管理軟體限制原則
本主題適用於 IT 專業人員,內容涵蓋如何從 Windows Server 2008 和 Windows Vista 開始,使用軟體限制原則 (SRP) 來管理應用程式控制原則的程序。
簡介
軟體限制原則 (SRP) 是以群組原則為依據的功能,可以識別在網域的電腦上執行的軟體程式,並控制執行這些程式的能力。 您可以使用軟體限制原則來建立高限制性的電腦設定,您可以只允許執行特別識別出的應用程式。 這些原則與 Microsoft Active Directory 網域服務和群組原則整合,但也可以在獨立電腦上進行設定。 如需 SRP 的詳細資訊,請參閱軟體限制原則。
從 Windows Server 2008 R2 和 Windows 7 開始,Windows AppLocker 可用於代替 SRP 或與其搭配使用,以取得一部分的應用程式控制策略。
本主題包含:
如需如何使用 SRP 完成特定工作的詳細資訊,請參閱下列各項:
開啟軟體限制原則
針對本機電腦
開啟 [本機安全性設定]。
在主控台樹狀目錄中,按一下 [軟體限制原則]。
何處?
- 安全性設定/軟體限制原則
注意
若要執行此程序,您必須是本機電腦上的 Administrators 群組成員或是已經委派您適當的權限。
針對網域、站台或組織單位,而且您位於成員伺服器或加入網域的工作站上
開啟 Microsoft Management Console (MMC)。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]。
按一下 [本機群組原則物件編輯器],然後按一下 [新增]。
在 [選取群組原則物件] 中,按一下 [瀏覽]。
在 [瀏覽群組原則物件] 中,選取適當網域、站台或組織單位中的群組原則物件 (GPO) (或建立一個新的群組原則物件),然後按一下 [完成]。
按一下 [關閉],然後按一下 [確定]。
在主控台樹狀目錄中,按一下 [軟體限制原則]。
何處?
群組原則物件 [ComputerName] 原則/電腦組態或
使用者組態/Windows 設定/安全性設定/軟體限制原則
注意
您必須是 Domain Admins 群組的成員,才可以執行這個程序。
針對網域或組織單位,而且您位於網域控制站或已安裝遠端伺服器管理工具的工作站上
開啟群組原則管理主控台。
在主控台樹狀目錄中,以滑鼠右鍵按一下您要開啟軟體限制原則的群組原則物件 (GPO)。
按一下 [編輯],開啟要編輯的 GPO。 您也可以按一下 [新增] 來建立新的 GPO,然後按一下 [編輯]。
在主控台樹狀目錄中,按一下 [軟體限制原則]。
何處?
群組原則物件 [ComputerName] 原則/電腦組態或
使用者組態/Windows 設定/安全性設定/軟體限制原則
注意
您必須是 Domain Admins 群組的成員,才可以執行這個程序。
針對站台,而且您位於網域控制站或已安裝遠端伺服器管理工具的工作站上
開啟群組原則管理主控台。
在主控台樹狀目錄中,以滑鼠右鍵按一下您要設定群組原則的站台。
何處?
- Active Directory 站台及服務 [Domain_Controller_Name.Domain_Name]/站台/站台
按一下 [群組原則物件連結] 中的項目,選取現有的群組原則物件 (GPO),然後按一下 [編輯]。 您也可以按一下 [新增] 來建立新的 GPO,然後按一下 [編輯]。
在主控台樹狀目錄中,按一下 [軟體限制原則]。
其中
群組原則物件 [ComputerName] 原則/電腦組態或
使用者組態/Windows 設定/安全性設定/軟體限制原則
注意
- 若要執行此程序,您必須是本機電腦上的 Administrators 群組成員或是已經委派您適當的權限。 如果該電腦已加入網域,則 Domain Admins 群組的成員便可以執行這項程序。
- 若要設定將套用至電腦的原則設定,無論哪些使用者登入電腦,請按一下 [電腦組態]。
- 若要設定將套用至使用者的原則設定,無論他們登入哪些電腦,請按一下 [使用者組態]。
建立新的軟體限制原則
開啟 [軟體限制原則]。
在 [動作] 功能表上,按一下 [新軟體限制原則]。
警告
視您的環境而定,執行此程序所需的系統管理認證會有所不同:
