软件限制策略

　　软件限制策略（简称SRP）允许我们通过推行组策略来控制特定程序的执行。除了能作用于现有业务环境之外，SRP还是一套非常适合终端服务器或公共资讯支持设备的管理方案。在它的帮助下，用户将只能使用特定的某一项功能，且无法利用管理软件或下载来自互联网的应用程序与实用工具。

　　Windows能够通过不同方式正确识别软件的限制与放行标准。Hash规则就是其中之一，它会识别程序中文件与可执行文件的特征，而后为其生成一套hash算法。

　　Hash机制对于识别同款程序的特定版本方面表现出色，因为hash值会随着文件的变更而有所不同（程序新旧版本之间必然存在文件差异）。

　　验证规则会通过数字签名识别软件，这一点在保护授权脚本方面极为重要。Windows系统还能通过软件的路径与互联网区域（IE浏览器内部）识别软件身份，进而严格控制软件下载活动的安全性。

　　最后，Windows系统可以创建规则、帮我们揪出那些无法通过受信列表或其它管理规则明确界定的软件对象。Windows将程序与规则相比照以确认对方是否符合软件限制GPO要求，如果同一款程序符合多套管理规则，系统会为其匹配最核心的规则。

　　这些策略功能强大，但正如我在本文开头所提到，每套方案都有自己的弱点：除非大家能精心为用户可能需要的每个Windows可执行文件创建例外规则（包括其应用程序），否则SRP的介入会令整套业务系统变得相当迟钝。

　　SRP还可能给创建安全环境所必要的用户登录脚本带来麻烦。如果大家决意采取这套方案，那就必须在实验环境下提前对所有限制策略与例外清单进行全面测试。另外还要提醒各位：当我们为特定软件创建限制GPO时，请务必确保将域管理员组加入GPO的访问控制清单当中，而且GPO不可拥有应用组策略的权限。这么做是为了将策略本身的控制权交给管理员，而不至于在关上门之后才发现自己也被锁在了外面。

　　在做好创建策略的准备工作后，请遵循以下步骤：

　　为每套限制策略创建新的GPO，一旦我们在实际应用中发现限制过严，就可以轻松禁用对应策略。

　　通过计算机配置或用户配置将限制规则应用至设备或用户端，具体流程为策略——>Windows设定——>安全设定——>软件限制策略。

　　右击软件限制策略，在弹出的功能菜单中选择新的软件限制策略。

　　设定一套默认识别规则：在窗口左侧点击“安全级别”，右击某一安全级别然后在弹出的功能菜单中选择“设为默认”。

　　现在，我们需要创建一套判断软件是否符合限制约束标准的规则。右键点击窗口左侧的“额外规则”，点选“新验证规则”后从“新Hash规则”及其文件审计模式、“新互联网区域规则”及其区域审计模式、“新路径规则”及其文件模式或者注册表项等方案中做出选择。

　　在窗口右侧，双击“执行”选项。现在我们来看看这些限制究竟如何生效。推荐大家使用以下选项：“全部软件文件例外库”将帮助我们避免关键性系统及应用程序功能文件受到阻断。“全部本地管理员例外用户”则表示Windows系统只会在本地管理员组之外的用户当中严格执行限制策略。

　　接下来在窗口右侧双击“指定文件类型”，我们需要在其中审查并添加软件限制策略中涉及到的应用程序文件扩展名。这份列表需要非常完整，而且在必要的情况下请大家确保企业所使用的脚本语言也拥有对应的文件扩展名关联。

　　最后，在窗口右侧双击“受信发布者”。在这里我们可以指定普通用户、本地管理员或者企业管理员是否有权决定开放数字签名程序的可信性并对其进行控制。

　　大家可以在任何版本的WindowsXP、Windows Vista、Windows7或者Windows8系统中使用SRO，不过作为其后续方案，AppLocker的功能无疑更为丰富——这也正是我们接下来要讨论的重点。AppLocker目前只在售价最高的Windows7或Windows8操作系统客户端中出现。