Yazılım kısıtlama ilkeleri yönetme
Uygulama Alanı: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
BT uzmanları için bu konu Windows Server 2008 ve Windows Vista ile yazılım kısıtlama ilkeleri (SRP) başına kullanarak uygulama denetim ilkeleri yönetmek nasıl yordamları içerir.
Giriş
Yazılım Kısıtlama İlkeleri (SRP), bir etki alanındaki bilgisayarlarda çalışan yazılım programlarını tanımlayan ve bu programların çalışma özelliğini denetleyen Grup İlkesi tabanlı bir özelliktir. Yazılım kısıtlama ilkeleri, bilgisayarlar, yalnızca özel olarak belirlenen uygulamalar çalışmasına izin vermek için yüksek oranda kısıtlı bir yapılandırma oluşturmak için kullanın. Bunlar Microsoft Active Directory etki alanı Hizmetleri ve Grup İlkesi ile tümleşik ancak tek başına bilgisayarlar üzerinde de yapılandırılabilir. SRP hakkında daha fazla bilgi için bkz: Yazılım Kısıtlama İlkeleri.
İle başlayarak Windows Server 2008 R2 ve Windows 7, Windows AppLocker kullanılabilir yerine veya SRP birlikte uygulama denetimi stratejinizin bir parçası için. AppLocker içinde hakkında bilgi için Windows Server 2012 ve Windows 8, bkz: AppLocker Genel Bakış [istemci].
Bu konu içerir:
Yazılım kısıtlama ilkeleri açmak için
Yeni yazılım kısıtlama ilkeleri oluşturmak için
Belirtilen dosya türü eklemek veya silmek için
Yazılım kısıtlama ilkeleri için yerel Yöneticiler uygulanmasını önlemek için
Yazılım kısıtlama ilkeleri varsayılan güvenlik düzeyini değiştirmek için
Yazılım kısıtlama ilkeleri DLL'lere uygulamak için
SRP kullanarak belirli görevlerin nasıl gerçekleştirileceğini hakkında daha fazla bilgi için aşağıdakilere bakın:
Yazılım kısıtlama ilkeleri açmak için
Yerel bilgisayar için
Bir etki alanı için site veya kuruluş birimi ve üye sunucu veya bir etki alanına iş istasyonu olan
Etki alanı veya kuruluş birimi ve bir etki alanı denetleyicisi veya uzak sunucu yönetim araçları yüklü bir iş istasyonu olan
Bir site için ve bir etki alanı denetleyicisi veya uzak sunucu yönetim araçları yüklü bir iş istasyonunda olduğunuzda
Yerel bilgisayar için
Yerel güvenlik ayarlarını açın.
Konsol ağacında tıklatın yazılım kısıtlama ilkeleri.
Nerede?
- Güvenlik ayarları/yazılım kısıtlama ilkeleri
Not
Bu yordamı uygulamak için yerel bilgisayarda Yöneticiler grubunun üyesi olmanız ve size uygun yetkilerin atanış olması gerekir.
Bir etki alanı için site veya kuruluş birimi ve üye sunucu veya bir etki alanına iş istasyonu olan
Microsoft Yönetim Konsolu (MMC) açın.
Üzerinde Dosya menüsünde tıklatın Ekle/Kaldır ek bileşenini, ve ardından Ekle.
Tıklatın Yerel Grup İlkesi Nesne Düzenleyicisi, ve ardından Ekle.
İçinde Grup İlkesi nesnesi Seç, tıklatın Gözat.
İçinde bir Grup İlkesi nesnesine Gözat, uygun etki alanı, site veya kuruluş birimi için--bir Grup İlkesi nesnesi (GPO) seçin veya yeni bir tane oluşturun ve ardından Son.
Tıklatın Kapat, ve ardından Tamam.
Konsol ağacında tıklatın yazılım kısıtlama ilkeleri.
Nerede?
Grup İlkesi nesnesini [ComputerName] İlkesi/Bilgisayar Yapılandırması veya
Kullanıcı Yapılandırması/Windows ayarları/güvenlik ayarları/yazılım kısıtlama ilkeleri
Not
Bu yordamı gerçekleştirmek için Domain Admins grubunun üyesi olması gerekir.
Etki alanı veya kuruluş birimi ve bir etki alanı denetleyicisi veya uzak sunucu yönetim araçları yüklü bir iş istasyonu olan
Grup İlkesi Yönetim Konsolu'nu açın.
Konsol ağacında, yazılım kısıtlama ilkeleri için açmak istediğiniz Grup İlkesi nesnesi (GPO) sağ tıklayın.
Tıklatın Düzenle düzenlemek istediğiniz GPO'yu açmak için. Ayrıca Yeni yeni bir GPO oluşturmak ve ardından Düzenle.
Konsol ağacında tıklatın yazılım kısıtlama ilkeleri.
