活動目錄服務的配置與管理(8)利用組策略限制軟體執行

科技小能手發表於2017-11-14

通過設定軟體限制策略,可以限制域使用者在客戶機上自行安裝使用某些未經許可的軟體,從而提高網路的安全性和可靠度。

下面以禁用記事本程式為例來介紹其相關操作。
開啟組策略管理工具,在組策略物件中新建一個名為“Disable Notepad”的GPO,並對其進行編輯。
展開“使用者配置策略Windows設定安全設定軟體限制策略”,在其上單擊右鍵,選擇“建立軟體限制策略”。

然後在下方會多出“安全級別”和“其它規則”兩個專案,在“其它規則”上單擊右鍵,可以選擇建立4種不同的軟體限制規則,如圖所示。

4種規則分別對應了4種不同的軟體限制方法,其優先順序依次為:雜湊規則、證書規則、路徑規則、網路區域規則。4種規則中比較常用的是路徑規則和雜湊規則,下面分別進行介紹。

1 路徑規則
路徑規則通過限制使用某個指定路徑下的軟體,以達到軟體限制的目的。在組策略編輯器中選擇“新建路徑規則”,在其中輸入要限制的記事本程式的路徑:C:windowssystem32
otepad.exe,安全級別設為“不允許”,如圖所示。

GPO連結到人事部OU上,然後以人事部員工李四的身份在客戶機上登入進行驗證。當開啟記事本時出現警告提示,記事本成功地被禁用了。如圖所示。

需要注意的是,路徑規則只能限制在某個具體路徑下的程式,如果域使用者將記事本的程式檔案複製到別的位置(比如桌面),那麼這個限制便不起作用了。

2 雜湊規則
 
雜湊規則是指將所要限制的程式檔案生成一個唯一的雜湊值(MD5值),這樣無論這個程式檔案被放在什麼路徑下,只要雜湊值相符,那麼它便會被禁用。但是使用這種方法需要有一個前提,即在制定限制策略時所選擇的生成雜湊值的檔案與所要限制的檔案必須是一摸一樣,也就是要求這兩個程式檔案的版本要一致。如Windows Server 2003或Windows XP系統與Win7或Windows Server 2008 R2系統裡的notepad.exe檔案版本就不一致,所以在制定雜湊規則時必須要先將所要限制的客戶機裡的程式檔案複製到DC上以生成雜湊值。
繼續對“Disable Notepad”GPO進行編輯,在其中新建一個雜湊規則,點選“瀏覽”找到要禁用的notepad.exe檔案,系統會自動生成它的雜湊值,安全級別設為“不允許”。如圖所示。

在客戶端將李四登出並重新登入之後,再次執行復制在桌面上的記事本程式檔案,發現也不能使用了,雜湊規則生效

本文轉自 yttitan 51CTO部落格,原文連結:http://blog.51cto.com/yttitan/1157412


相關文章