應(yīng)用規(guī)則有:1���、證書規(guī)則��,可以通過簽名證書來識別軟件���;2、哈希規(guī)則���,用于唯一標識某個軟件程序或文件;3��、Internet區(qū)域規(guī)則���,只適用于“Windows Installer”程序包�����;4���、路徑規(guī)則��,根據(jù)軟件的文件路徑來識別軟件。
軟件限制策略的應(yīng)用規(guī)則是什么��?
使用軟件限制策略�����,可以通過標識和指定允許運行的軟件來保護計算環(huán)境免受不受信任的軟件的限制��。 可以將組策略對象的默認安全級別定義為 "不 受限制 " 或 "不允許" (GPO) ,以便默認允許或不允許運行軟件���。 您可以通過為特定軟件創(chuàng)建軟件限制策略規(guī)則,對此默認安全級別進行例外���。 例如,默認安全級別設(shè)置為“不允許”時���,你可以創(chuàng)建允許運行特定軟件的規(guī)則。 規(guī)則的類型如下:
1��、證書規(guī)則
軟件限制策略還可以通過簽名證書來識別軟件���。 你可以創(chuàng)建一個證書規(guī)則來識別軟件���,然后根據(jù)安全級別允許或不允許運行該軟件�����。 例如�����,可以使用證書規(guī)則自動信任來自域中受信任源的軟件,且不提示用戶��。 還可以使用證書規(guī)則來運行操作系統(tǒng)的不受允許區(qū)域中的文件��。 默認情況下���,不會啟用證書規(guī)則�����。
當使用組策略為域創(chuàng)建規(guī)則時,您必須具有創(chuàng)建或修改組策略對象的權(quán)限�����。 如果要為本地計算機創(chuàng)建規(guī)則�����,則你必須擁有該計算機上的管理憑據(jù)。
2、哈希規(guī)則
哈希是具有固定長度的一系列字節(jié),用于唯一標識某個軟件程序或文件。 哈希由哈希算法計算�����。 為軟件程序創(chuàng)建哈希規(guī)則后��,軟件限制策略將計算該程序的哈希��。 當用戶嘗試打開某個軟件程序時,會將該程序的哈希與軟件限制策略的現(xiàn)有哈希規(guī)則進行比較。 不管軟件程序位于計算機上的哪個位置�����,該程序的哈希都始終相同��。 但是���,如果以任何方式對軟件程序做了更改�����,則其哈希也會更改,不再與軟件限制策略的哈希規(guī)則中的哈希匹配。
例如��,可以創(chuàng)建一個哈希規(guī)則并將安全級別設(shè)置為“不允許”���,以防止用戶運行特定的文件���。 可以重命名某個文件或?qū)⑵湟频搅硪粋€文件夾���,而哈希仍保持相同�����。 但是,如果對該文件進行了任何更改��,則也會更改它的哈希值��,并允許它繞過限制���。
3��、Internet 區(qū)域規(guī)則
Internet 區(qū)域規(guī)則只適用于 Windows Installer 程序包。 區(qū)域規(guī)則可以識別通過 Internet Explorer 指定的區(qū)域中的軟件���。 這些區(qū)域為“Internet”、“本地 Intranet”���、“受限制的站點”、“受信任的站點”和“我的電腦”���。 Internet 區(qū)域規(guī)則用于阻止用戶下載和安裝軟件���。
4���、路徑規(guī)則
路徑規(guī)則根據(jù)軟件的文件路徑來識別軟件��。 例如,如果計算機的默認安全級別為“不允許”,則你仍可為每個用戶授予對特定文件夾的無限制訪問權(quán)限。 你可以創(chuàng)建一個路徑規(guī)則,方法是使用文件路徑�����,并將路徑規(guī)則的安全級別設(shè)置為“不受限”�����。 這種類型的規(guī)則的某些常見路徑為 %userprofile%�����、%windir%���、%appdata%�����、%programfiles% 和 %temp%�����。 還可以創(chuàng)建注冊表路徑規(guī)則,這些規(guī)則使用軟件的注冊表項作為其路徑��。
由于這些規(guī)則是按路徑指定的��,因此�����,如果移動了軟件程序,路徑規(guī)則將不再適用��。
聲明:本文轉(zhuǎn)載于:互聯(lián)網(wǎng)���,如有侵犯���,請聯(lián)系service@Juming.com刪除
