原則與操作軟件限制原則可以幫助我們?nèi)タ毓苘浖?，提升電腦的安全性與管理性，便于限制在上班時間禁止運行的程序，減少資源消耗。我們可以在公司中定義一個群組原則物件（Group Policy Object G

原則與操作

軟件限制原則可以幫助我們?nèi)タ毓苘浖?，提升電腦的安全性與管理性，便于限制在上班時間禁止運行的程序，減少資源消耗。我們可以在公司中定義一個群組原則物件（Group Policy Object GPO），將這個原則連接到我們所要控管的范圍，只要是在這個范圍內(nèi)的主機就會全部受到這個原則的控管，所以，就使用與部署可以說相當方便。

軟件限制原則主要可以用來執(zhí)行下列控管操作：

1. 控制不當應用程序運行，間接可以抵抗病毒；

2. 在IE中管理可以下載的ActiveX控制項；

3. 控管只能執(zhí)行有數(shù)字簽名的代碼；

4. 確保只有同意的軟件才能安裝在電腦系統(tǒng)上。

預設規(guī)則

軟件限制可以通過兩項不同的預設規(guī)則來管理：一個是寬松管理，也就是預設上不進行任何控管，只控制指定的程序不可以運行；一個是嚴格管理，也就是預設上不允許所有軟件運行，只有特定的程序可以運行。按照這套邏輯，內(nèi)建有兩個不同的規(guī)則：

1. 沒有限制：這條規(guī)則允許執(zhí)行所有軟件，除非“其他原則”中有另外定義不可以運行的軟件。此原則可以讓用戶安裝新的軟件程序，但仍然讓系統(tǒng)管理員有能力可以鎖定需要控管的軟件，阻止該軟件在用戶的電腦上運行。當管理員發(fā)現(xiàn)新的病毒或其他不允許運行的軟件插件時，系統(tǒng)管理員可以立即更新規(guī)則，將新的軟件納入其中，阻止該軟件在用戶的電腦上運行。但是用戶必須重新開機，或是注銷之后再重新登錄，才會應用新的軟件規(guī)則。

2. 不允許：此規(guī)則不允許任何軟件在用戶電腦上運行，除非“其他原則”中有另外定義可以運行的軟件。此規(guī)則只建議應用于極高安全性或鎖定只可以運行特定軟件的環(huán)境中。因為每套允許運行的應用程序都必須逐一比對規(guī)則，而且每次軟件插件中應用Service Pack時，就必須更新規(guī)則，所以管理維護上成本教高。

應用方式

軟件限制規(guī)則在有Active Directory網(wǎng)域的環(huán)境中可以整合在群組原則中；而在獨立電腦上，也可以通過本機組策略加以設置。應用的方式跟一般組策略中的電腦規(guī)則一樣：

1. 系統(tǒng)管理員使用組策略MMC嵌入Active Directory管理單元，為Active Directory的站點、網(wǎng)域或組織單位建立原則。

2. 網(wǎng)域中的電腦啟動時，設置在群組原則中的電腦規(guī)則下載并應用到電腦上，而用戶規(guī)則是在下一次登錄時套用。

案例分析

本文針對AD網(wǎng)域的環(huán)境下做集體部署設置，對MSN進行控管。

1. 開啟AD管理工具，找到要應用軟件限制的網(wǎng)域或組織單位中，編輯群組原則物件。

2. 下跳到“電腦設置”中的“Windows設置”的“安全性設置”選項，點開后就會看到軟件限制策略，預設的規(guī)則中沒有定義任何的軟件限制規(guī)則。

3. 用鼠標右鍵一下“軟件限制策略”，然后按一下“新增軟件限制策略”。

4. 在此我們可以設置“哈?！薄ⅰ白C書”、“路徑”和“網(wǎng)絡區(qū)域”規(guī)則，以符合組織的需求。本例中，選擇“新增哈希規(guī)則”。

5. 指定將要限制的軟件MSN程序，此時限制規(guī)則系統(tǒng)會為該軟件進行哈希運算，以便得出將來要比對的哈希值。

6. 按下確定，關閉AD管理工具畫面即可。

7. 重新啟動用戶主機，啟動時用戶電腦自動應用所設置的規(guī)則。

測試結果