軟件限制策略的應用規則是什么？

軟件限制策略的應用規則是什么？

使用軟件限制策略，可以通過標識和指定允許運行的軟件來保護計算環境免受不受信任的軟件的限制。 可以將組策略對象的默認安全級別定義為 "不 受限制 " 或 "不允許" (GPO) ，以便默認允許或不允許運行軟件。 您可以通過為特定軟件創建軟件限制策略規則，對此默認安全級別進行例外。 例如，默認安全級別設置為“不允許”時，你可以創建允許運行特定軟件的規則。 規則的類型如下：

1、證書規則

軟件限制策略還可以通過簽名證書來識別軟件。 你可以創建一個證書規則來識別軟件，然后根據安全級別允許或不允許運行該軟件。 例如，可以使用證書規則自動信任來自域中受信任源的軟件，且不提示用戶。 還可以使用證書規則來運行操作系統的不受允許區域中的文件。 默認情況下，不會啟用證書規則。

當使用組策略為域創建規則時，您必須具有創建或修改組策略對象的權限。 如果要為本地計算機創建規則，則你必須擁有該計算機上的管理憑據。

2、哈希規則

哈希是具有固定長度的一系列字節，用于唯一標識某個軟件程序或文件。 哈希由哈希算法計算。 為軟件程序創建哈希規則后，軟件限制策略將計算該程序的哈希。 當用戶嘗試打開某個軟件程序時，會將該程序的哈希與軟件限制策略的現有哈希規則進行比較。 不管軟件程序位于計算機上的哪個位置，該程序的哈希都始終相同。 但是，如果以任何方式對軟件程序做了更改，則其哈希也會更改，不再與軟件限制策略的哈希規則中的哈希匹配。

例如，可以創建一個哈希規則并將安全級別設置為“不允許”，以防止用戶運行特定的文件。 可以重命名某個文件或將其移到另一個文件夾，而哈希仍保持相同。 但是，如果對該文件進行了任何更改，則也會更改它的哈希值，并允許它繞過限制。

3、Internet 區域規則

Internet 區域規則只適用于 Windows Installer 程序包。 區域規則可以識別通過 Internet Explorer 指定的區域中的軟件。 這些區域為“Internet”、“本地 Intranet”、“受限制的站點”、“受信任的站點”和“我的電腦”。 Internet 區域規則用于阻止用戶下載和安裝軟件。

4、路徑規則

路徑規則根據軟件的文件路徑來識別軟件。 例如，如果計算機的默認安全級別為“不允許”，則你仍可為每個用戶授予對特定文件夾的無限制訪問權限。 你可以創建一個路徑規則，方法是使用文件路徑，并將路徑規則的安全級別設置為“不受限”。 這種類型的規則的某些常見路徑為 %userprofile%、%windir%、%appdata%、%programfiles% 和 %temp%。 還可以創建注冊表路徑規則，這些規則使用軟件的注冊表項作為其路徑。

由于這些規則是按路徑指定的，因此，如果移動了軟件程序，路徑規則將不再適用。