- 如果您為本機電腦建立新的軟體限制原則:至少必須有本機 Administrators 群組的成員資格或同等權限,才能完成此程序。
- 如果您為已加入網域的電腦建立新軟體限制原則,則 Domain Admins 群組的成員便可執行此程序。
如果已為群組原則物件 (GPO) 建立軟體限制原則,則 [新軟體限制原則] 命令不會出現在 [動作] 功能表上。 若要刪除已套用至 GPO 的軟體限制原則,在主控台樹狀目錄中,以滑鼠右鍵按一下 [軟體限制原則],然後按一下 [刪除軟體限制原則]。 刪除 GPO 的軟體限制原則時,也同時刪除了該 GPO 的所有軟體限制原則規則。 刪除軟體限制原則之後,您可為該 GPO 建立新軟體限制原則。
新增或刪除指定的檔案類型
開啟 [軟體限制原則]。
在詳細資料窗格中,按兩下 [指定的檔案類型]。
執行下列其中一個動作:
若要新增檔案類型,在 [副檔名] 中,輸入副檔名,然後按一下 [新增]。
若要刪除檔案類型,在 [指定的檔案類型] 中,按一下檔案類型,然後按一下 [移除]。
注意
視您新增或刪除指定的檔案類型的環境而定,執行此程序所需的系統管理認證會有所不同:
- 如果您為本機電腦新增或刪除指定的檔案類型:至少必須有本機 Administrators 群組的成員資格或同等權限,才能完成此程序。
- 如果您為已加入網域的電腦建立新軟體限制原則,則 Domain Admins 群組的成員便可執行此程序。
如果您尚未為群組原則物件 (GPO) 建立新軟體限制原則設定,可能需要進行這項動作。
GPO 的電腦組態和使用者組態的所有規則會共用指定的檔案類型清單。
防止軟體限制原則套用到本機系統管理員
開啟 [軟體限制原則]。
在詳細資料窗格中,按兩下 [強制]。
在 [將軟體限制原則套用到下列使用者] 下,按一下 [本機系統管理員之外的所有使用者]。
警告
- 您至少必須有本機 Administrators 群組的成員資格或同等權限,才能完成此程序。
- 如果您尚未為群組原則物件 (GPO) 建立新軟體限制原則設定,可能需要進行這項動作。
- 如果使用者成為組織中電腦的本機 Administrators 群組成員是很常見的,就不需要啟用這個選項。
- 如果您是為本機電腦定義軟體限制原則設定,可使用此程序以防止在本機系統管理員套用軟體限制原則。 如果您要為網路定義軟體限制原則設定,請根據群組原則中安全性群組的成員資格篩選使用者原則設定。
變更軟體限制原則的預設安全性等級
開啟 [軟體限制原則]。
在詳細資料窗格中,按兩下 [安全性等級]。
在想設定為預設的安全性等級上按一下滑鼠右鍵,然後按一下 [設定成預設值]。
警告
在特定的目錄中,若將預設的安全性等級設定成 [不允許],對作業系統會有不良影響。
注意
- 視您變更軟體限制原則預設安全性等級的環境而定,執行此程序所需的系統管理認證會有所不同。
- 如果您尚未為此群組原則物件 (GPO) 建立新軟體限制原則設定,可能需要進行這項動作。
- 在詳細資料窗格中,會以有個核取記號的黑色圓形來表示目前預設的安全性等級。 如果您在目前預設的安全性等級上按一下滑鼠右鍵,[設定成預設值] 命令不會出現在功能表中。
- 要建立軟體限制原則規則才能指定預設安全性等級的例外狀況。 當預設的安全性等級設定成 [沒有限制] 時,規則可指定不允許執行的軟體。 當預設的安全性等級設定成 [不允許] 時,規則可指定允許執行的軟體。
- 安裝時,系統上所有檔案的軟體限制原則的預設安全性等級是設定成 [沒有限制]。
將軟體限制原則套用到 DLL
開啟 [軟體限制原則]。
在詳細資料窗格中,按兩下 [強制]。
在 [將軟體限制原則套用到下列項目] 下,按一下 [所有軟體檔案]。
注意
- 若要執行此程序,您必須是本機電腦上的 Administrators 群組成員或是已經委派您適當的權限。 如果該電腦已加入網域,則 Domain Admins 群組的成員便可以執行這項程序。
- 根據預設,軟體限制原則不會檢查動態連結程式庫 (DLL)。 檢查 DLL 會降低系統效能,因為軟體限制原則必須在每次載入 DLL 時進行評估。 不過,如果您擔心感染到以 DLL 為攻擊目標的病毒,可決定是否檢查 DLL。 如果預設的安全性等級設定成 [不允許],而且您啟用了 DLL 檢查,就必須建立允許執行每個 DLL 的軟體限制原則規則。