Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Arbeta med regler för principer för begränsning av programvara

Corey Plett|Senast uppdaterad: 2017-01-13
|
1 Medverkande

Gäller för: Windows Server 2016 måste Windows Server 2012 R2 eller Windows Server 2012

Det här avsnittet beskriver procedurer för arbeta med certifikat, sökväg, internet-zon och hash-regler med hjälp av principer för begränsning av programvara.

Introduktion

Med principer för begränsning av programvara kan skydda du datormiljön från obetrodd programvara genom att specificera vilken programvara som kan köras. Du kan definiera en standardsäkerhetsnivån obegränsat eller tillåts inte för ett grupprincipobjekt (GPO) så att programvara som antingen får eller inte får köras som standard. Du kan göra undantag till standardsäkerhetsnivån genom att skapa regler för principer för särskild programvara för begränsning av programvara. Om standardsäkerhetsnivån anges till exempelvis tillåts inte, kan du skapa regler som tillåter att vissa program ska köras. Vilka typer av regler är följande:

Information om andra metoder att hantera principer för begränsning av programvara finns i administrera principer som begränsar programvara.

Arbeta med certifikatregler

Principer som begränsar programvara kan en fil identifieras via dess signeringscertifikatet är betrott. Du kan skapa en certifikatregel som identifierar ett program och tillåter eller tillåter inte att programmet körs, beroende på säkerhetsnivå. Du kan exempelvis använda certifikatregler att automatiskt litar på program från en betrodd källa i en domän utan att användaren tillfrågas. Du kan också använda certifikatregler för att köra filer i icke tillåtna områden i operativsystemet. Certifikatregler är inte aktiverade som standard.

När regler skapas för domänen med hjälp av Grupprincip, måste du ha behörighet att skapa eller ändra ett grupprincipobjekt. Om du skapar regler för den lokala datorn, måste du ha administratörsbehörighet på datorn.

Så här skapar du en certifikatregel för

  1. Öppna principer för begränsning av programvara.

  2. Högerklicka i konsolträdet eller informationsfönstret ytterligare regler, och klicka sedan på ny regel för certifikat.

  3. Klicka på söka, och välj sedan ett certifikat eller en signerad fil.

  4. I säkerhetsnivån, klickar du på tillåts inte eller obegränsat.

  5. I beskrivning, ange en beskrivning för regeln och klicka sedan på OK.

Information
  • Det kan vara nödvändigt att skapa en ny inställning begränsning av programvara principen för det grupprincipobjekt (GPO) om du inte redan har gjort.
  • Certifikatregler är inte aktiverade som standard.
  • De enda filtyper som påverkas av certifikatregler är de som anges i konfigurerade filtyper i informationsfönstret för principer för begränsning av programvara. Det finns en lista över filtyper som delas av alla regler.
  • För principer för begränsning av programvara ska börja gälla, måste användarna uppdatera principinställningar genom att logga ut och logga in på sina datorer.
  • När mer än en principregel för programvarubegränsning tillämpas principinställningar, finns det en prioritetsordning för att undvika konflikter.

Aktivera certifikatregler

Det finns olika metoder för att aktivera certifikatregler beroende på miljön:

Så här aktiverar du certifikatregler för den lokala datorn

  1. Öppna lokala säkerhetsinställningar.

  2. I konsolträdet klickar du på säkerhetsalternativ finns under säkerhet/lokala principer.

  3. I informationsfönstret dubbelklickar du på systeminställningar: Använd certifikatregler på körbara Windows-filer för principer för begränsning av programvara.

  4. Gör något av följande och klicka sedan på OK:

    • Om du vill aktivera certifikatregler aktiverad.

    • Om du vill inaktivera certifikatregler inaktiverade.

Om du vill aktivera certifikatregler för ett grupprincipobjekt om du arbetar på en server som är ansluten till en domän

  1. Öppna Microsoft Management Console (MMC).

  2. På den filen -menyn klickar du på Lägg till/ta bort snapin-modulen, och klicka sedan på Lägg till.

  3. Klicka på Redigeraren för lokala grupprincipobjekt, och klicka sedan på Lägg till.

  4. I Välj grupprincipobjekt, klickar du på söka.

  5. I Bläddra efter ett grupprincipobjekt, Välj ett grupprincipobjekt (GPO) i rätt domän, plats eller organisationsenhet – eller skapa ett nytt och klicka sedan på Slutför.

  6. Klicka på Stäng, och klicka sedan på OK.

  7. I konsolträdet klickar du på säkerhetsalternativ finns under GroupPolicyObject [datornamn] datorprincip/Datorkonfigurering Datorkonfiguration/Windows-inställningar/Säkerhetsinställningar/Lokala principer /.

