軟件限制策略的應(yīng)用規(guī)則是什么？

軟件限制策略的應(yīng)用規(guī)則是什么？

使用軟件限制策略，可以通過(guò)標(biāo)識(shí)和指定允許運(yùn)行的軟件來(lái)保護(hù)計(jì)算環(huán)境免受不受信任的軟件的限制。 可以將組策略對(duì)象的默認(rèn)安全級(jí)別定義為 "不 受限制 " 或 "不允許" (GPO) ，以便默認(rèn)允許或不允許運(yùn)行軟件。 您可以通過(guò)為特定軟件創(chuàng)建軟件限制策略規(guī)則，對(duì)此默認(rèn)安全級(jí)別進(jìn)行例外。 例如，默認(rèn)安全級(jí)別設(shè)置為“不允許”時(shí)，你可以創(chuàng)建允許運(yùn)行特定軟件的規(guī)則。 規(guī)則的類型如下：

1、證書(shū)規(guī)則

軟件限制策略還可以通過(guò)簽名證書(shū)來(lái)識(shí)別軟件。 你可以創(chuàng)建一個(gè)證書(shū)規(guī)則來(lái)識(shí)別軟件，然后根據(jù)安全級(jí)別允許或不允許運(yùn)行該軟件。 例如，可以使用證書(shū)規(guī)則自動(dòng)信任來(lái)自域中受信任源的軟件，且不提示用戶。 還可以使用證書(shū)規(guī)則來(lái)運(yùn)行操作系統(tǒng)的不受允許區(qū)域中的文件。 默認(rèn)情況下，不會(huì)啟用證書(shū)規(guī)則。

當(dāng)使用組策略為域創(chuàng)建規(guī)則時(shí)，您必須具有創(chuàng)建或修改組策略對(duì)象的權(quán)限。 如果要為本地計(jì)算機(jī)創(chuàng)建規(guī)則，則你必須擁有該計(jì)算機(jī)上的管理憑據(jù)。

2、哈希規(guī)則

哈希是具有固定長(zhǎng)度的一系列字節(jié)，用于唯一標(biāo)識(shí)某個(gè)軟件程序或文件。 哈希由哈希算法計(jì)算。 為軟件程序創(chuàng)建哈希規(guī)則后，軟件限制策略將計(jì)算該程序的哈希。 當(dāng)用戶嘗試打開(kāi)某個(gè)軟件程序時(shí)，會(huì)將該程序的哈希與軟件限制策略的現(xiàn)有哈希規(guī)則進(jìn)行比較。 不管軟件程序位于計(jì)算機(jī)上的哪個(gè)位置，該程序的哈希都始終相同。 但是，如果以任何方式對(duì)軟件程序做了更改，則其哈希也會(huì)更改，不再與軟件限制策略的哈希規(guī)則中的哈希匹配。

例如，可以創(chuàng)建一個(gè)哈希規(guī)則并將安全級(jí)別設(shè)置為“不允許”，以防止用戶運(yùn)行特定的文件。 可以重命名某個(gè)文件或?qū)⑵湟频搅硪粋€(gè)文件夾，而哈希仍保持相同。 但是，如果對(duì)該文件進(jìn)行了任何更改，則也會(huì)更改它的哈希值，并允許它繞過(guò)限制。

3、Internet 區(qū)域規(guī)則

Internet 區(qū)域規(guī)則只適用于 Windows Installer 程序包。 區(qū)域規(guī)則可以識(shí)別通過(guò) Internet Explorer 指定的區(qū)域中的軟件。 這些區(qū)域?yàn)?ldquo;Internet”、“本地 Intranet”、“受限制的站點(diǎn)”、“受信任的站點(diǎn)”和“我的電腦”。 Internet 區(qū)域規(guī)則用于阻止用戶下載和安裝軟件。

4、路徑規(guī)則

路徑規(guī)則根據(jù)軟件的文件路徑來(lái)識(shí)別軟件。 例如，如果計(jì)算機(jī)的默認(rèn)安全級(jí)別為“不允許”，則你仍可為每個(gè)用戶授予對(duì)特定文件夾的無(wú)限制訪問(wèn)權(quán)限。 你可以創(chuàng)建一個(gè)路徑規(guī)則，方法是使用文件路徑，并將路徑規(guī)則的安全級(jí)別設(shè)置為“不受限”。 這種類型的規(guī)則的某些常見(jiàn)路徑為 %userprofile%、%windir%、%appdata%、%programfiles% 和 %temp%。 還可以創(chuàng)建注冊(cè)表路徑規(guī)則，這些規(guī)則使用軟件的注冊(cè)表項(xiàng)作為其路徑。

由于這些規(guī)則是按路徑指定的，因此，如果移動(dòng)了軟件程序，路徑規(guī)則將不再適用。