如何创建软件限制策略 创建软件限制策略
Win10怎么创建软件限制策略
使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护计算机环境免受不可信任的代码的侵扰。
通过散列规则、证书规则、路径规则和Intenet 区域规则,就用程序可以在策略中得到标识。
默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允许的”。
如何设置和取消软件限制策略
可以设置 NT 系统平台下的软件运行许可和策略 必须保证使用 NTFS 文件系统,保证合理的分配了组策略和用户权限. 具体如下: 点击 "开始菜单" - "运行" - 输入" c" - "确定" 弹出组策略编辑画面,选择 "本地计算机策略" 选择 "Windows 设置" - "安全策略" - "软件限制策略" 默认的是 "没有定义软件限制策略" 鼠标右键点选 "软件限制策略" - "创建软件限制策略" 然后会增加一个 "安全级别" 和 "其他策略" 选中 "其他策略" - "新建路径规则" 然后在目录里指向你的软件目录,可以选择 "受限制的" 和 "不受限制" 然后进入CMD命令行.使用: Gpupdate Taget:computefoce 这行的意思是:强制刷新组策略. 如果还是不行,是由于注册表没有立即更新,重新注销登陆就可以了.
按装软件时要放开哪些软件限制策略
1、访问软件限制策略 作为本地安全策略的一部分,软件限制策略同时也包含在组策略中,这些策略的设置必须以Administrator账户或Administrators组成员的身份登录系统。
软件限制策略的访问方式有两种:(1)、在"开始""运行"处运行secpol.msc,启动本地安全策略编辑器,在"安全设置"下可以看到"软件限制策略"项目。
(2)、在"开始""运行"处运行gpedit.msc,启动组策略编辑器,在"计算机设置""Windows设置""安全设置"下可以看到"软件限制策略"。
2、新建软件限制策略 首次打开"软件限制策略"时,该项目是空的。
策略需要由管理员手动添加。
方法是点击"软件限制策略"使其处于选中状态,点击编辑器窗口"操作"菜单下的"新建一个策略"项目,此时可以看到"软件限制策略"下增加了"安全级别"和"其它规则"以及三条属性。
一旦执行了新建策略操作后,就不能再次执行该操作,并且这个策略也不能删除。
3、设置默认的安全级别 新建软件限制策略后,策略的默认安全级别为"不受限的",如果要更改默认的安全级别,需要在"安全级别"中进行设置,方法如下:(1)、打开"安全级别",在右侧窗格中,可以看到有两条设置,其中图标中带有一个小勾号的设置为默认设置;(2)、点击不是默认值的那条设置,单击右键,选择"设置为默认"项。
当设置"不允许的"为默认值时,系统会显示一个提示信息对话框,点击"确定"即可。
该步骤也可以双击非默认的设置,在弹出的属性窗口中,点击"设为默认值"。
4、设置策略的作用范围和对象 通过策略的"强制"属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。
通常情况下,为了避免引起系统不必要的问题以及便于对系统的管理,策略的作用范围应设置为不包含库文件的所有软体文件,作用对象设置为除本地管理员外的所有用户。
设置的方法如下:(1)、单击"软件限制策略",双击右侧窗格中的"强制"属性项目;(2)、选择"除去库文件(如Dll文件)以外的所有软体文件"选项和"除本地管理员以外的所有用户"选项,单击"确定"。
5、制定规则 只通过安全级别的设置,显然不能很好的实现对文件和程序的控制,必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序,并进而实现对这些文件和程序的灵活控制。
上文中提到可制定规则的类型有四种:散列规则、证书规则、路径规则和Internet区域规则。
它们标识文件以及制定规则的方法如下: 散列规则:利用散列算法计算出指定文件的散列,这个散列是唯一标识该文件的一系列定长字节。
制定了散列规则后,用户访问或运行文件时,软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。
当文件移动或重命名,不会影响文件的散列,软件限制策略对该文件依然有效。
制定方法如下:(1)、点击"软件限制策略"下的"其它规则",在"其他规则"上单击右键,或在右侧窗格的空白区域单击右键,选择"新散列规则"。
(2)、点击"浏览",指定要标识的文件或程序,例如cmd.exe,确认后,在文件散列中可以看到计算出来的散列,在"安全级别"中选择"不允许的"或"不受限的"。
点击"确定",在"其它规则"中可以看到新增了一条类型为散列的规则。
证书规则:利用与文件或程序相关联的签名证书进行标识。
证书规则需要的证书可以是自签名的、由证书颁发机构(CA)颁发或是由Windows公钥机构发布。
证书规则不应用于EXE文件和DLL文件,它主要应用于脚本和Windows安装程序包。
当某个文件由其关联的签名证书标识后,运行该文件时,软件限制策略会根据该文件的安全级别来决定是否可以运行。
文件的移动和更名不会对证书规则的应用产生影响。
制定证书规则时要求能够访问到用来标识文件的证书文件,证书文件的扩展名为.CER。
创建方法同散列规则。
路径规则:利用文件或程序的路径进行标识,该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。
由于标识是由路径来完成的,当文件移动或重命名时,路径规则会失去作用。
在路径规则中,根据路径范围的大小,优先级别各有高低,范围越大,优先级越低。
通常路径的优先级从高到低为:指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。
创建方法同散列规则。
Internet区域规则:利用应用程序下载的Internet区域进行标识。
区域主要包括:Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。
该规则主要应用于Windows的安装程序包。
创建方法同散列规则。
6、维护可执行代码的文件类型 不论是那种规则,它所影响的文件类型只有"指派的文件类型"属性中列出的那些类型,这些类型是所有规则共享的。
某些情况下,管理员可能需要删除或添加某种类型的文件,以便规则能够对这类文件失去或产生作用,这就需要我们来维护"指派的文件类型"属性。
方法如下:(1)、单击"软件限制策略",双击右侧窗格中的"指派的文件类型"属性项目;(...
