實(shí)訓(xùn)-利用軟件限制策略限制客戶端安裝和運(yùn)行軟件

1、第第2 2章章 操作系統(tǒng)安全操作系統(tǒng)安全 實(shí)訓(xùn)實(shí)訓(xùn)2-42-4：利用軟件限制策略限制客戶端安裝和：利用軟件限制策略限制客戶端安裝和運(yùn)行軟件（學(xué)時(shí)）運(yùn)行軟件（學(xué)時(shí)） 本次課要點(diǎn)本次課要點(diǎn)學(xué)習(xí)目標(biāo)重點(diǎn)難點(diǎn)實(shí)訓(xùn)目的實(shí)訓(xùn)目的理解軟件限制策略的作用掌握限制用戶使用指定軟件的配置方法掌握限制用戶安裝軟件的方法掌握只允許用戶使用某些軟件的方法實(shí)訓(xùn)背景實(shí)訓(xùn)背景 在企業(yè)網(wǎng)絡(luò)中，企業(yè)管理員不允許用戶使用未授權(quán)軟件，而有些用戶使用QQ等聊天工具。此時(shí)，管理員要求網(wǎng)絡(luò)人員限制用戶使用非授權(quán)軟件。其實(shí)，限制用戶安裝和使用未授權(quán)軟件，對(duì)于整個(gè)企業(yè)的網(wǎng)絡(luò)安全也是有好處的，做了限制以后，有些病毒程序也不能運(yùn)行了。下面我們就來(lái)

2、看看怎樣通過(guò)組策略來(lái)限制用戶安裝和使用軟件。實(shí)訓(xùn)拓?fù)鋵?shí)訓(xùn)拓?fù)鋵?shí)訓(xùn)設(shè)備實(shí)訓(xùn)設(shè)備設(shè)備設(shè)備數(shù)量數(shù)量服務(wù)器（安裝windows2000/2003操作系統(tǒng)）1臺(tái)實(shí)訓(xùn)步驟實(shí)訓(xùn)步驟1.使用“不要運(yùn)行指定的Windows應(yīng)用程序”限制用戶使用未授權(quán)軟件2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件3.只允許開(kāi)通公司允許的軟件運(yùn)行4.限制用戶安裝軟件1.1.使用使用“不要運(yùn)行指定的不要運(yùn)行指定的WindowsWindows應(yīng)用程序應(yīng)用程序”限制用戶使用未授權(quán)軟件限制用戶使用未授權(quán)軟件1.1.使用使用“不要運(yùn)行指定的不要運(yùn)行指定的WindowsWindows應(yīng)用程序應(yīng)用程序”限制用戶使用未授權(quán)軟件限制用戶使用未授權(quán)軟件

3、（1）在運(yùn)行窗口中輸入命令“gpedit.msc”，打開(kāi)“組策略編輯器”，如所示。1.1.使用使用“不要運(yùn)行指定的不要運(yùn)行指定的WindowsWindows應(yīng)用程序應(yīng)用程序”限制用戶使用未授權(quán)軟件限制用戶使用未授權(quán)軟件（2）選擇【用戶配置】【管理模板】【系統(tǒng)】，然后雙擊右面板上的“不要運(yùn)行指定的Windows應(yīng)用程序”，在打開(kāi)的對(duì)話框中，選擇 ，然后單擊 按鈕，如所示。1.1.使用使用“不要運(yùn)行指定的不要運(yùn)行指定的WindowsWindows應(yīng)用程序應(yīng)用程序”限制用戶使用未授權(quán)軟件限制用戶使用未授權(quán)軟件（3）在“顯示內(nèi)容”對(duì)話框中，添加要限制的程序，比如，如果我們要限制使用記事本，那么就添加n

