软件限制策略(1)

随着系统的发展,软件的功能和总类也越来越多了,在给我们提供了更方便、更快捷的办公和娱乐方式,同时也给IT管理者带来了新的难题,软件的管理。当然如果站在员工的角度来说,谁不希望上班的时候,可以一边听音乐一边办公;谁不希望办公有点累了,放点电影看看。但如果站在老板的角度来说,这些都不是老板所希望的,工作的时候,希望员工在专心工作,而不是边工作边做其他的事情,这样就会出现老板让限制员工安装软件,使用软件;对于软件的安装我们可以不给本地管理员权限,但对于软件的使用呢?有人说不安装就不会存在使用问题,那就错了,首先说的就是绿色软件,这是没办法限制的,不需要安装,即使不是管理员同样可以使用;

本文所演示的只是单纯的利用技术,通过组策略限制软件的使用,并不包含行政,实际使用中应答与行政相结合;

优势是很明显的,它是系统的一部分,不存在兼容性问题,不占用内存,属于系统最底层保护,保护能力远不是HIPS可以比拟的。

劣势也很明显,与HIPS相比,它不够灵活和智能,不存在学习模式,它只会默认阻止或放行,不会询问用户,若规则设置不当,可能导致某些程序不能运行

注意:

1、不建议直接修改默认的域策略;:

因为在自定义策略出问题的时候,可以重新使用默认策略;

2、为软件限制策略创建单独的组策略对象:

在某些特殊的情况下可以禁用该策略,但不会影响其他策略;

3、为获得最佳的安全性,请与访问控制列表搭配使用:

用户可能会通过重命名或移动不被允许的文件来设法绕过软件限制策略。因此,建议使用访问控制列表 (ACL) 拒绝用户在执行这些任务时所需的访问。

4、在使用到生产环境之前,应先经过试验环境的测试:

可以减少部署时出现突发状况和故障率;

更多注意事项,请参阅软件限制策略最佳操作: http://technet.microsoft.com/zh-CN/library/cc739214

下面我们看一看软件限制策略的具体操作吧:

1、点击“开始”,在搜索栏输入“gpmc.msc”,打开“组策略管理器”

2、在前面注意事项,就说多,建议为软件策略创建单独的组策略,这样可以在突发状况的情况下,可以禁用软件限制策略,而不影响到其他策略;所以这里原来有了一个组策略,在这里又重新建了一条组策略,右击你想要创建组策略的OU“IT”,选择“在这个域中创建GPO并在此处链接”;

3、在名称输入框内,给该策略新建一个友好的名称;

4、新建号策略之后,就要对策略进行编辑了,右击刚刚创建的策略“软件限制”并选择“编辑”;

5、打开“组策略管理编辑器”,展开“计算机配置—策略—Windows 设置—安全设置—软件限制策略”,你可以看到此时的状态是“没有定义软件限制策略”;右击“软件限制策略”并选择“创建软件限制策略”;

6、默认情况下,所有软件都是不受限制的,只是受到用户访问权限的限制;选择“软件限制策略”下面的“安全级别”,双击右边的“不允许”;

7、打开“不允许”属性窗口,选择“设为默认”;

8、选择“设为默认”后,会弹出一个类似“警告”的对话框,问你是否继续,选择“是”;然后选择“确定”;

9、这个时候,我们在客户端登陆,运行软件的时候,会出现这样的报错,同样打开软件安装路径也运行软件也会有这样的报错,没办法运行;

10、软件已经是限制了,但允许的软件怎么运行呢?选择“软件限制策略”下面的“其他规则”;

我们先来看看什么是路径规则:

如果计算机的默认安全级别为“不允许的”,您仍然可以授权每个用户不受限制地访问特定文件夹。创建路径规则的方法是:使用文件路径并将该路径规则的安全级别设为“不受限的”。

11、在右边空白处右击,选择“新建路径规则”;

12、打开新建路径规则对话框,选择“浏览”;

13、找到对应的路径,选择“确定”;(我这里演示的是C:\Program Files,但我下面客户端演示的是C:\Program Files(X86)路径,是一个重复添加的过程,我就没有截图了。在生产环境中要指定到你安装软件的文件夹路径即可,所以建议客户端软件都安装在统一的同一个文件夹下面,这样可以少做一些路径规则。)回到新建路径规则对话框,其他直接使用默认设置,选择“确定”;

14、此时我们在登录到客户端,打开桌面上的图标,你会看到错误提示依旧在,“C:\Program Files(X86)\Tencent\QQ\bin”目录下,运行QQ的时候,是可以运行的,那么说明我们做的路径策略正确了,至于桌面的为什么不行,我们在后面会说;

注意:修改组策略后,不是立即生效的,需要我们手动强制刷新,在cmd下输入“gpupdate 
/force”;当然你也可以通过重启来刷新组策略;在后面我会省略这个过程。

当然路径规则中也可以使用环境变量,后面讲到桌面以及一些其他位置的时候,我们在细说;

