通过

管理软件限制策略

本主题面向 IT 专业人员,其中包含的过程介绍了从 Windows Server 2008 和 Windows Vista 开始,如何使用软件限制策略 (SRP) 管理应用程序控制策略。

简介

软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,以及控制这些程序的运行能力。 你可以使用软件限制策略创建计算机的高度受限配置,从而仅允许运行专门标识的应用程序。 这些策略与 Microsoft Active Directory 域服务和组策略相集成,但是,也可以在独立的计算机上配置它们。 有关 SRP 的详细信息,请参阅软件限制策略

从 Windows Server 2008 R2 和 Windows 7 开始,Windows AppLocker 可以代替 SRP 或与其一起用于应用程序控制策略的一部分。

本主题包含以下内容:

有关如何使用 SRP 完成特定任务的信息,请参阅以下内容:

打开“软件限制策略”

对于本地计算机

  1. 打开“本地安全设置”。

  2. 在控制台树中,单击“软件限制策略”。

    位于哪里?

    • 安全设置/软件限制策略

注意

若要执行该过程,你必须是本地计算机上 Administrators 组的成员,或你必须已被委派适当的权限。

对于域、站点或组织单位,并且当你位于已加入到域的成员服务器或工作站上时

  1. 打开 Microsoft 管理控制台 (MMC)。

  2. 在“文件”菜单中,单击“添加/删除管理单元”,然后单击“添加”。

  3. 单击“本地组策略对象编辑器”,然后单击“添加”

  4. 在“选择组策略对象”中单击“浏览”

  5. 在“浏览组策略对象”中,选择相应域、站点或组织单位中的某个组策略对象 (GPO),或者新建一个,然后单击“完成”。

  6. 单击“关闭”,然后单击“确定”

  7. 在控制台树中,单击“软件限制策略”。

    位于哪里?

    • 组策略对象 [ComputerName] 策略/计算机配置,或者

      用户配置/Windows 设置/安全设置/软件限制策略

注意

若要执行此过程,您必须是 Domain Admins 组的成员。

对于域或组织单位,并且当你位于域控制器上或安装了远程服务器管理工具的工作站上时

  1. 打开组策略管理控制台。

  2. 在控制台树中,右键单击要为其打开软件限制策略的组策略对象 (GPO)。

  3. 单击“编辑”打开要编辑的 GPO。 也可以单击“新建”以创建一个新的 GPO,然后单击“编辑”

  4. 在控制台树中,单击“软件限制策略”。

    位于哪里?

    • 组策略对象 [ComputerName] 策略/计算机配置,或者

      用户配置/Windows 设置/安全设置/软件限制策略

注意

若要执行此过程,您必须是 Domain Admins 组的成员。

对于站点,并且当你位于域控制器上或安装了远程服务器管理工具的工作站上时

  1. 打开组策略管理控制台。

  2. 在控制台树中,右键单击要为其设置组策略的站点。

    位于哪里?

    • Active Directory 站点和服务 [Domain_Controller_Name.Domain_Name]/站点/站点

  3. 单击“组策略对象链接”中的某个条目以选择现有组策略对象 (GPO),然后单击“编辑”。 也可以单击“新建”以创建一个新的 GPO,然后单击“编辑”

  4. 在控制台树中,单击“软件限制策略”。

    Where

    • 组策略对象 [ComputerName] 策略/计算机配置,或者

      用户配置/Windows 设置/安全设置/软件限制策略

注意

  • 若要执行该过程,你必须是本地计算机上 Administrators 组的成员,或你必须已被委派适当的权限。 如果计算机已加入域,则 Domain Admins 组的成员也许能够执行该过程。
  • 若要设置将应用于计算机的策略设置(无论哪些用户登录到这些计算机),请单击“计算机配置”。
  • 若要设置将应用于用户的策略设置(无论用户登录到哪些计算机),请单击“用户配置”。

创建新的软件限制策略

  1. 打开“软件限制策略”。

  2. 在“操作”菜单上单击“新建软件限制策略”

警告

  • 需要根据你的环境,使用不同的管理凭据来执行此过程:

