使用軟體限制原則來協助保護電腦免於電子郵件病毒

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本主題提供下列相關資訊：如何從 Windows Server 2008 和 Windows Vista 開始，使用軟體限制原則 (SRP) 設定應用程式控制原則，協助保護電腦免受電子郵件病毒的侵害。

簡介

軟體限制原則 (SRP) 是以群組原則為依據的功能，可以識別在網域的電腦上執行的軟體程式，並控制執行這些程式的能力。 您可以使用軟體限制原則來建立高限制性的電腦設定，您可以只允許執行特別識別出的應用程式。 這些原則與 Microsoft Active Directory Domain Services 和群組原則整合，但也可以在獨立電腦上進行設定。 如需 SRP 的起點，請參閱軟體限制原則。

從 Windows Server 2008 R2 和 Windows 7 開始，Windows AppLocker 可用於代替 SRP 或與其搭配使用，以取得一部分的應用程式控制策略。

設定 SRP 以協助防範電子郵件病毒

1. 檢閱軟體限制原則的最佳做法，藉此了解 SRP 的運作方式。

   • 最佳作法

   • 軟體限制原則的運作方式

2. 開啟 [軟體限制原則]。

   • 針對本機電腦

   • 針對網域、站台或組織單位，而且您位於成員伺服器或加入網域的工作站上

3. 如果您先前尚未定義軟體限制原則，請建立新的軟體限制原則。

   • 建立新的軟體限制原則

4. 為電子郵件程式用於執行電子郵件附件的資料夾建立路徑規則，然後將安全性層級設定為不允許。

   • 使用路徑規則

5. 指定規則套用的檔案類型。

   • 新增或刪除指定的檔案類型

6. 修改原則設定，以便將其套用至您想要的使用者和群組：

   • 指定您不希望套用群組原則物件 (GPO) 原則設定的使用者或群組。

   • 將本機系統管理員從群組原則中特定原則設定的軟體限制原則中排除，但仍將其餘群組原則套用至系統管理員。

     • 防止軟體限制原則套用至本機系統管理員

7. 測試原則。