多用户环境下活用软件限制策略

  • 时间:
  • 浏览:0





作者: 刘晖 《当事人电脑》

CNETNews.com.cn

4007-11-17 15:16:47

关键词: Server 4003 Vista Windows 软件限制 多用户

在多人共用一台计算机的环境下,当我们都歌词 歌词 但是前要对每当事人能才能使用的软件进行限制。累似 于,系统中安装了那末 游戏,可你不打算让你这个使用这台计算机的人玩你这个游戏。但是公司的计算机上安装了就说软件,老板希望员工能才能才能 使用与工作相关的系统进程,你这个非必需的系统进程后会 准使用。

为了实现你这个目标,当我们都歌词 歌词 能才能配置Windows中的软件限制策略,Windows XP Pro、Windows Server 4003以及Windows Vista商业版、企业版和旗舰版哪些地方地方含有组策略功能的操作系统都能才能配置软件限制策略(Windows 4000确实 含有组策略,但那末 软件限制策略功能)。

本文会介绍单机环境下软件限制策略的使用。前要注意的你这个是,和你这个大要素策略一样,软件限制策略在域环境下才能发挥出最大作用,累似 于通过不同的OU(组织单元),域管理员能才能为不同部门但是不同需求的员工创建出不同的策略。在单机或工作组环境下,当我们都歌词 歌词 的策略能才能才能 对本地帐户生效。

软件限制策略能才能让当我们都歌词 歌词 设置允许用户运行哪些地方系统进程,不允许运行哪些地方系统进程。一起当我们都歌词 歌词 能才能通过不同的规则来指定允许但是禁止运行的软件。在Windows的软件限制策略中,当我们都歌词 歌词 能才能通过下列条件来创建规则:

证书规则

通过证书规则,当我们都歌词 歌词 能才能借助软件可执行系统进程自带的数字证书来创建策略。累似 于,当我们都歌词 歌词 能才能通过证书规则决定,所有含有来自微软的数字证书的软件都能才能运行,但是所有含有某个不被信任的开发商的数字证书的软件都禁止运行。另那末 每当当我们都歌词 歌词 试图运行那末 系统进程的但是,系统后会 查看该系统进程的数字签名,或者跟软件限制策略中的定义进行比较,并根据策略的设置决定是否允许运行。

哈希规则

在使用哈希规则的但是,当我们都歌词 歌词 能才能指定那末 软件的可执行文件,或者由操作系统计算该文件的哈希值,并根据计算出来的哈希值决定是否允许运行该软件。

网络区域规则

该规则主要用于使用Windows Installer技术安装的软件,但是通过该规则,当我们都歌词 歌词 能才能对来自不同Internet区域的软件的安装系统进程采取不同的限制辦法 。

路径规则

通过该规则,当我们都歌词 歌词 能才能利用系统进程的安装路径但是注册表路径来决定是否允许某个路径的系统进程的运行。

上述你这个辦法 各有利弊,下面的表格列出了不同目的建议使用的规则。

不同目的采取的建议策略
目的 建议使用的规则
允许或不允许运行特定版本的系统进程 哈希规则
允许或不允许运行始终安放进同一位置的系统进程 文件路径规则
允许或不允许运行安放进计算机上任何位置的系统进程 注册表路径规则
允许或不允许运行保地处中央服务器上的系统进程或脚本 文件路径规则
允许或不允许运行保地处中央服务器上的一批系统进程或脚本 含有通配符的文件路径规则
允许或不允许某个特定名称的系统进程运行 路径规则
允许或不允许某个特定公司开发的软件 证书规则
允许或不允许从某个Internet区域站点安装软件 网络区域规则

通常来说,不同的情况报告前要选着不同的规则。累似 于,假设当我们都歌词 歌词 通过哈希规则允许某个软件运行,但你这个软件有一天升级了,升级系统进程对软件的主文件进行了修补,原因文件的哈希值产生了改变(要知道,无论多大的文件,倘若内容被改变了哪怕那末 字节,该文件的哈希值也会地处巨大的变化),那末 用户将无法再使用你这个系统进程,除非管理员修改软件限制策略。这但是当我们都歌词 歌词 就能才能使用证书规则来限制,毕竟无论软件缘何升级,倘若开发商那末 “改头换面”,那末 该软件含有的数字证书就太久再变化。

一起哪些地方地方规则的应用还地处那末 优先级问題。累似 于,同那末 系统进程,但是按照证书规则来看,是允许运行的,但按照路径规则来看,是不被允许的。那末 系统到底该允许还是禁止该系统进程运行?一般来说,上述四类规则按照优先级的高低顺序排列,依次是:哈希规则、证书规则、路径规则、网络区域规则,高优先级规则的设置会覆盖低优先级规则的设置。一起,对于同你这个规则,“禁止”要优先于“允许”,累似 于对某个软件,当我们都歌词 歌词 无意中使用你这个规则(累似 于哈希规则)一起创建了禁止运行和允许运行这两条规则,那末 最终的结果是系统禁止该系统进程运行。