軟件限制策略概述

1、軟件限制策略軟件限制策略（software restriction Policysoftware restriction Policy） 1本章主要介紹的內(nèi)容本章主要介紹的內(nèi)容軟件策略限制概論啟用軟件限制策略2任務(wù)一、軟件限制策略概述任務(wù)一、軟件限制策略概述 3一、軟件限制策略優(yōu)先級(jí)一、軟件限制策略優(yōu)先級(jí)本地計(jì)算機(jī)策略本地計(jì)算機(jī)策略站點(diǎn)策略站點(diǎn)策略域策略域策略O(shè)UOU策略策略優(yōu)先級(jí)別由低到高4二、軟件限制策略規(guī)則二、軟件限制策略規(guī)則不受限的（unrestricted）軟件限制策略安全級(jí)別：軟件限制策略安全級(jí)別：所有登錄的用戶都可以運(yùn)行指定的軟件所有登錄的用戶都可以運(yùn)行指定的軟件, ,只要它只要

2、它具備相關(guān)安裝權(quán)限具備相關(guān)安裝權(quán)限. .不允許的（disallowed）不論用戶對(duì)軟件有哪種訪問(wèn)權(quán)限，都不不論用戶對(duì)軟件有哪種訪問(wèn)權(quán)限，都不允許運(yùn)行允許運(yùn)行.系統(tǒng)默認(rèn)的安全級(jí)別是所有軟件系統(tǒng)默認(rèn)的安全級(jí)別是所有軟件“不受限制不受限制”.如下如下圖圖:56三、制定軟件限制策略三、制定軟件限制策略哈希規(guī)則哈希規(guī)則證書(shū)規(guī)則證書(shū)規(guī)則路徑規(guī)則路徑規(guī)則Internet Internet 區(qū)域規(guī)則區(qū)域規(guī)則規(guī)則有高到低規(guī)則有高到低(對(duì)一個(gè)軟件設(shè)置多個(gè)限制規(guī)則對(duì)一個(gè)軟件設(shè)置多個(gè)限制規(guī)則)71、建立哈希規(guī)則、建立哈希規(guī)則 “ “哈希（哈希（hashhash）”是根據(jù)軟件程序的內(nèi)容計(jì)算得是根據(jù)軟件程序的內(nèi)容計(jì)算得出

3、的一連串固定數(shù)目的字符。當(dāng)用戶要運(yùn)行此軟出的一連串固定數(shù)目的字符。當(dāng)用戶要運(yùn)行此軟件的時(shí)候，用戶的計(jì)算機(jī)就會(huì)對(duì)比其自行算出的件的時(shí)候，用戶的計(jì)算機(jī)就會(huì)對(duì)比其自行算出的“哈希哈希”值，判斷是否與軟件限制策略中的值，判斷是否與軟件限制策略中的“哈哈希?！敝迪嗤?，如果相同，就拒絕讓此軟件運(yùn)行。值相同，如果相同，就拒絕讓此軟件運(yùn)行。8步驟一、“其他規(guī)則”“新建哈希規(guī)則”“瀏覽”9步驟二、通過(guò)瀏覽來(lái)選擇需要限制的軟件 “實(shí)驗(yàn)中以winRAR.exe為例”winRAR.exewinRAR.exe的哈希值的哈希值將將“安全級(jí)別安全級(jí)別”設(shè)設(shè)置為置為“不允許不允許”10完成后的畫(huà)面完成后的畫(huà)面11步驟三、用受

4、限制組中的成員等錄運(yùn)行步驟三、用受限制組中的成員等錄運(yùn)行“winrar”就會(huì)出現(xiàn)下面的提示就會(huì)出現(xiàn)下面的提示:122、建立路徑規(guī)則、建立路徑規(guī)則 “ “path rule”path rule”軟件策略也可以用軟件所在的軟件策略也可以用軟件所在的路徑來(lái)辨識(shí)軟件路徑來(lái)辨識(shí)軟件, ,例如例如: :指定用戶可以運(yùn)行位指定用戶可以運(yùn)行位于某個(gè)文件夾內(nèi)的軟件。路徑可以使用環(huán)境于某個(gè)文件夾內(nèi)的軟件。路徑可以使用環(huán)境變量變量, ,常用的有常用的有%userprofile%userprofile%、%windir%windir%、%appdata%appdata%、%programfile%programfile%、%temp%temp%。不過(guò)。不過(guò)在限制中，文件被移動(dòng)到其他文件夾中則限在限制中，文件被移動(dòng)到其他文件夾中則限制自動(dòng)撤除。另外也可以通過(guò)制自動(dòng)撤除。另外也可以通過(guò)“注冊(cè)表注冊(cè)表”來(lái)來(lái)實(shí)現(xiàn)。實(shí)現(xiàn)。13步驟一、“其他規(guī)則”“新建路徑規(guī)則