本主题面向 IT 专业人员,其中包含的过程介绍了从 Windows Server 2008 和 Windows Vista 开始,如何使用软件限制策略 (SRP) 管理应用程序控制策略。
Introduction
软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,并控制这些程序的运行能力。 你可以使用软件限制策略创建计算机的高度受限配置,从而仅允许运行专门标识的应用程序。 这些策略与 Microsoft Active Directory 域服务和组策略相集成,但是,也可以在独立的计算机上配置它们。 有关 SRP 的详细信息,请参阅软件限制策略。
从 Windows Server 2008 R2 和 Windows 7 开始,Windows AppLocker 可以代替 SRP 或与其一起用于应用程序控制策略的一部分。
本主题包含以下内容:
打开“软件限制策略”
创建新的软件限制策略
添加或删除指定的文件类型
防止向本地管理员应用软件限制策略
更改软件限制策略的默认安全级别
向 DLL 应用软件限制策略
有关如何使用 SRP 完成特定任务的信息,请参阅以下内容:
确定软件限制策略的“允许-拒绝”列表和应用程序清单
使用软件限制策略规则
使用软件限制策略来帮助保护计算机免受电子邮件病毒攻击
打开“软件限制策略”
对于本地计算机
对于域、站点或组织单位,并且当你位于已加入到域的成员服务器或工作站上时
对于域或组织单位,并且当你位于域控制器上或安装了远程服务器管理工具的工作站上时
对于站点,并且当你位于域控制器上或安装了远程服务器管理工具的工作站上时
对于本地计算机
打开“本地安全设置”。
在控制台树中,单击“软件限制策略”。
Where?
安全设置/软件限制策略
Note
若要执行该过程,你必须是本地计算机上 Administrators 组的成员,或你必须已被委派适当的权限。
对于域、站点或组织单位,并且当你位于已加入到域的成员服务器或工作站上时
打开 Microsoft 管理控制台 (MMC)。
On the File menu, click Add/Remove Snap-in, and then click Add.
单击“本地组策略对象编辑器”,然后单击“添加”。
在“选择组策略对象”中单击“浏览”。
在“浏览组策略对象”中,选择相应域、站点或组织单位中的某个组策略对象 (GPO),或者新建一个,然后单击“完成”。
Click Close, and then click OK.
在控制台树中,单击“软件限制策略”。
Where?
组策略对象 [ComputerName] 策略/计算机配置,或者
用户配置/Windows 设置/安全设置/软件限制策略
Note
若要执行此过程,您必须是 Domain Admins 组的成员。
对于域或组织单位,并且当你位于域控制器上或安装了远程服务器管理工具的工作站上时
打开组策略管理控制台。
在控制台树中,右键单击要为其打开软件限制策略的组策略对象 (GPO)。
Click Edit to open the GPO that you want to edit. You can also click New to create a new GPO, and then click Edit.
在控制台树中,单击“软件限制策略”。
Where?
组策略对象 [ComputerName] 策略/计算机配置,或者
用户配置/Windows 设置/安全设置/软件限制策略
Note
若要执行此过程,您必须是 Domain Admins 组的成员。
对于站点,并且当你位于域控制器上或安装了远程服务器管理工具的工作站上时
打开组策略管理控制台。
在控制台树中,右键单击要为其设置组策略的站点。
Where?
Active Directory Sites and Services [Domain_Controller_Name.Domain_Name]/Sites/Site
单击“组策略对象链接”中的某个条目以选择现有组策略对象 (GPO),然后单击“编辑”。 You can also click New to create a new GPO, and then click Edit.
在控制台树中,单击“软件限制策略”。
Where
组策略对象 [ComputerName] 策略/计算机配置,或者
用户配置/Windows 设置/安全设置/软件限制策略
Note
若要执行该过程,你必须是本地计算机上 Administrators 组的成员,或你必须已被委派适当的权限。 如果计算机已加入域,则 Domain Admins 组的成员也许能够执行该过程。
To set policy settings that will be applied to computers, regardless of which users log on to them, click Computer Configuration.