    • 如果你为本地计算机创建新的软件限制策略:则本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。
    • 如果要为加入到域的计算机创建新的软件限制策略,则域管理员组的成员可以执行此过程。

  • 如果已经为组策略对象 (GPO) 创建了软件限制策略,则“操作”菜单上不会显示“新建软件限制策略”命令。 若要删除已应用到 GPO 的软件限制策略,请在控制台树中,右键单击“软件限制策略”,然后单击“删除软件限制策略”。 删除某个 GPO 的软件限制策略时,会同时删除该 GPO 的所有软件限制策略规则。 在删除软件限制策略后,可为该 GPO 创建新的软件限制策略。

添加或删除指定的文件类型

  1. 打开“软件限制策略”。

  2. 在详细信息窗格中,双击“指定的文件类型”

  3. 执行下列操作之一:

    • 若要添加文件类型,请在“文件扩展名”中键入文件扩展名,然后单击“添加”

    • 若要删除文件类型,请在“指定的文件类型”中单击文件类型,然后单击“删除”

注意

  • 需要根据你在其中添加或删除指定文件类型的环境,使用不同的管理凭据执行此过程:

    • 如果你为本地计算机添加或删除指定的文件类型:则本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。
    • 如果要为加入到域的计算机创建新的软件限制策略,则域管理员组的成员可以执行此过程。

  • 可能需要为组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。

  • 指定的文件类型的列表由 GPO 的计算机配置和用户配置的所有规则共享。

防止向本地管理员应用软件限制策略

  1. 打开“软件限制策略”。

  2. 在详细信息窗格中,双击“强制”

  3. 在“将软件限制策略应用于以下用户”下,单击“除本地管理员以外的所有用户”

警告

  • 必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。
  • 可能需要为组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
  • 如果用户成为组织中计算机上的本地 Administrators 组成员的情况很常见,则你可能不需要启用此选项。
  • 如果要为本地计算机定义软件限制策略设置,请使用此过程来防止向本地管理员应用软件限制策略。 如果要为网络定义软件限制策略设置,请通过组策略根据安全组中的成员身份筛选用户策略设置。

更改软件限制策略的默认安全级别

  1. 打开“软件限制策略”。

  2. 在详细信息窗格中,双击“安全级别”

  3. 右键单击要设置为默认安全级别的安全级别,然后单击“设为默认”

注意

在某些目录中,将默认安全级别设置为“不允许”可能会给操作系统造成不利影响

注意

  • 需要根据你要为其更改软件限制策略默认安全级别的环境,使用不同的管理凭据执行此过程。
  • 可能需要为此组策略对象 (GPO) 创建新的软件限制策略设置(如果尚未这样做)。
  • 在详细信息窗格中,当前的默认安全级别以一个含有复选标记的黑圈表示。 如果右键单击当前的默认安全级别,菜单中不会显示“设为默认”命令
  • 可以创建软件限制策略规则来指定默认安全级别的例外。 当默认安全级别设置为“不受限”时,规则可以指定不允许运行的软件。 当默认安全级别设置为“不允许”时,规则可以指定允许运行的软件
  • 在安装时,针对系统上所有文件的软件限制策略默认安全级别设置为“不受限”

向 DLL 应用软件限制策略

  1. 打开“软件限制策略”。

  2. 在详细信息窗格中,双击“强制”

  3. 在“将软件限制策略应用于以下”下,单击“所有软件文件”

注意

  • 若要执行该过程,你必须是本地计算机上 Administrators 组的成员,或你必须已被委派适当的权限。 如果计算机已加入域,则 Domain Admins 组的成员也许能够执行该过程。
  • 默认情况下,软件限制策略不检查动态链接库 (DLL)。 检查 DLL 可能会降低系统性能,因为每加载一个 DLL 都必须评估软件限制策略。 但是,如果你担心会接收到针对 DLL 的病毒,则可以要求检查 DLL。 如果默认安全级别设置为“不允许”,并且你启用了 DLL 检查,那么,你必须创建软件限制策略规则,用于允许运行每个 DLL。