系统组策略中的软件限制策略是什么?
对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。
对于“软件限制策略”相信用过的筒子们不是很多。
软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。
如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。
下面我们就来全面的了解一下软件限制策略。
本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们先介绍Windows组策略中的软件限制策略的概述、附加规则和安全级别。
1、概述 使用“软件限制策略”,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。
通过 散列规则、证书规则、路径规则和Intenet 区域规则,就用程序可以在策略中得到标识。
默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允许的”。
在本文中我们主要用到的是路径规则和散列规则,而路径规则呢则是这些规则中使用最为灵活的,所以后文中如果没有特别说明,所有规则指的都是路径规则。
2、附加规则和安全级别 ·附加规则 在使用 软件限制策略 时,使用以下规则来对软件进行标识: ·证书规则 软件限制策略可以通过其签名证书来标识文件。
证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。
它们可以应用到脚本和 Windows 安装程序包。
可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。
·路径规则 路径规则通过程序的文件路径对其进行标识。
由于此规则按路径指定,所以程序发生移动后路径规则将失效。
路径规则中可以使用诸如 %pogamfiles% 或 %systemoot% 之类环境变量。
路径规则也支持通配符,所支持的通配符为 * 和 ?。
·散列规则 散列是唯一标识程序或文件的一系列定长字节。
散列按散列算法算出来。
软件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根据文件的散列对其进行标识。
重命名的文件或移动到其他文件夹的文件将产生同样的散列。
例如,可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。
文件可以被重命名或移到其他位置并且仍然产生相同的散列。
但是,对文件的任何篡改都将更改其散列值并允许其绕过限制。
软件限制策略将只识别那些已用软件限制策略计算过的散列。
·Intenet 区域规则 区域规则只适用于 Windows 安装程序包。
区域规则可以标识那些来自 Intenet Exploe 指定区域的软件。
这些区域是 Intenet、本地计算机、本地 Intanet、受限站点和可信站点。
以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。
系统存在一个由所有规则共享的指定文件类型的列表。
默认情况 下列表中的文件类型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ,所以对于正常的非可执行的文件,例如TXT JPG GIF这些是不受影响的,如果你认为还有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者你认为哪些扩展无威胁,也可以将其删除。
此程序被组策略阻止
您试试:打开 控制面板--->管理工具--->本地安全策略打开后 点 软件限制策略 点 其他规则 将右边的被限制软件 其全部删除,如果你点了 软件限制策略 并没有 其他规则,那么你就右键 创建软件限制策略,创建后再从启,从启后再删除,再重启,就OK了如仍有疑问,欢迎您向金山网络企业平台提问
怎么解除网吧软件限制策略
一.下载一个远程控制软件最好是只在你本地安装不用在别的机器上安装客户端的那种,然后找到服务器的IP,登进去,下面的不用我教了吧,你想干什么就可以在服务器上干什么了:)不过如果服务器上如果安装了第三方的防火墙可能会麻烦点.二.下载一个恢复本地管理员密码的软件,自己设置本地管理员密码,重启登陆(按CTRL+ALT+DEL登陆),用系统默认的ADMINISTRATOR登陆,进去后修改我的电脑属性中的计算机名一项,把计算机名和工作组都改一下(任意),如果他是域模式,一定要改成工作组模式,这样你就不受服务器的安全策略控制了.改好后系统要求重启,暂不重启,右击网上邻居属性进入TCP/IP设置,看一下IP的设置(如果有),如果没有IP设置都是自动获取,那就简单了,这说明在网吧的路由上设置了共享上网必开启了DHCP自动IP分配的服务,这时你只要把IP设置成192.168.2.*的或是其他网段的网关指向路由(可以在运行中输入CMD,进去后输入IPCONFIG/ALL来获取路由IP)的IP,DNS指向公网的DNS的IP(都可以在IPCONFIG中获得),确定无误,重启.再次以ADMINISTRATOR身份登陆,这时你这台机器就是不受服务器控制,自由上网,不计费的一台机器了.如果有IP设置,只要把IP改到其他一个网段下面的操作与自动获取IP的操作基本一样了.---------------------------------------记住别得意忘行,让网吧抓住了.为了一两块钱犯事不值.破解网吧管理的技术其实都很简单.
