应用规则有:1、证书规则,可以通过签名证书来识别软件;2、哈希规则,用于唯一标识某个软件程序或文件;3、Internet区域规则,只适用于“Windows Installer”程序包;4、路径规则,根据软件的文件路径来识别软件。
本教程操作环境:windows7系统、Dell G3电脑。
使用软件限制策略,可以通过标识和指定允许运行的软件来保护计算环境免受不受信任的软件的限制。 可以将组策略对象的默认安全级别定义为 "不 受限制 " 或 "不允许" (GPO) ,以便默认允许或不允许运行软件。 您可以通过为特定软件创建软件限制策略规则,对此默认安全级别进行例外。 例如,默认安全级别设置为“不允许”时,你可以创建允许运行特定软件的规则。 规则的类型如下:
1、证书规则
软件限制策略还可以通过签名证书来识别软件。 你可以创建一个证书规则来识别软件,然后根据安全级别允许或不允许运行该软件。 例如,可以使用证书规则自动信任来自域中受信任源的软件,且不提示用户。 还可以使用证书规则来运行操作系统的不受允许区域中的文件。 默认情况下,不会启用证书规则。
当使用组策略为域创建规则时,您必须具有创建或修改组策略对象的权限。 如果要为本地计算机创建规则,则你必须拥有该计算机上的管理凭据。
2、哈希规则
哈希是具有固定长度的一系列字节,用于唯一标识某个软件程序或文件。 哈希由哈希算法计算。 为软件程序创建哈希规则后,软件限制策略将计算该程序的哈希。 当用户尝试打开某个软件程序时,会将该程序的哈希与软件限制策略的现有哈希规则进行比较。 不管软件程序位于计算机上的哪个位置,该程序的哈希都始终相同。 但是,如果以任何方式对软件程序做了更改,则其哈希也会更改,不再与软件限制策略的哈希规则中的哈希匹配。
例如,可以创建一个哈希规则并将安全级别设置为“不允许”,以防止用户运行特定的文件。 可以重命名某个文件或将其移到另一个文件夹,而哈希仍保持相同。 但是,如果对该文件进行了任何更改,则也会更改它的哈希值,并允许它绕过限制。
3、Internet 区域规则
Internet 区域规则只适用于 Windows Installer 程序包。 区域规则可以识别通过 Internet Explorer 指定的区域中的软件。 这些区域为“Internet”、“本地 Intranet”、“受限制的站点”、“受信任的站点”和“我的电脑”。 Internet 区域规则用于阻止用户下载和安装软件。
4、路径规则
路径规则根据软件的文件路径来识别软件。 例如,如果计算机的默认安全级别为“不允许”,则你仍可为每个用户授予对特定文件夹的无限制访问权限。 你可以创建一个路径规则,方法是使用文件路径,并将路径规则的安全级别设置为“不受限”。 这种类型的规则的某些常见路径为 %userprofile%、%windir%、%appdata%、%programfiles% 和 %temp%。 还可以创建注册表路径规则,这些规则使用软件的注册表项作为其路径。
由于这些规则是按路径指定的,因此,如果移动了软件程序,路径规则将不再适用。