你目前正处于脱机状态,正在等待 Internet 重新连接

对 Windows XP 中软件限制策略的说明

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

概要
本文介绍 Windows XP 中的软件限制策略。

管理员可以使用软件限制策略以允许软件运行。通过使用软件限制策略,管理员可以禁止他们所不希望的软件的运行。这包括病毒和特洛伊木马软件,或者其他已知会导致问题的软件。
更多信息
您可以使用 Windows XP 中的“组策略”工具实施软件限制策略。若要启用软件限制策略,请使用下列两种方法之一:
  • 使用组策略
    1. 单击「开始」,然后单击“运行”
    2. 键入 gpedit.msc,然后单击“确定”
    3. 展开下列项目:
      计算机配置
      Windows 设置
      安全设置
      软件限制策略
  • 使用本地安全策略
    1. 单击「开始」,然后单击“运行”
    2. 键入 secpol.msc,然后单击“确定”
    3. 按照说明启用一个策略。

默认的安全级别和例外情况

您可以配置默认的安全级别,并定义附加的规则以作为这些默认规则的例外。默认的安全级别确定所有程序的行为。附加规则提供了默认安全级别的例外情况。两个安全级别为:
  • 不允许 - 如果将不允许设置为默认规则,则会禁止任何程序。您必须创建使特定程序能够运行的附加规则。

    不允许作为默认规则不是一种好的做法,除非管理员具有所允许程序的完整列表。
  • 无限制 - 如果将无限制设置为默认规则,则会允许所有程序运行。如果希望限制个别程序,必须创建附加的规则。

    如果管理员没有所允许程序的完整列表,则将无限制设置为默认规则是最好的,但需要阻止某些程序运行。

附加规则

您可以配置若干类型的附加规则:
  • 散列 - 使用“散列”规则,管理员可以列出要阻止或明确允许的程序文件。经过哈希处理后将形成一个加密指纹,无论文件名称或位置如何变化,此指纹都保持不变。可以使用此方法阻止某个程序的特定版本运行,或者使某个程序无论在什么位置都不能运行。Windows XP(所有 Service Pack 级别)中的问题会防止哈希规则用于 DLL 文件。在 Windows Server 2003 和更高版本的 Windows 中,哈希规则一定会正常运行。用于 Windows XP 的一个可能解决方法是,创建取消注册相关 DLL 文件的登录脚本,方法是使用下列命令:
    regsvr32 /u filename.dll
  • 证书 - 您可以通过提供一种代码签名的软件发行商证书来构建“证书”规则。与“散列”规则类似,“证书”规则的应用不考虑程序文件的位置或名称。
  • 路径 -“路径”规则应用于从指定的本地或网络路径以及从路径中的子文件夹中运行的所有程序。
  • Internet 区域 - 您可以使用“Internet 区域”规则基于程序运行的 Microsoft Internet Explorer 安全区域应用软件限制策略规则。目前,这些规则仅应用于从该区域运行的 Microsoft Windows 安装程序包。“Internet 区域”规则不适用于通过 Internet Explorer 下载的程序。

常规配置规则

除了默认安全规则和附加规则外,还可以定义常规配置规则,以确定在计算机上应用软件限制策略的方式。这些方法包括:
  • 强制 - 您可以使用“强制”设置确定哪些文件要强制应用规则,哪些用户服从安全限制策略配置。默认情况下,除库文件(如动态链接库,简称 DLL)之外的所有软件文件都服从安全限制策略设置。您可以将安全限制策略配置为应用于所有软件文件。注意,此方法要求您对程序所需要的每个库文件添加规则。

    默认情况下,所有用户都服从计算机上的安全限制策略设置。您可以对除本地管理员以外的所有用户配置强制规则,以让本地管理员能够运行不允许运行的程序。
  • 指定的文件类型 - 您可以使用此策略来配置安全限制策略设置应用于哪些文件类型。
  • 受信任的提供商 - 您可以使用“受信任的提供商”属性来配置哪些用户能够选择受信任的发行商。您还可以确定在信任某个发行商之前执行哪些证书吊销检查(如果存在)。

Windows 7 和 Windows Server 2008 R2 上的 AppLocker

尽管软件限制策略和 AppLocker 的目标相同,但 AppLocker 是软件限制策略的完整修订版。AppLocker 是在 Windows 7 和 Windows Server 2008 R2 中引入的。不能使用 AppLocker 管理软件限制策略设置。AppLocker 规则仅在运行 Windows 7 旗舰版和企业版或者 Windows Server 2008 R2 的所有版本的计算机上强制执行,但是软件限制策略规则在这些版本及早期版本上均会强制执行。

此外,如果 AppLocker 和软件限制策略设置配置在同一个组策略对象 (GPO) 中,但是只有在运行 Windows 7 和 Windows Server 2008 R2 的计算机上强制执行 AppLocker 设置。因此,如果必须在您的组织中使用软件限制策略和 AppLocker,建议您为可以使用 AppLocker 策略的计算机创建 AppLocker 规则,以及为运行 Windows 早期版本的计算机创建软件限制策略规则。

有关如何使用这两种软件限制技术的详细信息,请参阅 Microsoft TechNet 技术库中 AppLocker 主题:
srp
属性

文章 ID:310791 - 上次审阅时间:10/22/2009 10:35:02 - 修订版本: 3.0

  • Microsoft Windows XP Professional Edition
  • kbenv kbinfo KB310791
反馈