管理软件限制策略
适用对象:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
面向 IT 专业人士的本主题包含如何管理软件限制策略 (SRP) 开始使用 Windows Server 2008 和 Windows Vista 的应用程序控制策略的过程。
简介
软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,以及控制这些程序的运行能力。 你可以使用软件限制策略创建计算机的高度受限配置,从而仅允许运行专门标识的应用程序。 这些与 Microsoft Active Directory 域服务和组策略集成但也可以在独立计算机上配置。 有关 SRP 的详细信息,请参阅软件限制策略概述。
开头Windows Server 2008 R2和Windows 7,Windows AppLocker 可用于代替或与 SRP 一起使用您的应用程序控制策略的一部分。 璝惠中的 AppLockerWindows Server 2012和Windows 8,请参阅AppLocker 概述 [客户端]。
本主题包含:
若要打开软件限制策略
若要创建新的软件限制策略
若要添加或删除指定的文件类型
若要防止向本地管理员应用软件限制策略
若要更改软件限制策略默认安全级别
若要向 Dll 应用软件限制策略
有关如何完成特定任务使用 SRP 的信息,请参阅:
若要打开软件限制策略
对于本地计算机
对于域,站点或组织单位和您是在成员服务器上或加入到域的工作站上
对于域或组织单位,并且您在域控制器上或在安装了远程服务器管理工具的工作站上
对于站点,并且您在域控制器上或在安装了远程服务器管理工具的工作站上
对于本地计算机
打开“本地安全设置”。
在控制台树中,单击软件限制策略。
位置:
- 安全设置中的软件限制策略
备注
若要执行该过程,你必须是本地计算机上Administrators 组的成员,或你必须已被委派适当的权限。
对于域,站点或组织单位和您是在成员服务器上或加入到域的工作站上
打开 Microsoft 管理控制台 (MMC)。
在上文件菜单上,单击添加/删除管理单元中,然后单击添加。
单击“本地组策略对象编辑器”,然后单击“添加”。
在“选择组策略对象”中单击“浏览”。
在浏览组策略对象,在适当的域、 站点或组织单位-中选择组策略对象 (GPO) 或创建一个新,然后单击完成。
单击“关闭”,然后单击“确定”。
在控制台树中,单击软件限制策略。
位置:
组策略对象[ComputerName] 策略/计算机配置或
用户配置中的 Windows 设置中的安全设置中的软件限制策略
备注
若要执行此过程,您必须是 Domain Admins 组的成员。
对于域或组织单位,并且您在域控制器上或在安装了远程服务器管理工具的工作站上
打开组策略管理控制台。
在控制台树中,右键单击想要打开软件限制策略组策略对象 (GPO)。
单击“编辑”打开要编辑的 GPO。 也可以单击“新建”以创建一个新的 GPO,然后单击“编辑”。
在控制台树中,单击软件限制策略。
位置:
组策略对象[ComputerName] 策略/计算机配置或
用户配置中的 Windows 设置中的安全设置中的软件限制策略
备注
若要执行此过程,您必须是 Domain Admins 组的成员。
对于站点,并且您在域控制器上或在安装了远程服务器管理工具的工作站上
打开组策略管理控制台。
在控制台树中,右键单击要设置的组策略的站点。
位置:
- Active Directory 站点和服务 [Domain_Controller_Name.Domain_Name] / 站点/站点
单击中的条目组策略对象链接以选择现有组策略对象 (GPO),然后单击编辑。 也可以单击“新建”以创建一个新的 GPO,然后单击“编辑”。
在控制台树中,单击软件限制策略。
位置
组策略对象[ComputerName] 策略/计算机配置或
用户配置中的 Windows 设置中的安全设置中的软件限制策略
备注
-
若要执行该过程,你必须是本地计算机上Administrators 组的成员,或你必须已被委派适当的权限。 如果计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。
-
若要设置策略设置将应用于计算机,而不考虑哪些用户登录到它们,请单击计算机配置。
-
若要设置策略设置将应用于登录到,而不考虑哪台计算机的用户,请单击用户配置。
