windows xp 客戶端的軟件限制策略

1、WindowsXP客戶端的軟件限制策略更新日期：2004年03月01日chinatechsecurityguidancesecmod65.mspx本頁內(nèi)容本頁內(nèi)容本模塊內(nèi)容目標適用范圍如何使用本模塊軟件限制策略軟件限制策略體系結(jié)構(gòu)軟件限制策略選項軟件限制策略的設(shè)計和部署摘要本模塊內(nèi)容本模塊內(nèi)容MicrosoftWindowsXPProfessional和MicrosoftWindowsServer?2003提供了“軟件限制策略”功能，管

2、理員可用來控制軟件在本地計算機上運行的能力。通過此功能，管理員可以防止用戶運行未經(jīng)授權(quán)的軟件，并提供了其他保護措施以防病毒和特洛伊木馬程序的攻擊。由于軟件限制策略已集成到組策略中，因此可將其部署在MicrosoftActiveDirecty目錄服務(wù)域中。此外，還可將軟件限制策略部署在獨立計算機中。返回頁首目標目標使用本模塊可以實現(xiàn)下列目標：?設(shè)計和部署軟件限制策略?選擇正確的規(guī)則類型并使用它來標識軟件?控制軟件限制策略使用的檢查級別?將

3、軟件限制策略配置為始終允許管理員運行軟件返回頁首適用范圍適用范圍本模塊適用于下列產(chǎn)品和技術(shù)：軟件限制策略體系結(jié)構(gòu)軟件限制策略體系結(jié)構(gòu)軟件限制策略體系結(jié)構(gòu)提供了下列強大功能：?基于域或本地計算機的策略實施基于域或本地計算機的策略實施。管理員創(chuàng)建該策略，然后定義哪些應(yīng)用程序是受信任的應(yīng)用程序，哪些不是受信任的應(yīng)用程序。該策略在運行時強制實施，用戶不會收到允許其選擇是否運行可執(zhí)行文件的提示。?應(yīng)用范圍并不僅局限于可執(zhí)行文件的策略應(yīng)用范圍并不僅

4、局限于可執(zhí)行文件的策略。軟件的構(gòu)成尚無明確定義。該策略可以控制MicrosoftVisualBasicingEdition(VB)、MicrosoftJ以及其他腳本語言。它還與WindowsInstaller功能集成在一起，以控制可以在客戶端上安裝哪些程序包。此功能包含一個應(yīng)用程序編程接口(API)，用于協(xié)調(diào)策略運行時與其他運行時。?可縮放的策略可縮放的策略。該策略在擁有多種計算機類型和應(yīng)用程序的大型企業(yè)中必須具有可管理性，但同時它還必

5、須在單獨的環(huán)境中運行。軟件限制策略利用ActiveDirecty和組策略實現(xiàn)可管理性。該策略存儲在GPO中。還可以通過將GPO存儲為本地計算機策略對象，在單獨的非域聯(lián)接環(huán)境中使用此策略功能。?靈活策略靈活策略。管理員可以靈活地禁止未授權(quán)腳本的運行，并可調(diào)整MicrosoftActiveX控件或鎖定客戶端。?啟用嚴格加密以標識軟件的策略啟用嚴格加密以標識軟件的策略。該策略可以使用哈希、證書或簽名標識軟件。實現(xiàn)軟件限制策略體系結(jié)構(gòu)的過程包括

6、三個階段：1.管理員或委托機構(gòu)使用組策略Microsoft管理控制臺(MMC)管理單元為ActiveDirecty容器站點、域或OU創(chuàng)建策略。Microsoft建議為軟件限制策略創(chuàng)建單獨的GPO。注意：注意：要為本地獨立計算機新建軟件限制策略，您必須是本地計算機中Administrats組的成員。要配置這些設(shè)置，請單擊“Windows設(shè)置”、“安全設(shè)置”，然后單擊“軟件限制策略”。2.計算機級策略在啟動時下載并生效。用戶策略在用戶登錄到

7、系統(tǒng)或域時生效。要更新策略，請使用gpupdate.exefce命令訪問該策略。3.當用戶啟動程序或腳本、操作系統(tǒng)或腳本主機時，該策略將根據(jù)強制實施的優(yōu)先規(guī)則來確定它是否可以運行。不受限或不允許設(shè)置不受限或不允許設(shè)置軟件限制策略由兩部分組成：?用于確定哪些程序可以運行的默認規(guī)則。?默認規(guī)則的例外清單。可以將用于標識軟件的默認規(guī)則設(shè)置為“不受限的”或“不允許的”（實際上是指運行還是不運行）。將默認規(guī)則設(shè)置為“不受限的”允許管理員定義例外內(nèi)