軟體限制政策（1）

  随着系統的發展，軟體的功能和總類也越來越多了，在給我們提供了更友善、更快捷的辦公和娛樂方式，同時也給IT管理者帶來了新的難題，軟體的管理。當然如果站在員工的角度來說，誰不希望上班的時候，可以一邊聽音樂一邊辦公；誰不希望辦公有點累了，放點電影看看。但如果站在老闆的角度來說，這些都不是老闆所希望的，工作的時候，希望員工在專心工作，而不是邊工作邊做其他的事情，這樣就會出現老闆讓限制員工安裝軟體，使用軟體；對于軟體的安裝我們可以不給本地管理者權限，但對于軟體的使用呢？有人說不安裝就不會存在使用問題，那就錯了，首先說的就是綠色軟體，這是沒辦法限制的，不需要安裝，即使不是管理者同樣可以使用；

  本文所示範的隻是單純的利用技術，通過組政策限制軟體的使用，并不包含行政，實際使用中應答與行政相結合；

  優勢是很明顯的，它是系統的一部分，不存在相容性問題，不占用記憶體，屬于系統最底層保護，保護能力遠不是HIPS可以比拟的。

        劣勢也很明顯，與HIPS相比，它不夠靈活和智能，不存在學習模式，它隻會預設阻止或放行，不會詢問使用者，若規則設定不當，可能導緻某些程式不能運作

注意：

1、不建議直接修改預設的域政策；：

因為在自定義政策出問題的時候，可以重新使用預設政策；

2、為軟體限制政策建立單獨的組政策對象：

在某些特殊的情況下可以禁用該政策，但不會影響其他政策；

3、為獲得最佳的安全性，請與通路控制清單搭配使用：

使用者可能會通過重命名或移動不被允許的檔案來設法繞過軟體限制政策。是以，建議使用通路控制清單 (ACL) 拒絕使用者在執行這些任務時所需的通路。

4、在使用到生産環境之前，應先經過試驗環境的測試：

可以減少部署時出現突發狀況和故障率；

下面我們看一看軟體限制政策的具體操作吧：

1、點選“開始”，在搜尋欄輸入“gpmc.msc”，打開“組政策管理器”

<a href="http://s3.51cto.com/wyfs02/M02/5B/15/wKioL1T_AZCgzuI0AABrFaIMR8M392.jpg" target="_blank"></a>

2、在前面注意事項，就說多，建議為軟體政策建立單獨的組政策，這樣可以在突發狀況的情況下，可以禁用軟體限制政策，而不影響到其他政策；是以這裡原來有了一個組政策，在這裡又重建立了一條組政策，右擊你想要建立組政策的OU“IT”，選擇“在這個域中建立GPO并在此處連結”；

<a href="http://s3.51cto.com/wyfs02/M02/5B/1B/wKiom1T_AH6SOSlnAAIaqEfvnXs462.jpg" target="_blank"></a>

3、在名稱輸入框内，給該政策建立一個友好的名稱；

<a href="http://s3.51cto.com/wyfs02/M01/5B/1B/wKiom1T_AIuQAvR4AAB46dGA0lU010.jpg" target="_blank"></a>

4、建立号政策之後，就要對政策進行編輯了，右擊剛剛建立的政策“軟體限制”并選擇“編輯”；

<a href="http://s3.51cto.com/wyfs02/M01/5B/15/wKioL1T_AbXx_-WxAAGj6ixFRQc894.jpg" target="_blank"></a>

5、打開“組政策管理編輯器”，展開“計算機配置—政策—Windows 設定—安全設定—軟體限制政策”，你可以看到此時的狀态是“沒有定義軟體限制政策”；右擊“軟體限制政策”并選擇“建立軟體限制政策”；

<a href="http://s3.51cto.com/wyfs02/M01/5B/1B/wKiom1T_AKvQ3o3XAAIvzTJ6PxE739.jpg" target="_blank"></a>