  8. I informationsfönstret dubbelklickar du på systeminställningar: Använd certifikatregler på körbara Windows-filer för principer för begränsning av programvara.

  9. Om den här principinställningen ännu inte har definierats väljer du den definiera följande principinställningar markerar du kryssrutan.

  10. Gör något av följande och klicka sedan på OK:

    • Om du vill aktivera certifikatregler aktiverad.

    • Om du vill inaktivera certifikatregler inaktiverade.

Så här aktiverar du certifikatet regler för ett grupprincipobjekt och du är på en domänkontrollant eller en arbetsstation som innehåller verktyg för fjärrserveradministration-installerade

  1. Öppna Active Directory – användare och datorer.

  2. I konsolträdet högerklickar du på det grupprincipobjekt (GPO) du vill aktivera certifikatregler.

  3. Klicka på egenskaper, och klicka sedan på den Grupprincip flik.

  4. Klicka på redigera öppna det grupprincipobjekt som du vill redigera. Du kan också klicka New skapa ett nytt grupprincipobjekt och klicka sedan på redigera.

  5. I konsolträdet klickar du på säkerhetsalternativ finns under GroupPolicyObject[datornamn] datorprincip/Datorkonfigurering Datorkonfiguration/Windows-inställningar/Säkerhetsinställningar/Lokala principer.

  6. I informationsfönstret dubbelklickar du på systeminställningar: Använd certifikatregler på körbara Windows-filer för principer för begränsning av programvara.

  7. Om den här principinställningen ännu inte har definierats väljer du den definiera följande principinställningar markerar du kryssrutan.

  8. Gör något av följande och klicka sedan på OK:

    • Om du vill aktivera certifikatregler aktiverad.

    • Om du vill inaktivera certifikatregler inaktiverade.

Om du vill aktivera är certifikatreglerna för endast domänkontrollanter, och du på en domänkontrollant eller en arbetsstation som innehåller verktyg för fjärrserveradministration-installerade

  1. Öppna säkerhetsinställningar för domänkontrollant.

  2. I konsolträdet klickar du på säkerhetsalternativ finns under GroupPolicyObject [datornamn] datorprincip/Datorkonfigurering Datorkonfiguration/Windows-inställningar/Säkerhetsinställningar/Lokala principer.

  3. I informationsfönstret dubbelklickar du på systeminställningar: Använd certifikatregler på körbara Windows-filer för principer för begränsning av programvara.

  4. Om den här principinställningen ännu inte har definierats väljer du den definiera följande principinställningar markerar du kryssrutan.

  5. Gör något av följande och klicka sedan på OK:

    • Om du vill aktivera certifikatregler aktiverad.

    • Om du vill inaktivera certifikatregler inaktiverade.

Information

För certifikatregler ska börja gälla måste du utföra den här proceduren.

Ange alternativ för betrodda utgivare

Signering av programvara som används av allt fler programvaruleverantörer och programutvecklare för att kontrollera att deras program kommer från en betrodd källa. Många användare förstår emellertid inte eller bryr sig de signeringscertifikat som är kopplade till programmen de installerar.

Inställningarna i den betrodda utgivare av certifikatsökväg kan administratörer styra vilka certifikat som ska anses komma från en betrodd utgivare.

Så här konfigurerar du principinställningarna för betrodda utgivare för en lokal dator
  1. På den Start skrivergpedit.msc och tryck sedan på RETUR.

  2. I konsolträdet under lokal dator\Datorkonfiguration\Administrativa Datorkonfiguration\Windows-Inställningar\säkerhetsinställningar, klickar du på principer för offentliga nycklar.

  3. Dubbelklicka på certifikatsökvägen, och klicka sedan på den betrodda utgivare flik.

  4. Välj den definiera följande principinställningar, markera principinställningarna som du vill använda och klicka sedan på OK att använda de nya inställningarna.

Så här konfigurerar du principinställningarna för betrodda utgivare för en domän
  1. Öppna Grupprinciphantering.

  2. I konsolträdet dubbelklickar du på grupprincipobjekt i den skog och domän som innehåller de Standarddomänprincip grupprincipobjekt (GPO) som du vill redigera.

  3. Högerklicka på den Standarddomänprincip grupprincipobjekt och klicka redigera.

  4. I konsolträdet under Datorkonfiguration\Windows-Inställningar\säkerhetsinställningar, klicka på principer för offentliga nycklar.

  5. Dubbelklicka på certifikatsökvägen, och klicka sedan på den betrodda utgivare flik.

  6. Välj den definiera följande principinställningar, markera principinställningarna som du vill använda och klicka sedan på OK att använda de nya inställningarna.

