使用软件限制策略来帮助保护计算机免受电子邮件病毒攻击

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文介绍了从 Windows Server 2008 和 Windows Vista 开始，如何使用软件限制策略 (SRP) 设置应用程序控制策略，以帮助保护计算机免受电子邮件病毒的侵害。

介绍

软件限制策略 (SRP) 是基于组策略的功能，用于标识在域中的计算机上运行的软件程序，以及控制这些程序的运行能力。 你可以使用软件限制策略创建计算机的高度受限配置，从而仅允许运行专门标识的应用程序。 这些策略与 Microsoft Active Directory 域服务和组策略相集成，但是，也可以在独立的计算机上配置它们。 有关 SRP 的起点，请参阅软件限制策略。

从 Windows Server 2008 R2 和 Windows 7 开始，Windows AppLocker 可以代替 SRP 或与其一起用于应用程序控制策略的一部分。

配置 SRP 以帮助防范电子邮件病毒

1. 查看软件限制策略的最佳做法，了解 SRP 的工作原理。

   • 最佳实践

   • 软件限制策略的工作原理

2. 打开“软件限制策略”。

   • 对于本地计算机

   • 对于域、站点或组织单位，并且当你位于已加入到域的成员服务器或工作站上时

3. 如果你之前未定义软件限制策略，请创建新的软件限制策略。

   • 创建新的软件限制策略

4. 为电子邮件程序用来运行电子邮件附件的文件夹创建路径规则，然后将安全级别设置为“不允许”。

   • 使用路径规则

5. 指定规则应用于的文件类型。

   • 添加或删除指定的文件类型

6. 修改策略设置，将其应用于所需的用户和组：

   • 指定你不希望将组策略对象的 (GPO) 策略设置应用到的用户或组。

   • 从组策略中特定策略设置的软件限制策略中排除本地管理员，使组策略的其余部分仍应用于管理员。

     • 防止向本地管理员应用软件限制策略

7. 测试该策略。