怎么解除软件限制策略的阻止
从别的地方拷过来的,希望对你有用.只是超级用户可以上网,其他受限制用户不能上.这是权限问题,你可以看看组,每个组后面都有介绍。
看足的方法,你右击我的电脑,选管理,然后持来个计算机管理的对话框,然后你选本地用户和组,它前面的那个“+”号,就出来用户和组两个文件,然后你双击用户,你有边就出来了你的用户列表(不是控制面板里的那个,控制面板里的根本不现实那个权限最大的,因为那个之有在你没有用户的时候才显示,还有你在控制面板里建的用户都归属于“Users”,这个用户的备注是:“用户无法进行有意或无意的改动。
因此,用户可以运行经过证明的文件,但不能运行大多数旧版应用程序”。
如果你想让你的用户的权限 更大,你就把它该到“Administrators”,这个用户的备注是:“管理员对计算机/域有不受限制的完全访问权”。
)点组你就会看到8个组,具体是什么我就不说了,你自己看。
CMD—》GPEDIT.MSC 弹出组策略编辑画面.选择 "本地计算机策略" 选择 "WINDOWS设置" =>"安全策略" =>"软件限制策略" 默认的是 "没有定义软件限制策略" 鼠标右键点选 "软件限制策略" =>"创建软件限制策略" 然后会增加一个 "安全级别" 和 "其他策略" 选中 "其他策略" =>"新建路径规则" 然后在目录里指向你的软件目录.可以选择 "受限制的" 和 "不受限制", 这样你就选择你不希望受限制用户接触的软件。
像浏览器什么的。
然后进入CMD命令行.使用: Gpupdate /Target:computer /force 尝试使用第三方控制软件,如网络爸爸
如何用策略组禁用程序?
保护好“任务栏”和“开始”菜单的设置倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。
在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项widows策略组的使用让你成为widows高手 2006-09-26 15、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“网上邻居”等默认图标,直接在“控制面板”一项下启用“禁止访问控制面板”,控制面板将无法启动。
三、系统项目设置这一项在“用户配置”→“管理模板”→“系统”中设置(图15),在弹出对话框的“设置”标签中点选“已启用”、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:1、登录时不显示欢迎屏幕界面Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延长登录时间,通过组策略便可将其除去。
双击启用“系统”节点下的“登录时不显示欢迎屏幕”。
这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。
1,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2、禁止对桌面的改动利用组策略可达到禁止别人改动桌面某些设置的目的。
“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径,在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板”→“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可、“我的文档”图标、“文档”菜单,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,双击启用“删除主题选项”、“阻止选择窗口和按钮式样”、“禁止选择字体大小”项后。
“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。
而启用“不允许更改”项便可防止用户更改活动桌面配置。
4、给“开始”菜单减肥Windows XP的“开始”菜单的菜单项很多,“显示窗口”中将不再出现“桌面”项。
双击启用“系统”节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用(图16),双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止. 禁止访问“控制面板”如果您不希望其他用户访问计算机的“控制面板”、窗口和按钮式样。
二,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户添加或删除打印机。
最后。
此项设置可以防止“控制面板”程序文件(Control.exe)的启动。
其结果是,就会弹出一个对话框提示你:系统管理员禁止使用“显示”控制面板。
4、其他依次展开“显示”→“桌面主题”项,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。
另外,主要用于隐藏或禁止控制面板项目:“从CD-ROM或软盘添加程序”、“从 Microsoft添加程序”以及“从网络中添加程序”,如果你想这些具体页面或选项隐藏,可直接在组策略“添加/。
只要将不需要的菜单项所对应的策略启用即可。
以删除开始菜单中的“我的文档”图标为例看看其具体操作方法、启用或禁止活动桌面利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。
“启用活动桌面”项可启用活动桌面并防止用户禁用它;删除程序”项:双击启用“删除‘添加/。
“禁止添加、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。
双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。
最后、禁用注册表编辑器为防止他人修改注册表,可在组策略中禁止访问注册表编辑器,就需要依靠“组策略”了;删除程序”项中将相应隐藏功能启用。
3、隐藏或禁止“显示”项展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。
这里就不细讲了,例如双击启用“隐藏‘桌面’选项卡”后、字体。
展开“打印机”项。
此外,在这里用户还可启用“删除控制面板中的‘显示’”,这样在控制面板中双击打开“显示”项时、“回收站”,可通过组策略将不需要的删除掉。
提供了删除“开始”菜单中的公用程序组,便可看到“控制面板”节点下面的所有设置和子节点。
2。
另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的“设置”标签中点选“未被配置”...
-