组策略限制安装软件

组策略之软件限制策略——完全教程与规则示例

理论部分：

1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题

4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限

规则部分：

5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载

其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限

理论部分

软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？

一是因为散列规则不能通用，二是即使用了也意义不大 —— 防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统

解除软件限制策略

出现软件限制策略阻止，我们就需要了解一下什么是策略阻止，其实说简单点就是XP系统的组策略管理器中对某软件或功能进行了限制，所以无法运行。 我们先来扫一下盲，看一下下面这篇文章： 用好组策略管理器，你会发现你也能成为电脑大虾

组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主

软件限制策略的简单应用应用简单策略限制软件运行所有

软件限制策略的简单应用应用简单策略限制软件运行所有

单位的网络管理员肯定都遇到过这种困扰，老板不希望员工在工作的时间聊QQ或者玩游戏，而总有员工会私下里安装被禁止的软件。怎样避免这种情况？虽然有监控软件可以用，不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况，现在越来越多的病毒通过电子邮件传播，很多人都是无意中运行了电子邮件的附件而中毒的，有没有什么好的手段可以避免员工运行来历不明的文件？现在好了，如果你的客户端是WindowsXPProfessional，那么就可以使用其中的软件限制策略。
　　简单来说，软件限制策略是一种技术，通过这种技术，管理员可以决定哪些程序（虽然这里用了“程序”这个字眼，不过不单指exe文件，我们可以通过该技术限制任何类型扩展名的文件被执行）是可信赖的，而哪些是不可信赖的，对于不可信赖的程序，则系统会拒绝执行。通常，管理员可以让系统使用以下几种方式鉴别软件是否可信赖：文件的路径、文件的哈希（Hash）值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件，以及其他强制属性。
　　软件限制策略不仅可以在单机的WindowsX

组策略项目详解.txt39人生旅程并不是一帆风顺的，逆境 失意会经常伴随着我们，但人性的光辉往往在不如意中才显示出来，希望是激励我们前进的巨大的无形的动力。40奉献是爱心，勇于付出，你一定会收到意外之外的馈赠。策略应用设置大全 一、桌面项目设置

1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥

5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板”

2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置

1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器

四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置

1、限制IE浏览器的保存功能 2、给工具栏减肥

3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私

6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策

组策略应用大全 专题

来源:中国IT实验室

给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行组策略。先看看组策略的全貌，如图。

Win2003 Server帐户和本地策略配置（上）

在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos

策略三个方

面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。

一、密码策略的设置

密码

微思网络，福建IT精英的发源地！

组策略概述

组策略的处理规则

利用组策略来管理计算机与用户环境

组策略建模与组策略结果

组策略的委派管理

组策略的功能

组策略对象

策略设置与首选项设置

组策略的应用时限

组策略的功能组策略使 IT管理员能实现用户和计算机的一对多管理自动化。

组策略的功能： 账户策略的设置 本地策略的设置 脚本的设置 用户工作环境的设置 软件的安装与删除 限制软件的运行 文件夹重定向 限制访问“可移动存储设备” 其他众多的系统设置

组策略对象(Group Policy Object)组策略是通过组策略对象来设置的，只要将GPO链接到指定的站点、域或组织单位，此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户和计算机 内置的GPO Default Domain Policy Default Domain Controller Policy GPO的组件 GPC(Group Policy Container) GPT( Group Policy Template)

组策略对象(续)组策略容器组策略容器 存储在 AD DS中 提供版本信息组策略对象组策略对象

组策略模板组策略模板

包含组策略设置 在两个位置存储内容 存储在共享 SYSVOL

组策略与安全设置

系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述

组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。

? 本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背

应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。 ? 域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内

的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示

以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而

Win2003域之组策略应用

目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是\组策略\利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作.

但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户

组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以:

a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用

因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略

总之组策略给企

用组策略禁ping方法

方法一：

打开“控制面板→管理工具→本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器操作”，在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为ICMP，设置完毕。

在“管理筛选器操作”，取消选中“使用添加向导”，添加，在常规中输入名字“Deny的操作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的操作”，然后右击“防止ICMP攻击”并启用。

方法二:

用高级设置法预防Ping

默认情况下，所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项，您的网络将在 Internet 中是可视的，因而易于受到攻击。

如果要启用ICMP，必须以管理员或Administrators 组成员

组策略详解

更新时间: 2009年1月 应用到: Windows Server 2008

可以使用 Windows Server 2008 组策略来管理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server 2008 中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。与组策略设置相比，首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息，请参阅组策略首选项概述（可能为英文网页）。

通过使用组策略，您可以大大降低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案，您可以提供组织所需的标准化功能、安全性以及管理控制。

组策略概述

组策略在运行 Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理