Beleid voor Software-beperking beheren
Van toepassing op: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
In dit onderwerp voor de IT-professional bevat procedures besturingselement toepassingsbeleid beperkende beleid (SRP) begin met Windows Server 2008 en Windows Vista beheren.
Inleiding
Beperking beleid (SRP) is Groepsbeleid op basis van een functie die programma's uitvoeren op computers in een domein te identificeren en bepaalt de capaciteit van deze programma's worden uitgevoerd. Beleid voor software-beperking u maakt een zeer beperkte configuratie voor computers, waarin u toestemming hebt alleen specifiek opgegeven toepassingen worden uitgevoerd. Deze zijn geïntegreerd met Microsoft Active Directory Domain Services en Groepsbeleid, maar kunnen ook worden geconfigureerd op zelfstandige computers. Zie voor meer informatie over SRP, deSoftwarerestrictiebeleid.
Beginnen metWindows Server 2008 R2enWindows 7Windows AppLocker kunnen worden gebruikt in plaats van of in overleg met SRP voor een deel van een toepassing beleid. Voor informatie over AppLocker inWindows Server 2012enWindows 8Zie deAppLocker overzicht [Client].
In dit onderwerp bevat:
Beleid voor Software-beperking openen
Nieuwe software beperkende beleid maken
Toevoegen of verwijderen van een aangewezen bestandstype
Om te voorkomen dat software beperkende beleid voor lokale beheerders zijn toegepast
Het standaardbeveiligingsniveau van beleid voor software-beperking wijzigen
Beleid voor software-beperking toepassen op dll-bestanden
Zie de volgende voor informatie over het uitvoeren van specifieke taken met SRP:
Beleid voor Software-beperking openen
Voor de lokale computer
Voor een domein zijn site of organisatie-eenheid en u op een server of op een werkstation dat is gekoppeld aan een domein
Voor een domein of organisatie-eenheid en u werkt op een domeincontroller of werkstation waarop de externe-serverbeheerprogramma's geïnstalleerd
Voor een site en u werkt op een domeincontroller of werkstation waarop de externe-serverbeheerprogramma's geïnstalleerd
Voor de lokale computer
Open Lokale beveiligingsinstellingen.
Klik in de consoleboomstructuurSoftware Restriction Policies.
Waar?
- Beperking van de beveiligingsbeleid Settings-Software
Notitie
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep Administrators op de lokale computer of moeten de juiste machtigingen aan u zijn toegewezen.
Voor een domein zijn site of organisatie-eenheid en u op een server of op een werkstation dat is gekoppeld aan een domein
Open Microsoft Management Console (MMC).
Op debestandmenu, klikt u opSoftware-moduleen klik vervolgens optoevoegen.
Klik opEditor voor lokaal groepsbeleid Objecten klik vervolgens optoevoegen.
InGroup Policy Object selecterenklikt u opBladeren.
InBladeren naar een Group Policy Objectselecteert u een Group Policy Object (GPO) in het juiste domein, site of organisatie - eenheid of maak een nieuwe en klik opVoltooien.
Klik opSluitenen klik vervolgens opOK.
Klik in de consoleboomstructuurSoftware Restriction Policies.
Waar?
Group Policy Object[computernaam] beleid/Computerconfiguratie of
Gebruiker en de Windows-configuratie-instellingen/Settings-Software beperking beveiligingsbeleid
Notitie
Voor deze procedure, moet u lid zijn van de groep Domeinadministrators.
Voor een domein of organisatie-eenheid en u werkt op een domeincontroller of werkstation waarop de externe-serverbeheerprogramma's geïnstalleerd
Open Group Policy Management Console.
Met de rechtermuisknop op de Group Policy Object (GPO) die u wilt openen, beleid voor software-beperking voor in de consoleboomstructuur.
Klik opBewerkenopenen van het groepsbeleidsobject dat u wilt bewerken. U kunt ook klikken opNieuween nieuw groepsbeleidsobject maken en klik vervolgens opBewerken.
Klik in de consoleboomstructuurSoftware Restriction Policies.
Waar?