Tillåta endast administratörer att hantera certifikat för kodsignering för en lokal dator
  1. På den Start skärmen, typ, gpedit.msc i den Sök bland program och filer eller i Windows 8 på skrivbordet och tryck på RETUR.

  2. I konsolträdet under Standarddomänprincip eller lokal datorprincip, dubbelklicka på Datorkonfiguration, Windows-inställningar, och säkerhetsinställningar, och klicka sedan på principer för offentliga nycklar.

  3. Dubbelklicka på certifikatsökvägen, och klicka sedan på den betrodda utgivare flik.

  4. Markera den definiera följande principinställningar markerar du kryssrutan.

  5. Under hantering av betrodda utgivare, klickar du på Tillåt bara att administratörer hanterar betrodda utgivare, och klicka sedan på OK att använda de nya inställningarna.

Tillåta endast administratörer att hantera certifikat för kodsignering för en domän
  1. Öppna Grupprinciphantering.

  2. I konsolträdet dubbelklickar du på grupprincipobjekt i den skog och domän som innehåller de Standarddomänprincip grupprincipobjekt som du vill redigera.

  3. Högerklicka på den Standarddomänprincip grupprincipobjekt och klicka redigera.

  4. I konsolträdet under Datorkonfiguration\Windows-Inställningar\säkerhetsinställningar, klicka på principer för offentliga nycklar.

  5. Dubbelklicka på certifikatsökvägen, och klicka sedan på den betrodda utgivare flik.

  6. Välj den definiera följande principinställningar, gör önskade ändringar och klicka sedan på OK att använda de nya inställningarna.

Arbeta med hash-regler

Ett hash-värde är en rad byte med fast längd som identifierar ett program och filer. Hash-värdet beräknas som en hash-algoritm. När en hash-regel har skapats för ett program kan beräkna en hash av programmet principer för begränsning av programvara. När en användare försöker öppna ett program, en hash av programmet är jämfört med befintliga hash-regler för principer för begränsning av programvara. Hash för ett program är alltid desamma, oavsett var programmet finns på datorn. Om ett program ändras på något sätt, ändras filens hash-algoritm och det inte längre matchar hash-värdet i hashregel för principer för begränsning av programvara.

Till exempel skapa en hash-regel och ändra säkerhetsnivån till tillåts inte att hindra användare från att köra en viss fil. En fil kan döpas om eller flyttas till en annan mapp filerna i samma hash-värden. Men eventuella ändringar i själva filen även ändra dess hashvärde och att filen kan kringgå begränsningar.

Så här skapar du en hash-regel

  1. Öppna principer för begränsning av programvara.

  2. Högerklicka i konsolträdet eller informationsfönstret ytterligare regler, och klicka sedan på Ny hashregel.

  3. Klicka på söka söka efter en fil.

    Information

    I Windows XP är det möjligt att klistra in i förväg beräknade hash filhash. Detta alternativ är inte tillgängliga i Windows Server 2008 R2, Windows 7 och senare versioner.

  4. I säkerhetsnivån, klickar du på tillåts inte eller obegränsat.

  5. I beskrivning, ange en beskrivning för regeln och klicka sedan på OK.

Information
  • Det kan vara nödvändigt att skapa en ny inställning begränsning av programvara principen för det grupprincipobjekt (GPO) om du inte redan har gjort det.
  • Kan skapa en hash-regel för ett virus eller en trojansk häst för att förhindra att de körs.
  • Om du vill att andra ska kunna använda en hash-regel så att ett virus inte kan köra beräkna hashvärdet av viruset med hjälp av principer för begränsning av programvara och sedan e-hash-värde för andra personer. Skicka aldrig själva viruset.
  • Om ett virus har skickats via e-post kan skapa du även en sökvägsregel för att förhindra körning av bifogade filer.
  • En fil som har flyttats eller till en annan mapp i samma hash-värden. Alla ändringar i själva filen leder till en annan hash-algoritm.
  • De enda filtyper som påverkas av hash-regler är de som anges i konfigurerade filtyper i informationsfönstret för principer för begränsning av programvara. Det finns en lista över filtyper som delas av alla regler.
  • För principer för begränsning av programvara ska börja gälla, måste användarna uppdatera principinställningar genom att logga ut och logga in på sina datorer.
  • När mer än en principregel för programvarubegränsning tillämpas principinställningar, finns det en prioritetsordning för att undvika konflikter.

Arbeta med regler för zonen Internet

Regler för zonen Internet tillämpas endast på Windows Installer-paket. En regel för zonen kan identifiera programvara från zonerna som anges via Internet Explorer. De här zonerna är Internet, Lokalt intranät, ej tillförlitliga platser, tillförlitliga platser, och den här datorn. En regel för zonen Internet är utformat för att hindra användare från att hämta och installera programvara.

