[WindowsXP客户端的软件限制策略.doc

Windows XP 客户端的软件限制策略 更新日期： 2004年03月01日/china/technet/security/guidance/secmod65.mspx 本页内容 本模块内容 目标 适用范围 如何使用本模块 软件限制策略 软件限制策略体系结构 软件限制策略选项 软件限制策略的设计和部署 摘要 本模块内容 Microsoft? Windows? XP Professional 和 Microsoft Windows Server? 2003 提供了“软件限制策略”功能，管理员可用来控制软件在本地计算机上运行的能力。通过此功能，管理员可以防止用户运行未经授权的软件，并提供了其他保护措施以防病毒和特洛伊木马程序的攻击。由于软件限制策略已集成到组策略中，因此可将其部署在 Microsoft Active Directory? 目录服务域中。此外，还可将软件限制策略部署在独立计算机中。 返回页首 目标 使用本模块可以实现下列目标： ? 设计和部署软件限制策略 ? 选择正确的规则类型并使用它来标识软件 ? 控制软件限制策略使用的检查级别 ? 将软件限制策略配置为始终允许管理员运行软件 返回页首 适用范围 本模块适用于下列产品和技术： ? Windows Server 2003 域中的 Windows XP Professional Service Pack (SP) 1 客户端 ? 独立的 Windows XP Professional SP1 客户端 返回页首 如何使用本模块 此模块详细描述了软件限制策略以及如何使用它们来控制软件在本地计算机上运行的能力。 为了充分理解本模块内容，请 ? 阅读本指南中的模块 2“配置 Active Directory 域基础结构”。此模块描述了如何部署合并了软件限制策略的组策略。 ? 使用检查表。本指南“检查表”部分的检查表“Windows XP 客户端的软件限制策略”提供了作业指导，以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。 返回页首 软件限制策略 软件限制策略为管理员提供了一套策略驱动机制，用于标识软件并控制该软件在本地计算机上运行的能力。这些策略可以确保环境中运行 Windows XP Professional 的计算机之间不存在已知冲突，并保护计算机免受恶意病毒和特洛伊木马程序的攻击。软件限制策略与 Active Directory 和组策略完全集成。还可以在独立计算机上使用该策略。 软件限制策略的工作性质使得此模块在结构上不同于本指南中的其他模块。管理员首先定义允许在环境中的客户端上运行的应用程序集，然后确定该策略将对客户端应用的限制，而不是根据前面模块中的指示性建议来配置组策略的设置选项。 软件限制策略最初包括不受限设置和不允许设置的默认安全级别，以及为组策略对象 (GPO) 定义的规则。既可以对整个域应用该策略，也可以对环境中的本地计算机或用户应用该策略。软件限制策略提供了很多用于标识软件的方法，以及一个基于策略的基础结构，以强制实施有关已标识软件运行方式的规则。用户在运行软件程序时，必须遵守环境中的管理员在软件限制策略中建立的规则。 可以使用软件限制策略执行下列操作： ? 控制哪些软件可以在环境中的客户端上运行。 ? 限制用户对多用户计算机上的特定文件的访问。 ? 确定可以向客户端添加受信任的出版商的用户。 ? 定义策略是影响客户端上的所有用户还是用户子集。 ? 禁止可执行文件在本地计算机、OU、站点或域上运行。 返回页首 软件限制策略体系结构 软件限制策略体系结构提供了下列强大功能： ? 基于域或本地计算机的策略实施。管理员创建该策略，然后定义哪些应用程序是受信任的应用程序，哪些不是受信任的应用程序。该策略在运行时强制实施，用户不会收到允许其选择是否运行可执行文件的提示。 ? 应用范围并不仅局限于可执行文件的策略。软件的构成尚无明确定义。该策略可以控制 Microsoft Visual Basic? Scripting Edition (VBScript)、Microsoft JScript? 以及其他脚本语言。它还与 Windows Installer 功能集成在一起，以控制可以在客户端上安装哪些程序包。此功能包含一个应用程序编程接口 (API)，用于协调策略运行时与其他运行时。 ? 可缩放的策略。该策略在拥有多种计算机类型和应用程序的大型企业中必须具有可管理性，但同时它还必须在单独的环境中运行。软件限制策略利用 Active Directory 和组策略实现可管理性。该策略存储在 GPO 中。还可以通过将 GPO 存储为本地计算机策略对象，在单独的非域联