软件限制策略利用组策略的GPO来设置,可以在本地计算机,站点,域,OU4个不同的地方来设置软件限制策略,如果以上4级策略设置冲突,优先级由低到高是:本地-站点--OU <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

软件限制策略的规则

安全级别有两种:

不受限的(系统默认):所有登录用户都可以运行指定的软件(只要有权限)

不允许的:不论用户对软件文件有哪种访问权限,都不允许运行

可以通过“哈希规则”,“证书规则”,“路径规则”,“Internet趋于规则”4种规则来建立例外的安全级别

哈希(hash)规则:根据软件程序的内容计算出的一连串固定数目的数。它是根据软件程序的内容算出来的,因此不同的软件有着不同的“哈希”值,所以系统可以用它来识别软件。在为某个软件建立哈希规则,限制用户不允许运行此软件时,系统就会为该软件建立一个哈希值。当用户要运行此软件时,用户的计算机就会对比其自行算出来的哈希值,判断是否与软件限制策略中的哈希值相同,如果相同,就拒绝此软件运行。因此软件的文件名被改变或者被转移到其他位置,哈希值不会改变,仍然收到软件限制策略的约束。 但不能用此策略来防病毒,如果可执行文件被感染,则计算出的哈希值会改变,文件可以被运行

证书规则:通过“签署证书”识别软件,也就是说通过建立“证书规则”允许或拒绝用户运行某软件(只适用于MSIWindows Installer Package)文件和脚本scripts,不适用于.exe.dll的程序)

路径规则:用软件所在的路径来识别软件。如果软件被转移到其他目录,则不受约束。分为文件夹路径规则和注册表路径规则两种

Internet区域规则:利用软件所在的“Internet区域”来辨别软件,区域包括本地计算机,本地Intranet,受信任的站点,受限制的站点与Internet,也可使用IE来设置。只适用于Windows Installer PackageMSI文件)

对同一个软件设置多个软件限制规则,这些规则的优先级由高到低为:哈希规则-证书规则-路径规则-Internet区域规则,

证书规则:先启用(组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-系统设置:为软件限制策略对Windows可执行文件使用证书规则)