Nerede?
Grup İlkesi nesnesini [ComputerName] İlkesi/Bilgisayar Yapılandırması veya
Kullanıcı Yapılandırması/Windows ayarları/güvenlik ayarları/yazılım kısıtlama ilkeleri
Not
Bu yordamı gerçekleştirmek için Domain Admins grubunun üyesi olması gerekir.
Bir site için ve bir etki alanı denetleyicisi veya uzak sunucu yönetim araçları yüklü bir iş istasyonunda olduğunuzda
Grup İlkesi Yönetim Konsolu'nu açın.
Konsol ağacında, Grup İlkesi'ni ayarlamak istediğiniz siteyi sağ tıklatın.
Nerede?
- Active Directory Siteleri ve Hizmetleri [Domain_Controller_Name.Domain_Name] / siteler/Site
Bir girdiye tıklayın Grup İlkesi Nesne Bağlantıları varolan bir Grup İlkesi nesnesi (GPO) seçin ve ardından Düzenle. Ayrıca Yeni yeni bir GPO oluşturmak ve ardından Düzenle.
Konsol ağacında tıklatın yazılım kısıtlama ilkeleri.
Burada
Grup İlkesi nesnesini [ComputerName] İlkesi/Bilgisayar Yapılandırması veya
Kullanıcı Yapılandırması/Windows ayarları/güvenlik ayarları/yazılım kısıtlama ilkeleri
Not
-
Bu yordamı uygulamak için yerel bilgisayarda Yöneticiler grubunun üyesi olmanız ve size uygun yetkilerin atanış olması gerekir. Bilgisayar bir etki alanına katılıyorsa, Etki Alanı Yöneticileri grubunun üyeleri bu yordamı gerçekleştirebilir.
-
Hangi kullanıcıların oturum açtığını, bağımsız olarak bilgisayarlara uygulanacak ilke ayarları ayarlamak için tıklatın Bilgisayar Yapılandırması.
-
Kullanıcılar, hangi bilgisayara oturum açmayı, uygulanacak ilke ayarları ayarlamak için tıklatın Kullanıcı Yapılandırması.
Yeni yazılım kısıtlama ilkeleri oluşturmak için
Yazılım Kısıtlama İlkeleri'ni açın.
Üzerinde Eylem menüsünde tıklatın Yeni yazılım kısıtlama ilkeleri.
Uyarı
-
Ortamınıza bağlı olarak bu yordamı gerçekleştirmek için farklı yönetici kimlik bilgileri gerekir:
-
Yerel bilgisayar için yeni yazılım kısıtlama ilkeleri oluşturursanız: Yerel Administrators grubu ya da eşdeğerine üyelik, bu yordamı tamamlamak için gereken en düşük gereksinimdir.
-
Bir etki alanına katılmış bir bilgisayar için yeni yazılım kısıtlama ilkeleri oluşturursanız, Domain Admins grubunun üyeleri bu yordamı gerçekleştirebilirsiniz.
-
-
Bir Grup İlkesi nesnesi (GPO için), yazılım kısıtlama ilkeleri zaten oluşturulmuşsa Yeni yazılım kısıtlama ilkeleri komut üzerinde görünmez Eylem menü. Konsol ağacında bir GPO'ya uygulanan yazılım kısıtlama ilkeleri silmek için sağ yazılım kısıtlama ilkeleri, ve ardından yazılım kısıtlama ilkeleri silmek. Yazılım kısıtlama ilkeleri için GPO sildiğinizde, o GPO için aynı zamanda tüm yazılım kısıtlama ilkeleri kuralları silin. Yazılım kısıtlama ilkeleri sildikten sonra o GPO için yeni yazılım kısıtlama ilkeleri oluşturabilirsiniz.
Belirtilen dosya türü eklemek veya silmek için
Yazılım Kısıtlama İlkeleri'ni açın.
Ayrıntılar bölmesinde atanmış dosya türleri.
Aşağıdakilerden birini yapın:
Bir dosya türü eklemek için Dosya adı uzantısı, dosya adı uzantısı yazın ve ardından Ekle.
Bir dosya türünü silmek için atanmış dosya türlerini, dosya türünü tıklatın ve ardından kaldırmak.
Not
-
Hangi ekleme veya silme atanan bir dosya türü ortamına bağlı olarak bu yordamı gerçekleştirmek için farklı yönetici kimlik bilgileri gerekir:
-
Eklemek veya yerel bilgisayar için belirtilen dosya türünü silmek istiyorsanız: Yerel Administrators grubu ya da eşdeğerine üyelik, bu yordamı tamamlamak için gereken en düşük gereksinimdir.
-
Bir etki alanına katılmış bir bilgisayar için yeni yazılım kısıtlama ilkeleri oluşturursanız, Domain Admins grubunun üyeleri bu yordamı gerçekleştirebilirsiniz.
