摘要:
了解使用软件限制策略处理证书、路径、Internet 区域和哈希规则的过程。... 本文内容
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
本主题介绍使用软件限制策略处理证书、路径、Internet 区域和哈希规则的过程。
简介
通过软件限制策略,可以通过标识和指定允许运行的软件,来保护计算环境免遭不受信任的软件的危害。 可以针对组策略对象 (GPO) 定义默认安全级别“不受限”或“不允许”,以便按默认设置允许或不允许运行软件。 为特定的软件创建软件限制策略规则,可以指定此默认安全级别的例外。 例如,默认安全级别设置为“不允许”时,你可以创建允许运行特定软件的规则。 规则类型如下:
有关管理软件限制策略的其他任务的信息,请参阅管理软件限制策略。
使用证书规则
软件限制策略还可以根据软件的签名证书来识别软件。 你可以创建一个证书规则来识别软件,然后根据安全级别允许或不允许运行该软件。 例如,可以使用证书规则自动信任来自域中受信任源的软件,且不提示用户。 还可以使用证书规则来运行操作系统的不受允许区域中的文件。 默认情况下,不会启用证书规则。
使用组策略为域创建规则时,你必须具有创建或修改组策略对象的权限。 如果要为本地计算机创建规则,则你必须拥有该计算机上的管理凭据。
创建证书规则的步骤
打开“软件限制策略”。
在控制台树或详细信息窗格中,右键单击“其他规则”,然后单击“新建证书规则”。
单击“浏览”,然后选择证书或签名的文件。
在“安全级别”中,单击“不允许”或“无限制”。
在“描述”中键入此规则的描述,然后单击“确定”。
注意
启用证书规则
根据环境的不同,启用证书规则的过程将有所不同:
为本地计算机启用证书规则
打开“本地安全设置”。
在控制台树中,单击位于“安全设置/本地策略”下的“安全选项”。
在详细信息窗格中,双击“系统设置: 将 Windows 可执行文件中的证书规则用于软件限制策略”。
执行下列操作之一,然后单击“确定”:
为组策略对象启用证书规则,并且你位于已加入域的服务器上
打开 Microsoft 管理控制台 (MMC)。
在“文件”菜单中,单击“添加/删除管理单元”,然后单击“添加”。
单击“本地组策略对象编辑器”,然后单击“添加”。
在“选择组策略对象”中单击“浏览”。
在“浏览组策略对象”中,选择相应域、站点或组织单位中的某个组策略对象 (GPO),或者新建一个,然后单击“完成”。
单击“关闭”,然后单击“确定”。
在控制台树中,单击“GroupPolicyObject [ComputerName] 策略/计算机配置/Windows 设置/安全设置/本地策略/”下的“安全选项”。
在详细信息窗格中,双击“系统设置: 将 Windows 可执行文件中的证书规则用于软件限制策略”。
如果尚未定义此策略设置,请选中“定义这些策略设置”复选框。
执行下列操作之一,然后单击“确定”:
为组策略对象启用证书规则,并且你位于安装了远程服务器管理工具的域控制器或工作站上
打开“Active Directory 用户和计算机”。
在控制台树中,右键单击你要为其启用证书规则的组策略对象 (GPO)。
单击“属性”,然后单击“组策略”选项卡。
单击“编辑”打开要编辑的 GPO。 也可以单击“新建”以创建一个新的 GPO,然后单击“编辑”。
在控制台树中,单击“GroupPolicyObject [ComputerName] 策略/计算机配置/Windows 设置/安全设置/本地策略/”下的“安全选项”。
在详细信息窗格中,双击“系统设置: 将 Windows 可执行文件中的证书规则用于软件限制策略”。
如果尚未定义此策略设置,请选中“定义这些策略设置”复选框。
执行下列操作之一,然后单击“确定”:
仅为域控制器启用证书规则,并且你位于安装了远程服务器管理工具的域控制器或工作站上
打开“域控制器安全设置”。
在控制台树中,单击“GroupPolicyObject [ComputerName] 策略/计算机配置/Windows 设置/安全设置/本地策略/”下的“安全选项”。
在详细信息窗格中,双击“系统设置: 将 Windows 可执行文件中的证书规则用于软件限制策略”。
如果尚未定义此策略设置,请选中“定义这些策略设置”复选框。
执行下列操作之一,然后单击“确定”:
注意
只有在执行此过程后,证书规则才会生效。
设置受信任的发布者选项
越来越多的软件发行商和应用程序开发人员使用软件签名来证实其应用程序来自受信任的源。 但是,许多用户并不了解或没有注意他们所安装的应用程序关联的签名证书。
管理员使用证书路径验证策略的“受信任的发布者”选项卡中的策略设置,可以控制哪些证书可以作为来自受信任的发布者而被接受。
配置本地计算机的受信任的发布者策略设置的步骤
在“开始”屏幕上,键入 gpedit.msc,然后按 Enter 键。
在控制台树中的“本地计算机策略\计算机配置\Windows 设置\安全设置”下,单击“公钥策略”。
双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。
选中“定义这些策略设置”复选框,选择要应用的策略设置,然后单击“确定”应用新设置。
配置域的受信任的发布者策略设置的步骤
打开“组策略管理” 。