To set policy settings that will be applied to users, regardless of which computer they log on to, click User Configuration.
创建新的软件限制策略
打开“软件限制策略”。
On the Action menu, click New Software Restriction Policies.
Warning
需要根据你的环境,使用不同的管理凭据来执行此过程:
If you create new software restriction policies for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
如果要为加入到域的计算机创建新的软件限制策略,则域管理员组的成员可以执行此过程。
如果已经为组策略对象 (GPO) 创建了软件限制策略,则“操作”菜单上不会显示“新建软件限制策略”命令。 若要删除已应用到 GPO 的软件限制策略,请在控制台树中,右键单击“软件限制策略”,然后单击“删除软件限制策略”。 删除某个 GPO 的软件限制策略时,会同时删除该 GPO 的所有软件限制策略规则。 在删除软件限制策略后,可为该 GPO 创建新的软件限制策略。
添加或删除指定的文件类型
打开“软件限制策略”。
在详细信息窗格中,双击“指定的文件类型”。
执行下列操作之一:
若要添加文件类型,请在“文件扩展名”中键入文件扩展名,然后单击“添加”。
若要删除文件类型,请在“指定的文件类型”中单击文件类型,然后单击“删除”。
Note
需要根据你在其中添加或删除指定文件类型的环境,使用不同的管理凭据执行此过程:
If you add or delete a designated file type for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
如果要为加入到域的计算机创建新的软件限制策略,则域管理员组的成员可以执行此过程。
可能需要为组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
指定的文件类型的列表由 GPO 的计算机配置和用户配置的所有规则共享。
防止向本地管理员应用软件限制策略
打开“软件限制策略”。
In the details pane, double-click Enforcement.
在“将软件限制策略应用于以下用户”下,单击“除本地管理员以外的所有用户”。
Warning
Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
可能需要为组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
如果用户成为组织中计算机上的本地 Administrators 组成员的情况很常见,则你可能不需要启用此选项。
如果要为本地计算机定义软件限制策略设置,请使用此过程来防止向本地管理员应用软件限制策略。 如果要为网络定义软件限制策略设置,请通过组策略根据安全组中的成员身份筛选用户策略设置。
更改软件限制策略的默认安全级别
打开“软件限制策略”。
In the details pane, double-click Security Levels.
右键单击要设置为默认安全级别的安全级别,然后单击“设为默认”。
Caution
In certain directories, setting the default security level to Disallowed can adversely affect your operating system.
Note
需要根据你要为其更改软件限制策略默认安全级别的环境,使用不同的管理凭据执行此过程。
可能需要为此组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
在详细信息窗格中,当前的默认安全级别以一个含有复选标记的黑圈表示。 如果右键单击当前的默认安全级别,菜单中不会显示“设为默认”命令。
可以创建软件限制策略规则来指定默认安全级别的例外。 When the default security level is set to Unrestricted, rules can specify software that is not allowed to run. When the default security level is set to Disallowed, rules can specify software that is allowed to run.
At installation, the default security level of software restriction policies on all files on your system is set to Unrestricted.
向 DLL 应用软件限制策略
打开“软件限制策略”。
In the details pane, double-click Enforcement.
在“将软件限制策略应用于以下”下,单击“所有软件文件”。
Note
若要执行该过程,你必须是本地计算机上 Administrators 组的成员,或你必须已被委派适当的权限。 如果计算机已加入域,则 Domain Admins 组的成员也许能够执行该过程。
默认情况下,软件限制策略不检查动态链接库 (DLL)。 检查 DLL 可能会降低系统性能,因为每加载一个 DLL 都必须评估软件限制策略。 但是,如果你担心会接收到针对 DLL 的病毒,则可以要求检查 DLL。 If the default security level is set to Disallowed, and you enable DLL checking, you must create software restriction policies rules that allow each DLL to run.