-
-
Önceden yapmadıysanız, Grup İlkesi nesnesi (GPO) için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmak gerekli olabilir.
-
Belirtilen dosya türleri listesini bilgisayar yapılandırması ve kullanıcı yapılandırması için bir GPO için tüm kurallar tarafından paylaşılır.
Yazılım kısıtlama ilkeleri için yerel Yöneticiler uygulanmasını önlemek için
Yazılım Kısıtlama İlkeleri'ni açın.
Ayrıntılar bölmesinde zorlama.
Altında yazılım kısıtlama ilkeleri aşağıdaki kullanıcılar için geçerli, tıklatın yerel yöneticiler dışında tüm kullanıcıları.
Uyarı
-
Yerel Administrators grubu ya da eşdeğerine üyelik, bu yordamı tamamlamak için gereken en düşük gereksinimdir.
-
Önceden yapmadıysanız, Grup İlkesi nesnesi (GPO) için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmak gerekli olabilir.
-
Kullanıcıların kendi bilgisayarlarında kuruluşunuzdaki yerel Yöneticiler grubunun üyesi olması ortak ise, bu seçeneği etkinleştirin istemeyebilirsiniz.
-
Yerel bilgisayar için bir yazılım kısıtlama ilkesi ayarı tanımlıyorsanız, yerel Yöneticiler yazılım kısıtlama ilkeleri uygulanmış oluşturulmasını önlemek için bu yordamı kullanın. Yazılım kısıtlama ilkesi ayarı ağınız için tanımlıyorsanız, kullanıcı ilke ayarları Grup İlkesi aracılığıyla güvenlik grubundaki üyelik göre filtreleyin.
Yazılım kısıtlama ilkeleri varsayılan güvenlik düzeyini değiştirmek için
Yazılım Kısıtlama İlkeleri'ni açın.
Ayrıntılar bölmesinde güvenlik düzeyleri.
Varsayılan olarak ayarlayın ve ardından istediğiniz güvenlik düzeyini sağ Varsayılan olarak ayarlamak.
Uyarı
Bazı dizinlerde varsayılan güvenlik düzeyini ayarlama izin verilmeyen işletim sisteminiz olumsuz yönde etkileyebilir.
Not
-
Yazılım kısıtlama ilkeleri varsayılan güvenlik düzeyini değiştirme ortamına bağlı olarak bu yordamı gerçekleştirmek için farklı yönetici kimlik bilgileri gerekir.
-
Önceden yapmadıysanız, bu Grup İlkesi nesnesi (GPO) için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmak gerekli olabilir.
-
Ayrıntılar bölmesinde, geçerli varsayılan güvenlik düzeyini siyah bir daire onay işaretiyle belirtilir. Geçerli varsayılan güvenlik düzeyini sağ tıklattığınızda, Varsayılan olarak ayarlamak komutu menüde görünmez.
-
Yazılım kısıtlama ilkeleri kuralları özel durumlar için varsayılan güvenlik düzeyini belirtmek için oluşturulur. Varsayılan güvenlik düzeyi ayarlandığında Kısıtlamasız, kurallar çalışmasına izin verilmiyor yazılım belirtebilirsiniz. Varsayılan güvenlik düzeyi ayarlandığında izin verilmeyen, kurallar çalışmasına izin verilen yazılım belirtebilirsiniz.
-
Yükleme sırasında yazılım kısıtlama ilkeleri, sisteminizdeki tüm dosyalar varsayılan güvenlik düzeyini ayarlamak Kısıtlamasız.
Yazılım kısıtlama ilkeleri DLL'lere uygulamak için
Yazılım Kısıtlama İlkeleri'ni açın.
Ayrıntılar bölmesinde zorlama.
Altında Aşağıdaki yazılım kısıtlama ilkelerini uygula, tıklatın tüm yazılım dosyaları.
Not
-
Bu yordamı uygulamak için yerel bilgisayarda Yöneticiler grubunun üyesi olmanız ve size uygun yetkilerin atanış olması gerekir. Bilgisayar bir etki alanına katılıyorsa, Etki Alanı Yöneticileri grubunun üyeleri bu yordamı gerçekleştirebilir.
-
Varsayılan olarak, yazılım kısıtlama ilkeleri dinamik bağlantı kitaplıkları (DLL'ler) denetlemez. Yazılım kısıtlama ilkeleri, DLL her yüklendiğinde değerlendirilmesi gereken için DLL'leri denetlemek sistem performansını düşürebilir. Ancak, DLL'leri hedefleyen bir virüs alma hakkında endişe DLL'leri denetlemek karar verebilirsiniz. Varsayılan güvenlik düzeyi ayarlanmışsa izin verilmeyen, ve denetimi oluşturmanız yazılım kısıtlama ilkeleri kuralları her DLL'nin çalışmasına izin DLL etkinleştirin.