Så här skapar du en regel för zonen Internet

  1. Öppna principer för begränsning av programvara.

  2. Högerklicka i konsolträdet eller informationsfönstret ytterligare regler, och klicka sedan på ny regel för zonen Internet.

  3. I zonen Internet, zonen Internet.

  4. I säkerhetsnivån, klickar du på tillåts inte eller obegränsat, och klicka sedan på OK.

Information
  • Det kan vara nödvändigt att skapa en ny inställning begränsning av programvara principen för det grupprincipobjekt (GPO) om du inte redan har gjort det.
  • Zonen regler gäller endast filer med filtypen .msi som är Windows Installer-paket.
  • För principer för begränsning av programvara ska börja gälla, måste användarna uppdatera principinställningar genom att logga ut och logga in på sina datorer.
  • När mer än en principregel för programvarubegränsning tillämpas principinställningar, finns det en prioritetsordning för att undvika konflikter.

Arbeta med regler

En sökvägsregel identifierar ett program utifrån dess sökväg. Om du har en dator som har en standardsäkerhetsnivån exempelvis tillåts inte, kan du ändå tillåta obegränsad åtkomst till en specifik mapp för varje användare. Du kan skapa en sökvägsregel genom att ange sökvägen till filen och ange säkerhetsnivån för sökvägsregel till obegränsat. Några vanliga sökvägar för den här typen av regel är % userprofile %, % windir %, % appdata %, % programfiles % och % temp %. Du kan också skapa registret regler som använder registernyckeln av programvaran som dess sökväg.

Eftersom dessa regler som anges av sökvägen om ett program flyttas, gäller sökvägsregeln inte längre.

Så här skapar du en sökvägsregel

  1. Öppna principer för begränsning av programvara.

  2. Högerklicka i konsolträdet eller informationsfönstret ytterligare regler, och klicka sedan på ny sökvägsregel.

  3. I sökvägen, ange en sökväg eller klicka på söka att söka efter en fil eller mapp.

  4. I säkerhetsnivån, klickar du på tillåts inte eller obegränsat.

  5. I beskrivning, ange en beskrivning för regeln och klicka sedan på OK.

Varning
  • Vissa mappar, t ex Windows-mappen, ange säkerheten till tillåts inte kan påverkas negativt av operativsystemet. Kontrollera att du inte gör så att en viktig komponent i operativsystemet eller en av dess underordnade program.
Information
  • Du kanske behöver skapa nya principer för begränsning av programvara för det grupprincipobjekt (GPO) om du inte redan har gjort.
  • Om du skapar en sökvägsregel för programvara med en säkerhet för tillåts inte, kan användare ändå köra programmet genom att kopiera den till en annan plats.
  • De jokertecken som stöds av sökvägsregeln är * och?.
  • Du kan använda miljövariabler, till exempel % programfiles % och % systemroot % i sökvägsregeln.
  • Om du vill skapa en sökvägsregel för ett program när du inte vet var den är lagrad på en dator, men du måste dess registernyckel kan du skapa en regel för en registersökväg.
  • Om du vill hindra användare från e-postbilagor, kan du skapa en sökvägsregel för ditt e-postprogram katalog som hindrar användare från att köra e-postbilagor.
  • De enda filtyper som påverkas av regler är de som anges i konfigurerade filtyper i informationsfönstret för principer för begränsning av programvara. Det finns en lista över filtyper som delas av alla regler.
  • För principer för begränsning av programvara ska börja gälla, måste användarna uppdatera principinställningar genom att logga ut och logga in på sina datorer.
  • När mer än en principregel för programvarubegränsning tillämpas principinställningar, finns det en prioritetsordning för att undvika konflikter.

Så här skapar du en regel för en registersökväg

  1. På den Start Skriv regedit.

  2. I konsolträdet högerklickar du på den registernyckel som du vill skapa en regel för Kopiera nyckelnamn. Anteckna värdenamnet i informationsfönstret.

  3. Öppna principer för begränsning av programvara.

  4. Högerklicka i konsolträdet eller informationsfönstret ytterligare regler, och klicka sedan på ny sökvägsregel.

  5. I sökvägen, klistra in registernyckelnamnet, följt av värdenamnet.

  6. Omge registersökvägen med procenttecken (%), till exempel % HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.

  7. I säkerhetsnivån, klickar du på tillåts inte eller obegränsat.

  8. I beskrivning, ange en beskrivning för regeln och klicka sedan på OK.

© 2017 Microsoft