软件限制策略的简单应用
发布时间:2019-12-17 19:51:44 所属栏目:编程 来源:站长网
导读:单元的收集打点员必定都碰着过这种困扰,老板不但愿员工在事变的时刻聊QQ可能玩游戏,而总有员工会私下里安装被榨取的软件。奈何停止这种环境?固然有监控软件可以用,不外这样显得有些加害隐私。同时尚有一种很贫困的环境,此刻越来越多的病毒通过电子邮件
|
单元的收集打点员必定都碰着过这种困扰,老板不但愿员工在事变的时刻聊QQ可能玩游戏,而总有员工会私下里安装被榨取的软件。奈何停止这种环境?固然有监控软件可以用,不外这样显得有些加害隐私。同时尚有一种很贫困的环境,此刻越来越多的病毒通过电子邮件撒播,许多人都是有时中运行了电子邮件的附件而中毒的,有没有什么好的本领 可以停止员工运行泉源不明的文件?此刻好了,假如你的客户端是Windows XP Professional,那么就可以行使个中的软件限定计策。 简朴来说,软件限定计策是一种技能,通过这种技能,打点员可以抉择哪些措施(固然这里用了“措施”这个字眼,不外不光指exe文件,我们可以通过该技能限定任何范例扩展名的文件被执行)是可相信的,而哪些是不行相信的,对付不行相信的措施,则体系会拒绝执行。凡是,打点员可以让体系行使以下几种方法辨别软件是否可相信:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的地区、文件的刊行商、特定扩展名的全部文件,以及其他逼迫属性。 软件限定计策不只可以在单机的Windows XP操纵体系中配置,可以配置仅影响当前用户或用户组,可能影响全部当地登录到这台计较机上的全部用户;也可以通过域对全部插手该域的客户端计较机举办配置,同样可以配置影响某个特定的用户或用户组,可能全部用户。我们这里会以单机的情势举办声名,并配置影响全部用户。单机和事变组情形下的配置和这个是相同的。另一方面,偶然我们也许由于错误的配置而导致某些体系组件无法运行(譬喻榨取运行全部msc后缀的文件而无法打开组计策编辑器),这种环境下我们只要从头启动体系到安详模式,然后行使Administrator账号登录并删除或修改这一计策即可。由于安详模式下行使Administrator账号登录是不受这些计策影响的。 在本例中,我们假设了这样的应用:员工的计较机仅可运行操纵体系自带的全部措施(C盘),以及事变所必需的Word、Excel、 powerpoint和Outlook,其版本号皆为2003,并假设Office措施安装在D盘,员工电脑的操纵体系为Windows XP Professional。 运行Gpedit.msc打开组计策编辑器,细心看就可以发明,在“计较机设置”和“用户配置”下都各有一个软件限定计策的条目,到底行使哪个?假如你但愿这个计策仅对某个特定用户或用户组见效,则行使“用户设置”下的计策;假如你但愿对当地登录到计较机的全部用户见效,则行使“ 计较机设置”下的计策。这里我们必要对全部用户见效,因此选择行使“计较机设置”下的计策。 在开始设置之前我们还必要思量一个题目,我们所应承的软件都有哪些特性,而禁用的软件又有哪些特性,我们要想出一种最佳的计策,能使全部必要的软件正确运行,而全部不须要的软件一个都无法运行。在本例中,我们应承的大部门措施都位于体系盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件地址路径的要领抉择哪些措施是被信赖的。而对付安装在D盘的Office措施,也可恣意通过路径可能文件哈希的要领来抉择。 点击打开“计较机设置”下的软件限定计策条目,接着在“操纵”菜单下点击“建设新的计策”(今朝在安装SP1的XP上,这里默认是没有任何计策的,可是对付安装SP2的体系,这里已经有了建好的默认计策),体系将会建设两个新的条目:“安详级别”和“其余法则”。个中在安详级别条目下有两条法则,“不应承的”和“不受限的”,个中前者的意思是,默认环境下,全部软件都不应承运行,只有出格设置过的少数软件才可以运行;尔后者的意思是,默认环境下,全部软件都可以运行,只有出格设置过的少数软件才被榨取运行。由于我们本例中必要运行的软件都已经定下来了,因此我们必要行使“不应承的”作为默认法则。双击这条法则,然后点击“设为默认”按钮,并在赞成告诫信息后继承。 接着打开“其他法则”条目,可以看到,默认环境下这里已经有四个法则,都是按照注册表路径配置的,并且默认都配置为“不受限的”。凶猛提示你,万万不要修改这四个法则,不然你的体系运行将会碰着很大贫困,由于这四个路径都涉及到了重要体系措施及文件地址的位置。同时,我们前面说过的,位于体系盘下Program Files文件夹以及Windows文件夹下的文件是应承运行的,而这四条默认的法则已经包括了这个路径,因此我们后头要做的只是为Office措施添加一个法则。在右侧面板的空缺处点击鼠标右键,选择“新建哈希法则”,然后可以看到下图的界面。在这里点击“赏识”按钮,然后定位全部应承行使的 Office措施的可执行文件(还记得别离是什么吗?winword.exe、excel.exe、powerpnt.exe、 outlook.exe),并双击插手。接着在“安详级别”下拉菜单下选择“不受限的”,然后点击确定退出。一再以上步调,把这四个软件的可执行文件都添加进来,并配置为不受限的。 到这里各人可以思量一个题目,为什么我们选择为每个措施的可执行文件成立哈希法则?同一为Office应用措施成立一个路径法则不是更简朴?其拭魅这样才可以停止可执行文件被替代,可能用户把一些不必要安装的绿色软件复制到这个目次下运行。由于假如成立的是目次法则,那么全部生涯在应承目次下的文件都将可以被执行,包罗应承措施自己的文件,也包罗用户复制进来的任何其他文件。而哈希法则就差异了,一个特定文件的哈希值是牢靠的,只要文件内容不产生变革,那么它的哈希值就永久不会变。这样也就停止了造假的也许。不外同时也存在一个题目,固然文件的哈希值可以稳固革,可是文件自己也许会必要某些改变。譬喻你安装了一个Word的补丁措施,那么winword.exe文件的哈希值也许就会变革。因此假如你选择建设这种法则,每当软件更新后你也必要看环境同步更新一下响应的法则。不然正常措施的运行也会被影响。 除此之外,这里尚有几条计策可以被我们操作:逼迫,可以限制软件限定计接应用到哪些文件以及是否应用到Administrator账户;指派的文件范例,用于指定具有哪些扩展名的文件可以被体系以为是可执行文件,我们可以添加或删除某种范例扩展名的文件;收信赖的出书商,则可以用来抉择哪些用户可以选择收信赖的出书商,以及信赖之前还必要采纳的其他操纵。这三个计策可以按照本身的实 际环境作出选择。 当软件表现计策配置好之后,一旦被限定的用户试图运行被榨取的措施,那么体系将会立即发出告诫并拒绝执行。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