6、預設情況下，所有軟體都是不受限制的，隻是受到使用者通路權限的限制；選擇“軟體限制政策”下面的“安全級别”，輕按兩下右邊的“不允許”；

<a href="http://s3.51cto.com/wyfs02/M02/5B/15/wKioL1T_AdzAUyGtAAJCPUbhNoY389.jpg" target="_blank"></a>

7、打開“不允許”屬性視窗，選擇“設為預設”；

<a href="http://s3.51cto.com/wyfs02/M00/5B/15/wKioL1T_AfDRS-udAAEeymyamEs990.jpg" target="_blank"></a>

8、選擇“設為預設”後，會彈出一個類似“警告”的對話框，問你是否繼續，選擇“是”；然後選擇“确定”；

<a href="http://s3.51cto.com/wyfs02/M01/5B/15/wKioL1T_AgCR4-3bAAFdIFZvGWA151.jpg" target="_blank"></a>

9、這個時候，我們在用戶端登陸，運作軟體的時候，會出現這樣的報錯，同樣打開軟體安裝路徑也運作軟體也會有這樣的報錯，沒辦法運作；

<a href="http://s3.51cto.com/wyfs02/M01/5B/1B/wKiom1T_APLA2h4CAACwRpZbt10498.jpg" target="_blank"></a>

10、軟體已經是限制了，但允許的軟體怎麼運作呢？選擇“軟體限制政策”下面的“其他規則”；

<a href="http://s3.51cto.com/wyfs02/M02/5B/15/wKioL1T_AhqzFbM3AAJaZG291G4847.jpg" target="_blank"></a>

我們先來看看什麼是路徑規則：

如果計算機的預設安全級别為“不允許的”，您仍然可以授權每個使用者不受限制地通路特定檔案夾。建立路徑規則的方法是：使用檔案路徑并将該路徑規則的安全級别設為“不受限的”。

11、在右邊空白處右擊，選擇“建立路徑規則”；

<a href="http://s3.51cto.com/wyfs02/M02/5B/1B/wKiom1T_AQrDd9mkAAIF8iBdOwQ426.jpg" target="_blank"></a>

12、打開建立路徑規則對話框，選擇“浏覽”；

<a href="http://s3.51cto.com/wyfs02/M00/5B/15/wKioL1T_AjPzFAOYAAECJ5L50Qw663.jpg" target="_blank"></a>

13、找到對應的路徑，選擇“确定”；（我這裡示範的是C:\Program Files，但我下面用戶端示範的是C:\Program Files（X86）路徑，是一個重複添加的過程，我就沒有截圖了。在生産環境中要指定到你安裝軟體的檔案夾路徑即可，是以建議用戶端軟體都安裝在統一的同一個檔案夾下面，這樣可以少做一些路徑規則。）回到建立路徑規則對話框，其他直接使用預設設定，選擇“确定”；

<a href="http://s3.51cto.com/wyfs02/M00/5B/1B/wKiom1T_ASHTcTM5AAGSjSoGQB0640.jpg" target="_blank"></a>

14、此時我們在登入到用戶端，打開桌面上的圖示，你會看到錯誤提示依舊在，“C:\Program Files（X86）\Tencent\QQ\bin”目錄下，運作QQ的時候，是可以運作的，那麼說明我們做的路徑政策正确了，至于桌面的為什麼不行，我們在後面會說；

<a href="http://s3.51cto.com/wyfs02/M01/5B/1B/wKiom1T_AS7DN8_1AANNjGk1GnQ380.jpg" target="_blank"></a>

注意：修改組政策後，不是立即生效的，需要我們手動強制重新整理，在cmd下輸入“gpupdate  /force”；當然你也可以通過重新開機來重新整理組政策；在後面我會省略這個過程。

<a href="http://s3.51cto.com/wyfs02/M02/5B/15/wKioL1T_AmCCTJTfAAFzqAn0GDY364.jpg" target="_blank"></a>

當然路徑規則中也可以使用環境變量，後面講到桌面以及一些其他位置的時候，我們在細說；

本文轉自 as900 51CTO部落格，原文連結：http://blog.51cto.com/yupeizhi/1619158，如需轉載請自行聯系原作者