỳ thay đổi đến một kết quả tập tin trong một khác nhau băm.
  • Các loại tập tin duy nhất bị ảnh hưởng bởi luật lệ băm là những người được liệt kê trong Loại tệp được chỉ định. Đó là một danh sách các tập tin được chỉ định loại được chia sẻ bởi tất cả quy tắc.
  • Đối với các chính sách hạn chế phần mềm có hiệu lực, người sử dụng phải cập nhật thiết đặt chính sách đăng xuất từ và sau đó đăng nhập vào để của họ các máy tính.
  • Khi nhiều hơn một quy tắc được áp dụng cho thiết đặt chính sách, đó là một ưu tiên của các quy tắc để xử lý xung đột.

Làm thế nào để tạo một quy tắc vùng Internet

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Trong cây giao diện điều khiển, nhấp vào Các chính sách hạn chế phần mềm.
  4. Trong giao diện điều khiển cây hoặc ngăn chi tiết, bấm chuột phải vàoQuy tắc bổ sung, sau đó bấm Quy tắc vùng Internet mới.
  5. Trong Vùng Internet, bấm vào một vùng Internet.
  6. Trong các Mức bảo mật hộp, bấm vào một trong hai Không được phep hoặc Không bị giới hạn, sau đó bấm Ok.
Chú ý:
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Khu quy tắc áp dụng cho Windows Installer gói chỉ.
  • Các loại tập tin duy nhất bị ảnh hưởng bởi luật lệ khu là những người được liệt kê trong Loại tệp được chỉ định. Đó là một danh sách các tập tin được chỉ định loại được chia sẻ bởi tất cả quy tắc.
  • Đối với các chính sách hạn chế phần mềm có hiệu lực, người sử dụng phải cập nhật thiết đặt chính sách đăng xuất từ và sau đó đăng nhập vào để của họ các máy tính.
  • Khi nhiều hơn một quy tắc được áp dụng cho thiết đặt chính sách, đó là một ưu tiên của các quy tắc để xử lý xung đột.

Làm thế nào để tạo một quy tắc đường dẫn

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Trong giao diện điều khiển cây hoặc ngăn chi tiết, bấm chuột phải vàoQuy tắc bổ sung, sau đó bấm Quy tắc đường mới.
  4. Trong các Đường dẫn hộp, gõ đường dẫn hoặc nhấp vào Trình duyệt để tìm một tệp hoặc cặp.
  5. Trong các Mức bảo mật hộp, bấm vào một trong hai Không được phep hoặc Không bị giới hạn.
  6. Trong các Mô tả hộp, gõ một mô tả cho quy tắc này và sau đó nhấp vào Ok.

    Quan trọng: Trên thư mục nhất định, chẳng hạn như trong thư mục Windows, thiết lập các mức bảo mật cho Không được phep có thể ảnh hưởng đến hoạt động của hệ thống điều hành của bạn. Làm cho chắc chắn rằng bạn không không cho phép một phần quan trọng về hệ điều hành hoặc một trong các chương trình phụ thuộc.
Chú ý:
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Nếu bạn tạo một quy tắc đường dẫn cho một chương trình với một bảo mật mức độ Không được phep, một người sử dụng vẫn có thể chạy phần mềm bằng cách sao chép nó khác vị trí.
  • Ký tự được hỗ trợ bởi các quy tắc đường dẫn là dấu hoa thị (*) và câu hỏi mark (?).
  • Bạn có thể sử dụng biến môi trường, chẳng hạn như % programfiles % hoặc % systemroot %, trong quy tắc đường dẫn của bạn.
  • Để tạo một quy tắc đường dẫn cho phần mềm khi bạn không biết nơi nó được lưu trữ trên một máy tính nhưng bạn có khóa registry của nó, bạn có thể tạo một quy tắc đường dẫn đăng ký.
  • Để ngăn người dùng chạy phần đính kèm thư điện tử, bạn có thể tạo một quy tắc đường dẫn cho chương trình thư đính kèm cặp có thể ngăn chặn người dùng chạy tập tin đính kèm e-mail.
  • Các loại tập tin duy nhất bị ảnh hưởng bởi đường dẫn quy tắc là những người được liệt kê trong Loại tệp được chỉ định. Đó là một danh sách các tập tin được chỉ định loại được chia sẻ bởi tất cả quy tắc.
  • Đối với các chính sách hạn chế phần mềm có hiệu lực, người sử dụng phải cập nhật thiết đặt chính sách đăng xuất từ và sau đó đăng nhập vào để của họ các máy tính.
  • Khi nhiều hơn một quy tắc được áp dụng cho thiết đặt chính sách, đó là một ưu tiên của các quy tắc để xử lý xung đột.