在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在控制台树中的“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”。
双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。
选中“定义这些策略设置”复选框,选择要应用的策略设置,然后单击“确定”应用新设置。
仅允许管理员管理用于本地计算机代码签名的证书的步骤
在“开始”屏幕上,在桌面上的“搜索程序和文件”或 Windows 8 中键入 gpedit.msc,然后按 Enter 键。
在控制台树中的“默认域策略”或“本地计算机策略”下,双击“计算机配置”、“Windows 设置”和“安全设置”,然后单击“公钥策略”。
双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。
选中“定义这些策略设置”复选框。
在“受信任的发布者管理”下,单击“仅允许所有管理员管理受信任的发布者”,然后单击“确定”应用新设置。
仅允许管理员管理用于域代码签名的证书的步骤
打开“组策略管理” 。
在控制台树中,双击包含要编辑的“默认域策略” GPO 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在控制台树中的“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”。
双击“证书路径验证设置”,然后单击“受信任的发布者”选项卡。
选中“定义这些策略设置”复选框,实施所需的更改,然后单击“确定”以应用新设置。
使用哈希规则
哈希是具有固定长度的一系列字节,用于唯一标识某个软件程序或文件。 哈希由哈希算法计算。 为软件程序创建哈希规则后,软件限制策略将计算该程序的哈希。 当用户尝试打开某个软件程序时,会将该程序的哈希与软件限制策略的现有哈希规则进行比较。 不管软件程序位于计算机上的哪个位置,该程序的哈希都始终相同。 但是,如果以任何方式对软件程序做了更改,则其哈希也会更改,不再与软件限制策略的哈希规则中的哈希匹配。
例如,可以创建一个哈希规则并将安全级别设置为“不允许”,以防止用户运行特定的文件。 可以重命名某个文件或将其移到另一个文件夹,而哈希仍保持相同。 但是,如果对该文件进行了任何更改,则也会更改它的哈希值,并允许它绕过限制。
创建哈希规则的步骤
打开“软件限制策略”。
在控制台树或详细信息窗格中,右键单击“其他规则”,然后单击“新建哈希规则”。
单击“浏览”以查找文件。
注意
在 Windows XP 中,可以在“文件哈希”中粘贴预先计算的哈希。 在 Windows Server 2008 R2、Windows 7 和更高版本中,此选项不可用。
在“安全级别”中,单击“不允许”或“无限制”。
在“描述”中键入此规则的描述,然后单击“确定”。
注意
使用 Internet 区域规则
Internet 区域规则只适用于 Windows Installer 程序包。 区域规则可以识别通过 Internet Explorer 指定的区域中的软件。 这些区域为“Internet”、“本地 Intranet”、“受限制的站点”、“受信任的站点”和“我的电脑”。 Internet 区域规则旨在防止用户下载和安装软件。
创建 Internet 区域规则的步骤
打开“软件限制策略”。
在控制台树或详细信息窗格中,右键单击“其他规则”,然后单击“新建 Internet 区域规则”。
在“Internet 区域”中单击一个 Internet 区域。
在“安全级别”中,单击“不允许”或“不受限”,然后单击“确定”。
注意
使用路径规则
路径规则根据软件的文件路径来识别软件。 例如,如果计算机的默认安全级别为“不允许”,则你仍可为每个用户授予对特定文件夹的无限制访问权限。 你可以创建一个路径规则,方法是使用文件路径,并将路径规则的安全级别设置为“不受限”。 这种类型的规则的某些常见路径为 %userprofile%、%windir%、%appdata%、%programfiles% 和 %temp%。 还可以创建注册表路径规则,这些规则使用软件的注册表项作为其路径。
由于这些规则是按路径指定的,因此,如果移动了软件程序,路径规则将不再适用。
创建路径规则的步骤
打开“软件限制策略”。
在控制台树或详细信息窗格中,右键单击“其他规则”,然后单击“新建路径规则”。
在“路径”中键入一个路径,或者单击“浏览”查找文件或文件夹。
在“安全级别”中,单击“不允许”或“无限制”。
在“描述”中键入此规则的描述,然后单击“确定”。
注意
注意
创建注册表路径规则的步骤
在“开始”屏幕中,键入“regedit”。
在控制台树中,右键单击要为其创建规则的注册表项,然后单击“复制项名称”。 记下详细信息窗格中的值名称。
打开“软件限制策略”。
在控制台树或详细信息窗格中,右键单击“其他规则”,然后单击“新建路径规则”。
在“路径”中,粘贴注册表项名称,后接值名称。
请用百分号 (%) 将注册表路径括起来,例如,%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%。
在“安全级别”中,单击“不允许”或“无限制”。
在“描述”中键入此规则的描述,然后单击“确定”。
