随着系统的发展,软件的功能和总类也越来越多了,在给我们提供了更方便、更快捷的办公和娱乐方式,同时也给IT管理者带来了新的难题,软件的管理。当然如果站在员工的角度来说,谁不希望上班的时候,可以一边听音乐一边办公;谁不希望办公有点累了,放点电影看看。但如果站在老板的角度来说,这些都不是老板所希望的,工作的时候,希望员工在专心工作,而不是边工作边做其他的事情,这样就会出现老板让限制员工安装软件,使用软件;对于软件的安装我们可以不给本地管理员权限,但对于软件的使用呢?有人说不安装就不会存在使用问题,那就错了,首先说的就是绿色软件,这是没办法限制的,不需要安装,即使不是管理员同样可以使用;

        

  本文所演示的只是单纯的利用技术,通过组策略限制软件的使用,并不包含行政,实际使用中应答与行政相结合;

 

  优势是很明显的,它是系统的一部分,不存在兼容性问题,不占用内存,属于系统最底层保护,保护能力远不是HIPS可以比拟的。

        劣势也很明显,与HIPS相比,它不够灵活和智能,不存在学习模式,它只会默认阻止或放行,不会询问用户,若规则设置不当,可能导致某些程序不能运行


 

注意:

1、不建议直接修改默认的域策略;:

因为在自定义策略出问题的时候,可以重新使用默认策略;

 

2、为软件限制策略创建单独的组策略对象:

在某些特殊的情况下可以禁用该策略,但不会影响其他策略;

 

3、为获得最佳的安全性,请与访问控制列表搭配使用:

用户可能会通过重命名或移动不被允许的文件来设法绕过软件限制策略。因此,建议使用访问控制列表 (ACL) 拒绝用户在执行这些任务时所需的访问。

 

4、在使用到生产环境之前,应先经过试验环境的测试:

可以减少部署时出现突发状况和故障率;

 

更多注意事项,请参阅软件限制策略最佳操作: http://technet.microsoft.com/zh-CN/library/cc739214

 

 

下面我们看一看软件限制策略的具体操作吧:

1、点击“开始”,在搜索栏输入“gpmc.msc”,打开“组策略管理器”

wKioL1T_AZCgzuI0AABrFaIMR8M392.jpg

 

2、在前面注意事项,就说多,建议为软件策略创建单独的组策略,这样可以在突发状况的情况下,可以禁用软件限制策略,而不影响到其他策略;所以这里原来有了一个组策略,在这里又重新建了一条组策略,右击你想要创建组策略的OUIT”,选择“在这个域中创建GPO并在此处链接”;

wKiom1T_AH6SOSlnAAIaqEfvnXs462.jpg

 

3、在名称输入框内,给该策略新建一个友好的名称;

wKiom1T_AIuQAvR4AAB46dGA0lU010.jpg

 

4、新建号策略之后,就要对策略进行编辑了,右击刚刚创建的策略“软件限制”并选择“编辑”;

wKioL1T_AbXx_-WxAAGj6ixFRQc894.jpg

 

5、打开“组策略管理编辑器”,展开“计算机配置—策略—Windows 设置—安全设置—软件限制策略”,你可以看到此时的状态是“没有定义软件限制策略”;右击“软件限制策略”并选择“创建软件限制策略”;

wKiom1T_AKvQ3o3XAAIvzTJ6PxE739.jpg

 

6、默认情况下,所有软件都是不受限制的,只是受到用户访问权限的限制;选择“软件限制策略”下面的“安全级别”,双击右边的“不允许”;

wKioL1T_AdzAUyGtAAJCPUbhNoY389.jpg

 

7、打开“不允许”属性窗口,选择“设为默认”;

wKioL1T_AfDRS-udAAEeymyamEs990.jpg

 

8、选择“设为默认”后,会弹出一个类似“警告”的对话框,问你是否继续,选择“是”;然后选择“确定”;

wKioL1T_AgCR4-3bAAFdIFZvGWA151.jpg

 

 

9、这个时候,我们在客户端登陆,运行软件的时候,会出现这样的报错,同样打开软件安装路径也运行软件也会有这样的报错,没办法运行;

wKiom1T_APLA2h4CAACwRpZbt10498.jpg

 

10、软件已经是限制了,但允许的软件怎么运行呢?选择“软件限制策略”下面的“其他规则”;

wKioL1T_AhqzFbM3AAJaZG291G4847.jpg

 

我们先来看看什么是路径规则:

如果计算机的默认安全级别为“不允许的”,您仍然可以授权每个用户不受限制地访问特定文件夹。创建路径规则的方法是:使用文件路径并将该路径规则的安全级别设为“不受限的”。

11、在右边空白处右击,选择“新建路径规则”;

wKiom1T_AQrDd9mkAAIF8iBdOwQ426.jpg

 

12、打开新建路径规则对话框,选择“浏览”;

wKioL1T_AjPzFAOYAAECJ5L50Qw663.jpg

 

13、找到对应的路径,选择“确定”;(我这里演示的是C:\Program Files,但我下面客户端演示的是C:\Program FilesX86)路径,是一个重复添加的过程,我就没有截图了。在生产环境中要指定到你安装软件的文件夹路径即可,所以建议客户端软件都安装在统一的同一个文件夹下面,这样可以少做一些路径规则。)回到新建路径规则对话框,其他直接使用默认设置,选择“确定”;

wKiom1T_ASHTcTM5AAGSjSoGQB0640.jpg

 

14、此时我们在登录到客户端,打开桌面上的图标,你会看到错误提示依旧在,“C:\Program FilesX86\Tencent\QQ\bin”目录下,运行QQ的时候,是可以运行的,那么说明我们做的路径策略正确了,至于桌面的为什么不行,我们在后面会说;

wKiom1T_AS7DN8_1AANNjGk1GnQ380.jpg

 

注意:修改组策略后,不是立即生效的,需要我们手动强制刷新,在cmd下输入“gpupdate  /force”;当然你也可以通过重启来刷新组策略;在后面我会省略这个过程。

wKioL1T_AmCCTJTfAAFzqAn0GDY364.jpg

 

当然路径规则中也可以使用环境变量,后面讲到桌面以及一些其他位置的时候,我们在细说;

关于路径规则使用的一些注意事项:http://technet.microsoft.com/zh-CN/library/cc781337