关于路径规则使用的一些注意事项:http://technet.microsoft.com/zh-CN/library/cc781337

时间: 2024-10-01 13:42:07

软件限制策略(1)的相关文章

如何将软件限制策略发挥大作用

如何将软件限制策略发挥大作用根本在于规则设置,当然首先增加权限用户.它的方法是:当然基本用户 .受限的.不信任的 这三个安全等级是要手动打开的,开注册表编辑器,展开HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers新建一个DOWRD,命名为Levels,其值可以为设成0x31000(即4131000)即可,这样每条规则下多了基本用户 .受限的.不信任的权限.然后增加和删除文件类型:加dat 删除

软件限制策略(2)

上接:http://yupeizhi.blog.51cto.com/3157367/1619158 15.刚刚我们说的是路径规则,那么还有其他规则呢?下面我们说说哈希规则吧,什么是哈希规则: 哈希是可对软件程序或文件进行唯一标识的一系列定长字节.哈希按哈希算法计算出来.为软件程序创建了哈希规则后,软件限制策略会求出该程序的哈希.当用户试图打开软件程序时,系统会将该程序的哈希与软件限制策略的已有哈希规则进行比较.所以说哈希规则有个确定,就是软件升级后,哈希规则可能会变,那么这时候,哈希规则就没有什

多版本软件构建策略分析

原文:多版本软件构建策略分析 主要分析存在多个版本特性时的软件构建策略.多个版本特性在有些情况下仅仅对应于软件的本地化,复杂的情况就是不同版本中模块的业务逻辑.呈现策略都不相 同.这不仅在产品开发过程中增加成本,更多的成本将在维护阶段体现出来.因此,选择一个合适的构建策略对降低开发与维护成本都是非常重要的. 一.传统软件构建策略 不同的版本采用不同的代码,通过派生或直接使用不同的代码实现.每个版本都会对应到一份的这个版本相关的代码.在代码发布成产品时,我们还需要一个build过程,将源码打包发布

操作失误把软件限制策略的安全级别设置为不允许之后的解决办法

客户端有一个软件卸载失败,而且每次开机会自动运行,于是就想到了用软件限制策略禁止它运行,眼不见为净,下面开始动手. 开始菜单运行gpedit.msc,依次点击"计算机配置"-"windows设置"-"安全设置"-"软件限制策略",右键选择创建软件限制策略-安全级别-不允许,右键设置为默认,手快一步点击了是,并关闭了这个窗口,在客户端重启了电脑之后,悲催的问题来了,无法打开任何应用和可执行程序.怎么办?下面正式来讲解决办法. 第

解决由于一个软件限制策略的阻止,windows无法运行此程序cmd.reg

解决由于一个软件限制策略的阻止,windows无法运行此程序cmd.reg Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{28932aa4-77d2-452f-9436-d8c62a84208e}][-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\

网络安全系列之五十二 组策略中的软件限制策略

在组策略编辑器中展开"计算机配置/Windows设置/安全设置/软件限制策略",通过设置软件限制策略,可以限制用户在计算机上使用某些未经许可的软件,从而提高安全性. 下面以禁用记事本程序为例来介绍其相关操作. 在"软件限制策略"上单击右键,选择"创建软件限制策略",在下面会多出"安全级别"和"其它规则"2个项目,在"其它规则"上单击右键,可以选择创建4种不同的软件限制规则. 这4种规则分

源中瑞自动挂单交易机器人软件量化策略交易系统开发

量化交易的使用率非常之高,其可以解决许多因行情波动导致人为因素的错误交易而带来的损失,而如今在数字资产中也被广泛使用.量化交易定义根据源中瑞对量化交易的研究可知,量化交易是指玩家使用计算机技术等方法将自己的操作方式,用很明确的方式去定义和描述,用以协助投资者进行投资决策,并且严格的按照所设定的规则去执行交易策略(买.卖)的交易方式.按照数学模型的理念和对计算机技术的使用的方式,量化交易方式可以进一步细分为自动化交易.数量化交易.程序化交易.算法交易.以及高频交易.自动化交易指将技术分析投资方式固

Windows Server 2012活动目录基础配置与应用(新手教程)之10---基于组策略的软件部署

通过组策略,可以将软件部署给域内的计算机,也就是用户登录或计算机启动时,可以自动安装或很容易安装所部署的软件. 软件部署分为两种方式:分配(Assign,又译作指派)和发布(Publish).一般情况下,被部署的软件应为Windows Installer Package,即具有*.msi格式的安装文件.可以将软件分配给用户或分配给计算机,但是发布的方式只能发布给用户.下面通过实验了解二者的区别. (1)软件发布给用户:当软件通过组策略发布给用户后,此软件不会自动安装.只有用户登录后,通过控制面板

09、组策略之软件分发(06)

利用组策略实现网络安全 1.软件限制策略:路径规则+哈希规则 ->禁用qq或winrar2.ipsec安全策略,实现不允许连接某服务器(192.168.2.3)的网站3.优化系统服务危险:Telnet .Task Scheduler.Remote Registry.Messenger可以停止:ClipBook ,Print Spooler(无打印机),Wired AutoConfig, gpmc的使用 1.软件限制策略:路径规则+哈希规则 ->禁用qq或winrar 2.ipsec安全策略,实