Làm thế nào để tạo một quy tắc đường dẫn đăng ký

  1. Nhấp vào Bắt đầu, bấm Chạy, loại regedit, sau đó bấm Ok.
  2. Trong cây giao diện điều khiển, kích chuột phải vào sổ đăng ký khóa mà bạn muốn tạo ra một quy tắc cho, và sau đó nhấp vào Sao chép chìa khóa tên.
  3. Lưu ý giá trị tên trong ngăn chi tiết.
  4. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  5. Mở các chính sách hạn chế phần mềm.
  6. Trong giao diện điều khiển cây hoặc ngăn chi tiết, bấm chuột phải vàoQuy tắc bổ sung, sau đó bấm Quy tắc đường mới.
  7. Trong Đường dẫn, dán sổ đăng ký khóa tên và tên giá trị.
  8. Kèm theo các đường dẫn đăng ký ở phần trăm dấu hiệu (%), cho Ví dụ:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. Trong các Mức bảo mật hộp, bấm vào một trong hai Không được phep hoặc Không bị giới hạn.
  10. Trong các Mô tả hộp, gõ một mô tả cho quy tắc này và sau đó nhấp vào Ok.
Chú ý:
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Bạn phải là thành viên của nhóm người quản trị để thực hiện thủ tục này.
  • Định dạng đường dẫn đăng ký như sau:
    % Registry Hive\ Đăng ký khóa tên\ Giá trị tên%
  • Bạn phải viết ra tên hive đăng ký; bạn không thể sử dụng chữ viết tắt. Ví dụ, bạn không thể thay thế HKCU cho HKEY_CURRENT_USER.
  • Quy tắc đường dẫn cơ quan đăng ký có thể chứa một hậu tố sau khi các đóng cửa phần trăm ký (%). Không sử dụng xuyệc ngược (\) trong các hậu tố. Cho Ví dụ, bạn có thể sử dụng quy tắc đường dẫn đăng ký sau đây:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Các loại tập tin duy nhất bị ảnh hưởng bởi đường dẫn quy tắc là những người được liệt kê trong Loại tệp được chỉ định. Đó là một danh sách các tập tin được chỉ định loại được chia sẻ bởi tất cả quy tắc.
  • Đối với các chính sách hạn chế phần mềm có hiệu lực, người sử dụng phải cập nhật thiết đặt chính sách đăng xuất từ và sau đó đăng nhập vào để của họ các máy tính.
  • Khi nhiều hơn một quy tắc được áp dụng cho thiết đặt chính sách, đó là một ưu tiên của các quy tắc để xử lý xung đột.

Làm thế nào để thêm hoặc xóa bỏ một loại tệp đặt tên là

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Trong ngăn chi tiết, bấm đúp vào Loại tệp được chỉ định.
  4. Thực hiện một trong những bước sau đây như là thích hợp:
    • Thêm loại tệp, gõ tên tập tin mở rộng trong các Phần mở rộng tệp hộp, và sau đó nhấp vào Thêm.
    • Để xóa một tập tin kiểu, nhấp vào loại tệp trong các Loại tệp được chỉ định hộp, và sau đó nhấp vào Gỡ bỏ.
Chú ý:
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Danh sách loại tệp được chỉ được chia sẻ bởi tất cả các quy tắc cho mỗi cấu hình. Danh sách loại tệp được chỉ định cho thiết đặt chính sách máy tính khác với danh sách loại tệp được chỉ định cho người sử dụng chính sách thiết đặt.

Làm thế nào để thay đổi mặc định an ninh cấp của phần mềm hạn chế chính sách

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Trong ngăn chi tiết, bấm đúp vào Mức bảo mật.
  4. Nhấp chuột phải vào mức độ bảo mật mà bạn muốn thiết lập là các mặc định, và sau đó nhấp vào Đặt như mặc định.

    Lưu ý: Trong các thư mục nhất định, nếu bạn đặt bảo mật mặc định cấp để Không được phep, bạn có thể ảnh hưởng đến hệ thống điều hành của bạn.
Chú ý:
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Trong ngăn chi tiết, mức độ bảo mật mặc định hiện nay là ngụ ý bằng một vòng tròn màu đen với một dấu kiểm trong nó. Nếu bạn bấm chuột phải vào các cấp độ an ninh mặc định hiện tại, các Đặt như mặc định bộ chỉ huy không xuất hiện trong trình đơn.
  • Quy tắc được tạo ra để chỉ định ngoại lệ đối với mặc định mức bảo mật. Khi mức độ bảo mật mặc định được thiết lập để Không bị giới hạn, quy tắc xác định phần mềm không được phép chạy. Khi các mức bảo mật mặc định được thiết lập để Không được phep, quy tắc xác định phần mềm này được phép chạy.
  • Nếu bạn thay đổi mức mặc định, bạn ảnh hưởng đến tất cả các tệp trên các máy tính có các chính sách hạn chế phần mềm được áp dụng cho họ.
  • Tại cài đặt mặc định mức bảo mật của phần mềm chính sách hạn chế trên tất cả các tệp trên máy tính của bạn được thiết lập để Không bị giới hạn.

Làm thế nào để đặt tùy chọn tin cậy nhà phát hành

  1. Nhấp vào Bắt đầu, bấm Chạy, loại MMC, sau đó bấm Ok.
  2. Mở các chính sách hạn chế phần mềm.
  3. Bấm đúp Các nhà xuất bản tin cậy.
  4. Nhấp vào những người bạn muốn để quyết định những giấy chứng nhận sử dụng sẽ được tin cậy và bấm Ok.
Chú ý:
  • Bạn có thể phải tạo mới chính sách hạn chế phần mềm thiết đặt cho GPO này nếu bạn không làm như vậy.
  • Bạn có thể chọn những người có thể thêm các nhà xuất bản tin cậy, người sử dụng, quản trị viên hoặc người quản trị doanh nghiệp. Ví dụ, bạn có thể sử dụng này công cụ để ngăn chặn người dùng từ việc ra quyết định tin tưởng về nhà xuất bản của ActiveX Điều khiển.
  • Quản trị viên máy tính cục bộ có quyền được chỉ định nhà xuất bản tin cậy trên máy tính cục bộ, nhưng nhà quản trị doanh nghiệp có quyền chỉ định các nhà xuất bản tin cậy trên một mức độ đơn vị tổ chức.
kbmgmtsvc

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 324036 - Xem lại Lần cuối: 08/27/2011 16:26:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbmgmtservices kbhowto kbhowtomaster kbmt KB324036 KbMtvi
Phản hồi