4、otepad.exe，如所示。1.1.使用使用“不要運(yùn)行指定的不要運(yùn)行指定的WindowsWindows應(yīng)用程序應(yīng)用程序”限制用戶使用未授權(quán)軟件限制用戶使用未授權(quán)軟件（4）單擊 按鈕，然后單擊 按鈕，完成組策略的設(shè)置，如所示。高級(jí).應(yīng)用(A).1.1.使用使用“不要運(yùn)行指定的不要運(yùn)行指定的WindowsWindows應(yīng)用程序應(yīng)用程序”限制用戶使用未授權(quán)軟件限制用戶使用未授權(quán)軟件（5）然后到客戶端做測(cè)試，雙擊“Notepad.exe”，會(huì)打開(kāi)限制窗口，如所示。1.1.使用使用“不要運(yùn)行指定的不要運(yùn)行指定的WindowsWindows應(yīng)用程序應(yīng)用程序”限制用戶使用未授權(quán)軟件限制用戶使用未授權(quán)軟件（

5、6）由于這種方式是根據(jù)程序名的，如果把程序名改一下就會(huì)不起作用了，比如我們把Notepad.exe改為notepad1.exe，再登錄，如所示，又可以使用該軟件了。2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（1）打開(kāi)“組策略”編輯器。（2）選擇【用戶配置】【W(wǎng)indows設(shè)置】【安全設(shè)置】【軟件限制策略】，右擊【軟件限制策略】，選擇“創(chuàng)建軟件限制策略”，如所示。2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（3）右擊【軟件限制策略】下的【其他規(guī)

6、則】，選擇“新建哈希規(guī)則”，在打開(kāi)的對(duì)話框中，單擊 按鈕，找到要限制的軟件“Notepade.exe”，如所示。2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（4）單擊 按鈕后，新建的哈希規(guī)則如所示。添 加2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（5）關(guān)閉組策略編輯器，哈希規(guī)則限制軟件使用就已經(jīng)建好了。我們到客戶端去測(cè)試打開(kāi)記事本，出現(xiàn)如下提示。2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（6）不過(guò)，這種方式也不是絕對(duì)的有效，如果軟件版本更新，那么我們就必須對(duì)新的版本做一次哈希規(guī)則，之

7、前做的哈希規(guī)則只能對(duì)配置時(shí)的軟件版本有效。如果這樣每次有軟件更新都做哈希規(guī)則的話，管理員的任務(wù)是很重的，所以這種方法雖然有用，不過(guò)不能算好的方法。3.3.只允許開(kāi)通公司允許的軟件運(yùn)行只允許開(kāi)通公司允許的軟件運(yùn)行3.3.只允許開(kāi)通公司允許的軟件運(yùn)行只允許開(kāi)通公司允許的軟件運(yùn)行（1）打開(kāi)“組策略編輯器”，選擇“用戶配置”-“管理模板”-“系統(tǒng)”，在右面板上雙擊“只運(yùn)行許可的Windows應(yīng)用程序”，如所示。2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（2）在“只運(yùn)行許可的Windows應(yīng)用程序 屬性”對(duì)話框中，選擇“已啟用”，然后單擊 按鈕，如所示。2.2.使用

8、哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（3）在“顯示內(nèi)容”對(duì)話框中，添加公司允許使用的軟件，如所示。單擊 按鈕，關(guān)閉組策略編輯器，完成組策略的設(shè)置。確 定2.2.使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件使用哈希規(guī)則來(lái)限制用戶使用未授權(quán)軟件（4）在客戶端，隨便找一個(gè)非允許的軟件，雙擊都會(huì)出現(xiàn)如所示對(duì)話框。OK，現(xiàn)在我們就已經(jīng)做到限制軟件的使用了。這種方法比前一種方法更為實(shí)用。4.4.限制用戶安裝軟件限制用戶安裝軟件4.4.限制用戶安裝軟件限制用戶安裝軟件由于我們域中有些用戶具有Power User權(quán)限，而擁有該權(quán)限的用戶是可以安裝軟件了，為了防止用戶未經(jīng)授權(quán)自行安裝軟件。我們必須對(duì)用戶做安裝軟件的限制。（1）打開(kāi)“組策略編輯器”4.4.限制用戶安裝軟件限制用戶安裝軟件（2）選擇【計(jì)算機(jī)配置】【W(wǎng)indows設(shè)置】【安全設(shè)置】【軟件限制策略】【安全級(jí)別】，然后在右側(cè)列表中右擊“不允許的”項(xiàng)