通过组策略限制软件
原则与操作
软件限制原则可以帮助我们去控管软件,提升电脑的安全性与管理性,便于限制在上班时间禁止运行的程序,减少资源消耗。我们可以在公司中定义一个群组原则物件(Group Policy Object GPO),将这个原则连接到我们所要控管的范围,只要是在这个范围内的主机就会全部受到这个原则的控管,所以,就使用与部署可以说相当方便。
软件限制原则主要可以用来执行下列控管操作:
1. 控制不当应用程序运行,间接可以抵抗病毒;
2. 在IE中管理可以下载的ActiveX控制项;
3. 控管只能执行有数字签名的代码;
4. 确保只有同意的软件才能安装在电脑系统上。
预设规则
软件限制可以通过两项不同的预设规则来管理:一个是宽松管理,也就是预设上不进行任何控管,只控制指定的程序不可以运行;一个是严格管理,也就是预设上不允许所有软件运行,只有特定的程序可以运行。按照这套逻辑,内建有两个不同的规则:
1. 没有限制:这条规则允许执行所有软件,除非“其他原则”中有另外定义不可以运行的软件。此原则可以让用户安装新的软件程序,但仍然让系统管理员有能力可以锁定需要控管的软件,阻止该软件在用户的电脑上运行。当管理员发现新的病毒或其他不允许运行的软件插件时,系统管理员可以立即更新规则,将新的软件纳入其中,阻止该软件在用户的电脑上运行。但是用户必须重新开机,或是注销之后再重新登录,才会应用新的软件规则。
2. 不允许:此规则不允许任何软件在用户电脑上运行,除非“其他原则”中有另外定义可以运行的软件。此规则只建议应用于极高安全性或锁定只可以运行特定软件的环境中。因为每套允许运行的应用程序都必须逐一比对规则,而且每次软件插件中应用Service Pack时,就必须更新规则,所以管理维护上成本教高。
应用方式
软件限制规则在有Active Directory网域的环境中可以整合在群组原则中;而在独立电脑上,也可以通过本机组策略加以设置。应用的方式跟一般组策略中的电脑规则一样:
1. 系统管理员使用组策略MMC嵌入Active Directory管理单元,为Active Directory的站点、网域或组织单位建立原则。
2. 网域中的电脑启动时,设置在群组原则中的电脑规则下载并应用到电脑上,而用户规则是在下一次登录时套用。
案例分析
本文针对AD网域的环境下做集体部署设置,对MSN进行控管。
1. 开启AD管理工具,找到要应用软件限制的网域或组织单位中,编辑群组原则物件。
2. 下跳到“电脑设置”中的“Windows设置”的“安全性设置”选项,点开后就会看到软件限制策略,预设的规则中没有定义任何的软件限制规则。
3. 用鼠标右键一下“软件限制策略”,然后按一下“新增软件限制策略”。
4. 在此我们可以设置“哈希”、“证书”、“路径”和“网络区域”规则,以符合组织的需求。本例中,选择“新增哈希规则”。
5. 指定将要限制的软件MSN程序,此时限制规则系统会为该软件进行哈希运算,以便得出将来要比对的哈希值。
6. 按下确定,关闭AD管理工具画面即可。
7. 重新启动用户主机,启动时用户电脑自动应用所设置的规则。
测试结果
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。