第16章 软件限制策略

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,软件限,制,制策略,（,softwarerestrictionPolicy,）,）,14,本章主,要,要介绍,的,的内容,软件策,略,略限制,概,概论,启用软,件,件限制,策,策略,任务一,、,、软件,限,限制策,略,略概述,13,一、软,件,件限制,策,策略优,先,先级,本地计,算,算机策,略,略,站点策,略,略,域策略,OU,策略,优先级,别,别由低,到,到高,二、软,件,件限制,策,策略规,则,则,不受限,的,的（,unrestricted,）,软件限,制,制策略,安,安全级,别,别：,所有等,录,录的用,户,户都可,以,以运行,指,指定的,软,软件,不允许,的,的（,disallowed,）,不论用,户,户对软,件,件有哪,种,种访问,权,权限，,都,都不允,许,许运行,.,系统默,认,认的安,全,全级别,是,是所有,软,软件“,不,不受限,制,制”,.,如下图,:,三、制,定,定软件,限,限制策,略,略,哈希规,则,则,证书规,则,则,路径规,则,则,Internet,区域规,则,则,规则有,高,高到低,(,对一个,软,软件设,置,置多个,限,限制规,则,则,),1,、建立,哈,哈希规,则,则,“哈希,（,（,hash,）”是,根,根据软,件,件程序,的,的内容,计,计算得,出,出的一,连,连串固,定,定数目,的,的字节,。,。当用,户,户要运,行,行此软,件,件的时,候,候，用,户,户的计,算,算机就,会,会对比,其,其自行,算,算出的,“,“哈希,”,”值，,判,判断是,否,否与软,件,件限制,策,策略中,的,的“哈,希,希”值,相,相同，,如,如果相,同,同，就,拒,拒绝让,此,此软件,运,运行。,步骤一,、,、,“其他,规,规则”,“,新建哈,希,希规则,”,”,“,浏览”,步骤二,、,、通过,浏,浏览来,选,选择需,要,要限制,的,的软件,“实验,中,中以,winRAR.exe,为例”,winRAR.exe,的哈希,值,值,将“安,全,全级别,”,”设置,为,为“不,允,允许”,完成后,的,的画面,步骤三,、,、用受,限,限制组,中,中的成,员,员等录,运,运行“,winrar,”,”,就会出,现,现下面,的,的提示,:,2,、建立,路,路径规,则,则,“,path rule,”,”,软件策,略,略也可,以,以用软,件,件所在,的,的路径,来,来辨识,软,软件,例如,:,指定用,户,户可以,运,运行位,于,于某个,文,文件夹,内,内的软,件,件。路,径,径可以,使,使用环,境,境变量,常用的,有,有,%userprofile%,、,%windir%,、,%appdata%,、,%programfile%,、,%temp%,。不过,在,在限制,中,中，文,件,件被移,动,动到其,他,他文件,夹,夹中则,限,限制自,动,动撤除,。,。另外,也,也可以,通,通过“,注,注册表,”,”来实,现,现。,步骤一,、,、“其,他,他规则,”,”,“,新建路,径,径规则,”“,浏览”,选择网,络,络路径,(,网络共,享,享文件,或,或本地,文,文件夹,):,完成后,的,的画面,实验,A：,哈希规,则,则和路,径,径规则,