摘 要：随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多，用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。

一、.软件限制策略概述

在系统安全方面，有人曾说，如果把 HIPS （Host-based Intrusion Prevention System ，基于主机的入侵防御系统）用的很好，就可以告别杀毒软件了。其实，在Windows中，如果能将组策略中的“软件限制策略”使用的很好，再结合NTFS权限和注册表权限限制，依然可以很淡定的告别杀毒软件。另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。

二.部署软件限制策略

软件限制策略的功能描述：软件限制策略，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户： 除本地管理员以外的所有用户。启用限制策略在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它：

1. 打开组策略编辑器：gpedit.msc

2.将树目录定位至：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略

3.在“软件限制策略”上点击右键，点选“创建软件限制策略”创建成功之后，组策略编辑窗口中会显示相关配置条目。

三.配置软件限制策略

使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则，应用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。目前主要用到的是路径规则和散列规则，而路径规则则是这些规则中使用最为灵活的。

1.哈希规则

散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。

部署哈希规则安全策略

1）单击开始，单击运行，键入 mmc，然后单击确定。

2）打开软件限制策略。

3）在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建哈希规则。4. 单击浏览找到文件，或者将预先计算好的哈希值粘贴到文件哈希框中。

4）在安全级别框中，单击不允许或无限制。

5）在描述框中，键入对此规则的说明，然后单击确定。

2.数字证书

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA機构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。

部署证书规则安全策略

1）单击开始，单击运行，键入 mmc，然后单击确定。

2）打开软件限制策略。

3）在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建证书规则。

4）单击浏览，然后选择证书。

5）选择安全级别。在描述框中，键入对此规则的说明，然后单击确定。

3.网络区域规则安全策略概论

Internet Explorer 将所有网站分配到以下四个安全区域之一：Internet、本地 Intranet、受信任的站点或受限制的站点。网站所分配至的区域指定了用于该站点的安全设置。

Internet：默认情况下，Internet 区域的安全设置级别适用于所有网站。该区域的安全级别设置为“中高”（但可将其更改为“中”或“高”）。仅未使用安全设置的网站是位于本地 Intranet 区域的站点，或者是已明确进入受信任的或受限的站点区域的站点。

本地 Intranet：本地 Intranet 区域的安全设置级别适用于存储在企业或商务网络的网站和内容。本地 Intranet 区域的安全级别设置为“中”（但可将其更改为任何级别）。

受信任的站点：受信任的站点的安全设置级别适用于已明确指定信任其不会损坏计算机或信息的站点。受信任的站点的安全级别设置为“中”（但可将其更改为任何级别）。

受限制的站点：受限制的站点的安全设置级别适用于可能损坏计算机或信息的站点。将站点添加到受限制的区域不会阻止这些站点，但可用阻止站点使用脚本或任何活动内容。受限制的站点的安全级别设置为“高”并且无法更改。

四、总结

通常来说，不同的情况需要选择不同的规则。四类规则按照优先级的高低顺序排列，依次是：哈希规则、证书规则、路径规则、网络区域规则，高优先级规则的设置会覆盖低优先级规则的设置。对于同一种规则，“禁止”要优先于“允许”，例如对某个软件，我们无意中使用某种规则（例如哈希规则）同时创建了禁止运行和允许运行这两条规则，那么最终的结果是系统禁止该程序运行。

作者简介：

张志浩 淄博职业学院信息工程系教师 职称讲师。endprint