軟件限制策略的應用規則是什么？

軟件限制策略的軟件應用規則是什么？

使用軟件限制策略，可以通過(guò)ヾ(′?｀)?標識和指定允許運行的限制軟件來(lái)保護計算環(huán)境免受不受信任的軟件的限制。 可以將組策略對象的策略默認安全級別定義為 "不 受限制 " 或 "不允許" (GPO) ，以便默認允許或不允許運行軟件。用規 您可以通( ?ヮ?)過(guò)為特定軟件創(chuàng )建軟件限制策略規則，軟件對此默認安全級別進(jìn)行例外。限制 例如，策略默認安全級別設置為“不允許”時(shí)，用規你可以創(chuàng )建允許運行特定軟件的軟件規則。 規則的限制類(lèi)型如下：

1、證書(shū)規則

軟件限制策略還可??以通過(guò)簽名證書(shū)來(lái)識別軟件。策略 你可以創(chuàng )建一個(gè)證書(shū)規則來(lái)識別軟件，用規然后根據安全級別允許或不允許運行該軟件。軟件 例如，限制可以使用證書(shū)規則自動(dòng)信任來(lái)自域中受信任源的策略軟件，且不提示用戶(hù)。 還可以使用證書(shū)規則來(lái)運行操作系統的不受允許區域中的文件。 默認情況下，不會(huì )啟用證書(shū)規則。

當使用組策略為域創(chuàng )建規則時(shí)，您必須具有創(chuàng )建或修改組策略對象的權限。 如果要為本地計算機創(chuàng )建規則(ze)，則你必須擁有該計算機上的管理憑據。

哈希是具有固定長(cháng)度的一系列字節，用(yong)于唯一標識某個(gè)軟件程序┐(′?｀)┌或文件。 哈希由哈希算法計算。 為軟件程序創(chuàng )建哈希規則后，軟件限制策略將計算該程序的哈希。 當用戶(hù)嘗試打開(kāi)某個(gè)??軟件程序時(shí)，會(huì )將該程序的ヽ(′▽?zhuān)?ノ哈(′Д` )希與軟件限制策略的現有哈希規則進(jìn)行比較。 不管軟件程序位于計??算機上的哪??個(gè)位置，該程序的哈希都始終相同。 但是，如果以任何方式對軟件程序做了更改，則其哈希也會(huì )更改，不再與軟件限制策略的哈希規則中的(╯°□°）╯︵ ┻━┻哈希匹配。

例如，可以??創(chuàng )??建一個(gè)哈希規則并將安全級別設置為“不允許”，以防止用戶(hù)運行特定的文件。 可以重命名某個(gè)文件或將其移到另??一個(gè)文件夾，而哈希仍保持相同。 但是，如果對該文件進(jìn)行了任何更改，則也會(huì )更改它的哈希值，并允許它繞過(guò)限制。

3、Internet 區域規則

Internet 區域規則只適用于 Windows Installer 程序包。 區域規則可以識別通過(guò) In(⊙_⊙)ternet Explorer 指定的區域中的軟件。 這些區域為“Internet”、“本地 Intranet”、“受限制的站點(diǎn)”、“受信任??的站點(diǎn)”和“我的電腦”。 Internet 區域規則用于阻止用戶(hù)下載和安裝軟件。

4、路徑規則

路徑規則根據軟件的文件路徑來(lái)識別軟件。 例如，如果計算機的默認安全級別為“不允許”，則你仍可為每個(gè)用戶(hù)授予對特定文件夾的無(wú)限制訪(fǎng)問(wèn)??權限。 你可以創(chuàng )建一個(gè)路徑規則，方法是使用文件路徑，并將路徑規則的安全級別設置為&ldquo??;不受限”。 這種(zhong)類(lèi)型的規則的某些常見(jiàn)路徑為 %userpr(╯‵□′)╯ofile%、%windir%、%appdata%、%programfiles% 和 %temp%。 還可以創(chuàng )??建注冊表路徑規則，這些規則使用軟件的注冊表(′_ゝ`)項作為其路徑。

由于這些規則是按路徑指定的，因此，如果移動(dòng)了軟件程序，路徑規則將不再適用。