Group Policy Object[computernaam] beleid/Computerconfiguratie of
Gebruiker en de Windows-configuratie-instellingen/Settings-Software beperking beveiligingsbeleid
Notitie
Voor deze procedure, moet u lid zijn van de groep Domeinadministrators.
Voor een site en u werkt op een domeincontroller of werkstation waarop de externe-serverbeheerprogramma's geïnstalleerd
Open Group Policy Management Console.
Met de rechtermuisknop op de site die u wilt instellen, Groepsbeleid voor in de consoleboomstructuur.
Waar?
- Active Directory-Sites en Services [naam_domeincontroller.domeinnaam] / Sites/Site
Klik op een item inGroup Policy objectkoppelingenselecteren van een bestaande Group Policy Object (GPO) en klik vervolgens opBewerken. U kunt ook klikken opNieuween nieuw groepsbeleidsobject maken en klik vervolgens opBewerken.
Klik in de consoleboomstructuurSoftware Restriction Policies.
Waar
Group Policy Object[computernaam] beleid/Computerconfiguratie of
Gebruiker en de Windows-configuratie-instellingen/Settings-Software beperking beveiligingsbeleid
Notitie
-
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep Administrators op de lokale computer of moeten de juiste machtigingen aan u zijn toegewezen. Als de computer is toegevoegd aan een domein, kunnen leden van de groep Domeinadministrators deze procedure mogelijk uitvoeren.
-
Als beleidsinstellingen die worden toegepast op computers, ongeacht welke gebruiker zich aanmeldt, klikt u opComputerconfiguratie.
-
Als u wilt instellen die wordt toegepast op gebruikers, ongeacht de computers waarop deze zich aanmelden, klikt u opGebruikersconfiguratie.
Nieuwe software beperkende beleid maken
Open beleid voor Software-beperking.
Op deactiemenu, klikt u opnieuwe Software Restriction Policies.
Waarschuwing
-
Andere beheerdersreferenties nodig zijn voor het uitvoeren van deze procedure, afhankelijk van uw omgeving:
-
Als u nieuwe software beperking beleidsregels voor de lokale computer maken:Lidmaatschap van de lokale groep Administrators of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
-
Als u nieuwe software beperkende beleid voor een computer die wordt toegevoegd aan een domein hebt gemaakt, kunnen leden van de groep Domeinadministrators deze procedure uitvoeren.
-
-
Als het beleid voor software-beperking al zijn gemaakt voor een Group Policy Object (Groepsbeleid) denieuwe Software Restriction Policiesopdracht niet wordt weergegeven op deactiemenu. Als u wilt verwijderen van de software beperking beleidsregels die worden toegepast op een Groepsbeleid in de consoleboomstructuur met de rechtermuisknop opSoftware Restriction Policiesen klik vervolgens opverwijderen Software Restriction Policies. Wanneer u beleid voor software-beperking voor een groepsbeleidsobject verwijdert, verwijdert u alle softwarerestrictiebeleidsregels ook voor dat object. Nadat u software beperkende beleid verwijderd, kunt u nieuwe software beperking beleidsregels voor dat object.
Toevoegen of verwijderen van een aangewezen bestandstype
Open beleid voor Software-beperking.
Dubbelklik in het detailvenster opaangewezen bestandstypen.
Voer een van de volgende handelingen uit:
Een bestandstype toevoegen inbestandsnaamextensietypt u de bestandsextensie en klik vervolgens optoevoegen.
Verwijderen van een bestandstypeaangewezen bestandstypenklikt u op het bestandstype en klik vervolgens opverwijderen.
Notitie
-
Andere beheerdersreferenties nodig zijn voor het uitvoeren van deze procedure, afhankelijk van de omgeving waarin u toevoegen of verwijderen van een aangewezen bestandstype:
-
Als u toevoegen of verwijderen van een aangewezen bestandstype voor de lokale computer:Lidmaatschap van de lokale groep Administrators of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
-
Als u nieuwe software beperkende beleid voor een computer die wordt toegevoegd aan een domein hebt gemaakt, kunnen leden van de groep Domeinadministrators deze procedure uitvoeren.
