Win2003中用组策略限制域中客户端运行的软件

当今的商业运算环境中，internet访问与email的使用变得十分的频繁，企业内部网中最终用户不再仅仅需要通过软盘或光盘安装使用软件，他们可能每天都需要做出选择： 要不要运行商业伙伴发送过来的附件中的可执行程序？
要不要运行刚从internet上下载的可执行程序？
另外一个同事通过MSN传递了一个可执行程序给他，他可以打开并执行它吗？
… …
作为企业计算环境中的网络管理员的您，可能非常清楚在计算环境中运行未知的可执行程序的危险性，这可能使您的整个网络遭受特洛伊木马或未知病毒的攻击（如BR2002.exe病毒），从而给您的企业内部网络带来严重的危害。但是，您可能无法保证每个最终用户在面对每一个可执行程序时都能作为正确的选择！为了保证企业内部网络安全，您可能需要限制客户端计算机的运行的软件。如果你的客户端计算机为Windows XP,并且构建了Windows 20003的域的环境，则您可以轻松做到：使用软件限制策略来限制客户端计算机或Windows 20003服务器上所能够运行的软件或禁止某些软件的执行。我们将分四个部分，举例为您讲述该策略的具体应用。
1. 它为您的企业计算带来什么？
作为Windows Server 2003 三大新增安全功能选项之一，它可以保护您的企业内部网络，在运行未知的或不被信任的软件时免遭攻击，并进一步降低了TCO与支持成本；同时由于它是基于组策略来实现，结合GPMC的强大的管理功能，提供的良好的可管理性。
您可以创建一个新的GPO，将它链接到站点、域或组织单位级别。同时您也可以定义一个默认的安全级别：默认允许所有的软件运行或默认不允许任何软件的运行，另外再通过特定的软件限制策略规则，限制或允许特定的软件。规则类型如下：

散列规则

证书规则

路径规则（包含注册表路径规则）

Internet区域规则

换而言之，软件限制策略由默认安全级别与所有的软件限制策略规则组成，它提供多种方式来区分辨别特定软件；当客户端计算机运行可执行程序时，它受限于该处管理员设定的软件限制策略。
基于软件限制策略，您可以：

限制系统上所能够运行的软件

在多用户使用的系统上，指定用户只能运行特定的文件

决定谁可以添加受信任的发布者

控制软件限制策略是否应用多所有用户还是指定的一些用户

在本地计算机、组织单位、域或站点级别，阻止特定的文件的运行

注意： 软件限制策略不应该也并不能取代防病毒软件
2. 我想使用软件限制策略来规范企业内部网络的软件环境,该如何实现？
作为企业的网络管理员，我需要对某一部门的员工设定策略，限制他们只能运行Microsoft Office和IE,大致的步骤该如何实现？
为该部门的员工新建组织单位，并将这部门员工的域帐号以及所使用的计算机帐号移至该组织单位；

新建组策略对象与测试使用的组织单位、测试用户帐号，并且将新建的组策略对象与该组织单位相链接，将测试用户帐号与测试计算机帐号移至该测试组织单位；

参照下表编辑该组策略对象：



默认安全级别: 不允许的

新建以下的路径规则：

路径规则	安全级别
%Windir%/System32/cmd.exe	不允许的
%Windir%	不受限制的
%ProgramFiles%/Microsoft Office/Office	不受限制的
%ProgramFiles%/Common Files/Microsoft Shared/	不受限制的
%ProgramFiles%/Common Files/System	不受限制的
%ProgramFiles%/Internet Explorer/	不受限制的
//logonsrv/logonscripts$	不受限制的

注意：
a) 当默认安全级别设定为不允许时，系统为了保证不会锁定您自己或其他的用户的常规操作，自动生成了以下四条路径规则：

路径规则	安全级别
%HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/SystemRoot%	不受限制的
%HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/SystemRoot%/*.exe	不受限制的
%HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/SystemRoot%/System32/*.exe	不受限制的
%HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/ProgramFilesDir%	不受限制的

只有高级用户在经过必要测试后，方允许修改该系统默认策略规则； b) 其中启动组的选项放置在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下，如果您想同时保证这些选项设定的文件或程序的正常运行，请为之设定相应的路径规则；
c) 软件限制策略的优先级，从高到底排列如下：
散列规则

证书规则

路径规则（包含注册表路径规则）

Internet区域规则

如果对统一对象设定了不同的软件限制策略，更为具体的、更为安全的设定优先

以测试帐号在测试计算机上登录，运行 "gpupdate /force" 确认测试结果与设想中的要求完全符合；

将该组策略对象与该部门的组织单位链接，删除与测试组织单位的链接并删除相应的测试组织单位、测试用户帐号等。

3. 几点建议：
不要编辑Default Domain Policy，建议单独新建一个容易辨别的组策略对象；

使用ACL来控制哪些用户或安全组会实现软件限制策略；

在应用到实际的生产环境前，请务必在测试环境中测试该组策略对象的设定；

考虑到性能问题，请不要跨域或站点链接组策略对象；

如果您在实现软件限制策略时有误，您可以通过以下的方式消除影响：
禁用该组策略，重新启动客户端计算机或在客户端计算机上运行"gpupdate /force"；

启动客户端计算机至安全模式，以Administrator登录，编辑组策略；

最后，您还可以尝试通过远程修改注册表的方式，设定路径HKLM/SOFTWARE/

Policies/Microsoft/Windows/Safer/CodeIdentifiers/下的TransparentEnabled值为1，来禁用策略。

通过设定"强制"的属性，使本地管理员不受软件限制策略的影响：




4. 常见问题与简单排错：
1） 当用户尝试运行软件限制策略中所禁止运行的文件时，系统会弹出警示窗口，并在系统日志中记录相应的事件：

事件ID	含义
865	A user attempted to run software that is disallowed by the default security level.
866	A user attempted to run software that is disallowed by a path rule.
867	A user attempted to run software that is disallowed by a certificate rule.
868	A user attempted to run software that is disallowed by an Internet zone rule or a hash rule.

2） 编辑过的组策略对象没有生效，请使用以下方式检查：
a) 客户端与服务器端的DNS的相关配置是否正确；
b) 在客户端计算机上运行"gpupdate /force"刷新计算机策略；
c) 查看各级组策略对象的设定是否有冲突；
d) 使用事件查看器、gpresult.exe (Version 2.0)获得更多信息，联系本地的微软技术支持人员获取帮助。
3） 添加了软件限制策略后，您不能正常登录到计算机。
有可能该计算机在启动时需要运行的文件被该策略所限制，系统无法访问。此时，您可以启动该计算机至安全模式，修正该软件限制策略