若要创建新的软件限制策略
打开“软件限制策略”。
在“操作”菜单上单击“新建软件限制策略”。
警告
-
需要根据你的环境,使用不同的管理凭据来执行此过程:
-
如果要为本地计算机创建新的软件限制策略:必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。
-
如果要为加入到域的计算机创建新的软件限制策略,则域管理员组的成员可以执行此过程。
-
-
如果已经为组策略对象 (GPO) 创建了软件限制策略,则“操作”菜单上不会显示“新建软件限制策略”命令。 若要删除已应用到 GPO 的软件限制策略,请在控制台树中,右键单击“软件限制策略”,然后单击“删除软件限制策略”。 在删除软件限制策略的 gpo 时,您还为该 GPO 删除所有软件限制策略规则。 在删除软件限制策略后,可为该 GPO 创建新的软件限制策略。
若要添加或删除指定的文件类型
打开“软件限制策略”。
在详细信息窗格中,双击“指定的文件类型”。
执行下列操作之一:
若要添加文件类型,请在“文件扩展名”中键入文件扩展名,然后单击“添加”。
若要删除文件类型,请在“指定的文件类型”中单击文件类型,然后单击“删除”。
备注
-
需要根据你在其中添加或删除指定文件类型的环境,使用不同的管理凭据执行此过程:
-
如果要为本地计算机添加或删除指定的文件类型:必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。
-
如果要为加入到域的计算机创建新的软件限制策略,则域管理员组的成员可以执行此过程。
-
-
可能需要为组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
-
指定的文件类型列表是由所有规则共享的计算机配置和用户配置 gpo。
若要防止向本地管理员应用软件限制策略
打开“软件限制策略”。
在详细信息窗格中,双击“强制”。
在“将软件限制策略应用于以下用户”下,单击“除本地管理员以外的所有用户”。
警告
-
必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。
-
可能需要为组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
-
如果用户成为组织中计算机上的本地 Administrators 组成员的情况很常见,则你可能不需要启用此选项。
-
如果要为本地计算机定义软件限制策略设置,请使用此过程来防止向本地管理员应用软件限制策略。 如果您要为您的网络定义软件限制策略设置,筛选基于通过组策略的安全组中的成员身份的用户策略设置。
若要更改软件限制策略默认安全级别
打开“软件限制策略”。
在详细信息窗格中,双击“安全级别”。
右键单击要设置为默认安全级别的安全级别,然后单击“设为默认”。
警告
在某些目录中,将默认安全级别设置为“不允许”可能会给操作系统造成不利影响。
备注
-
需要根据你要为其更改软件限制策略默认安全级别的环境,使用不同的管理凭据执行此过程。
-
可能需要为此组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
-
在详细信息窗格中,当前的默认安全级别以一个含有复选标记的黑圈表示。 如果右键单击当前的默认安全级别,菜单中不会显示“设为默认”命令。
-
可以创建软件限制策略规则来指定默认安全级别的例外情况。 当默认安全级别设置为“不受限”时,规则可以指定不允许运行的软件。 当默认安全级别设置为“不允许”时,规则可以指定允许运行的软件。
-
在安装时,针对系统上所有文件的软件限制策略默认安全级别设置为“不受限”。
若要向 Dll 应用软件限制策略
打开“软件限制策略”。
在详细信息窗格中,双击“强制”。
在“将软件限制策略应用于以下”下,单击“所有软件文件”。
备注
-
若要执行该过程,你必须是本地计算机上Administrators 组的成员,或你必须已被委派适当的权限。 如果计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。
-
默认情况下,软件限制策略不检查动态链接库 (DLL)。 检查 DLL 可能会降低系统性能,因为每加载一个 DLL 都必须评估软件限制策略。 但是,如果你担心会接收到针对 DLL 的病毒,则可以要求检查 DLL。 如果默认安全级别设置为不允许,并且您启用了 DLL 检查,您必须创建软件限制策略规则允许运行每个 DLL。