-
-
Mogelijk moet u een nieuwe instelling van de software-beperking voor de Group Policy Object (GPO) maken als u dit nog niet hebt gedaan.
-
De lijst met aangewezen bestandstypen wordt gedeeld door alle regels voor Computerconfiguratie en Gebruikersconfiguratie van een groepsbeleidsobject.
Om te voorkomen dat software beperkende beleid voor lokale beheerders zijn toegepast
Open beleid voor Software-beperking.
Dubbelklik in het detailvenster opafdwingen.
Onderbeperkende beleid toepassen op de volgende gebruikersklikt u opalle gebruikers behalve lokale beheerders.
Waarschuwing
-
Lidmaatschap van de lokale groep Administrators of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
-
Mogelijk moet u een nieuwe instelling van de software-beperking voor de Group Policy Object (GPO) maken als u dit nog niet hebt gedaan.
-
Als het is gebruikelijk voor gebruikers die lid zijn van de lokale groep Administrators op hun computers in uw organisatie, wilt u mogelijk niet deze optie inschakelt.
-
Als u de instelling van een software-beperking voor de lokale computer definieert, moet u deze procedure gebruiken om te voorkomen dat lokale beheerders software beperkende beleid toegepast. Als u de instelling van een software-beperking voor uw netwerk definieert, filteren op basis van het lidmaatschap van beveiligingsgroepen via Groepsbeleid beleidsinstellingen voor gebruiker.
Het standaardbeveiligingsniveau van beleid voor software-beperking wijzigen
Open beleid voor Software-beperking.
Dubbelklik in het detailvenster opniveaus.
Met de rechtermuisknop op het beveiligingsniveau dat u wilt instellen als standaardwaarde en klik vervolgens opals standaard instellen.
Waarschuwing
In bepaalde mappen de standaard beveiligingsniveau instellen opniet toegestaankunnen afnemen als uw besturingssysteem.
Notitie
-
Andere beheerdersreferenties nodig zijn voor het uitvoeren van deze procedure, afhankelijk van de omgeving waarvoor u het standaardbeveiligingsniveau van beleid voor software-beperking wijzigen.
-
Mogelijk moet u een nieuwe instelling van de software-beperking voor dit Group Policy Object (object) maken als u dit nog niet hebt gedaan.
-
In het detaildeelvenster van het huidige standaardbeveiligingsniveau aangegeven door een zwarte cirkel met een vinkje in het. Als u met de rechtermuisknop op de huidige standaardbeveiligingsniveau deals standaard instellenopdracht niet wordt weergegeven in het menu.
-
Softwarerestrictiebeleidsregels worden uitzonderingen opgeven voor het standaardbeveiligingsniveau gemaakt. Wanneer het standaardbeveiligingsniveau is ingesteld oponbeperktkunt u regels geven software die niet is toegestaan om uit te voeren. Wanneer het standaardbeveiligingsniveau is ingesteld opniet toegestaankunt u regels geven software die kan worden uitgevoerd.
-
Tijdens de installatie, het standaardbeveiligingsniveau van beleid voor software-beperking van alle bestanden op uw systeem is ingesteld oponbeperkt.
Beleid voor software-beperking toepassen op dll-bestanden
Open beleid voor Software-beperking.
Dubbelklik in het detailvenster opafdwingen.
Ondersoftware beperkende beleid toepassen op de volgendeklikt u opop alle bestanden.
Notitie
-
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep Administrators op de lokale computer of moeten de juiste machtigingen aan u zijn toegewezen. Als de computer is toegevoegd aan een domein, kunnen leden van de groep Domeinadministrators deze procedure mogelijk uitvoeren.
-
Standaard controleren beperking softwarebeleid dll-bestanden (dll-bestanden) niet. DLL-bestanden controleren kan systeemprestaties afnemen, omdat het beleid voor software-beperking moeten worden geëvalueerd telkens wanneer een DLL-bestand is geladen. U wilt echter controleren van DLL-bestanden als u bang een virus die doelen dll-bestanden. Als het standaardbeveiligingsniveau is ingesteld opniet toegestaanen het inschakelen van DLL-bestand te controleren, moet u software beperkende beleid regels waardoor elke DLL om uit te voeren.