軟件限制策略利用組策略的GPO來設置，可以在本地計算機，站點，域，OU等4個不同的地方來設置軟件限制策略，如果以上4級策略設置沖突，優先級由低到高是：本地-站點-域-OU<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

軟件限制策略的規則

安全級別有兩種：

不受限的（系統默認）：所有登錄用戶都可以運行指定的軟件（只要有權限）

不允許的：不論用戶對軟件文件有哪種訪問權限，都不允許運行

可以通過“哈希規則”，“證書規則”，“路徑規則”，“Internet趨于規則”4種規則來建立例外的安全級別

哈希（hash）規則：根據軟件程序的內容計算出的一連串固定數目的數。它是根據軟件程序的內容算出來的，因此不同的軟件有著不同的“哈?！敝?#xff0c;所以系統可以用它來識別軟件。在為某個軟件建立哈希規則，限制用戶不允許運行此軟件時，系統就會為該軟件建立一個哈希值。當用戶要運行此軟件時，用戶的計算機就會對比其自行算出來的哈希值，判斷是否與軟件限制策略中的哈希值相同，如果相同，就拒絕此軟件運行。因此軟件的文件名被改變或者被轉移到其他位置，哈希值不會改變，仍然收到軟件限制策略的約束。?但不能用此策略來防病毒，如果可執行文件被感染，則計算出的哈希值會改變，文件可以被運行

證書規則：通過“簽署證書”識別軟件，也就是說通過建立“證書規則”允許或拒絕用戶運行某軟件（只適用于MSI（Windows?Installer?Package）文件和腳本scripts，不適用于.exe或.dll的程序）

路徑規則：用軟件所在的路徑來識別軟件。如果軟件被轉移到其他目錄，則不受約束。分為文件夾路徑規則和注冊表路徑規則兩種

Internet區域規則：利用軟件所在的“Internet區域”來辨別軟件，區域包括本地計算機，本地Intranet，受信任的站點，受限制的站點與Internet，也可使用IE來設置。只適用于Windows?Installer?Package（MSI文件）

對同一個軟件設置多個軟件限制規則，這些規則的優先級由高到低為：哈希規則-證書規則-路徑規則-Internet區域規則，

證書規則：先啟用（組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-系統設置：為軟件限制策略對Windows可執行文件使用證書規則）

轉載于:https://blog.51cto.com/hanbaiwangzi/190203

總結

以上是生活随笔為你收集整理的13.软件限制策略的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。