要想控制运行在业务环境中的所有应用听起来似乎像是不可能完成的任务，而且平心而论，达成这一目标确实需要投入大量精力。我们需要制定管理政策以限制软件安装与执行，并利用工具确保这些政策得到切实贯彻，而不至于像行政管理工作那样“蜻蜓点水”般一带而过。整个流程需要以探索的态度组织试验、发现错误，然后才能逐步推开。不过只要能从实践中积累经验，这样的处理方式也将给我们带来诸多回报，其中包括：

　　恶意软件几乎会得到彻底根除。但凡没有获得批准或列入白名单的应用程序都不允许执行。

　　由用户安装未受审核的应用（例如iTunes与Dropbox）所引发的桌面系统支持难题将大幅减少。

　　针对数据泄露的保护机制得到增强，因为用户无法使用那些没有与组策略设定相匹配的应用程序，也就无法绕开企业预先制定好的安全政策。

　　在本文中，我将带大家一同了解如何在Windows客户计算机中对软件安装及执行实施控制。除非特殊说明，否则我提到的一切操作方式都基于Windows Server　2008及后续版本，因此各位不必担心由于使用第三方工具而带来额外的许可开支。另外，我还会为大家总结各套方案的优势与缺点。

限制Windows安装程序

　　如果您是一位二八开原则的忠实拥护者，完全可以利用20%的精力对Windows安装程序做出简单限制，从而获得80%的管理控制成效。我们最常见的处理方式通常是借助组策略。创建一个组策略对象（group policy object，GPO），右键点击进行编辑，并在弹出的组策略对象编辑器窗口中依次找到计算机配置——>管理模板——>Windows组件——>Windows安装程序。

　　双击窗口右侧的“禁用Windows安装程序”选项，为了保证Windows安装程序只能接受组策略中所列出的应用程序对象，请点击“只针对未管理应用”。大家也可以直接点击“始终有效”来禁止Windows安装程序处理包括获得许可的应用在内的所有软件。

　　这套方案的弊端在于只能影响到通过Windows安装程序进行安装的软件。很多知名软件都拥有独立的安装工具，在这种情况下管理政策将无法有效控制其安装与执行。除此之外，GPO在针对业务环境下特定设备子集时效果也不理想，尤其是在某些用户拥有本地管理员权限时——此类权限意味着我们信任其安装应用程序的操作。话说回来，虽然存在各种局限，这种处理方式至少堪称“聊胜于无”，而且确实可以预防某些用户的违规操作。

　　不过我个人还没见过哪种病毒或者恶意软件会通过Windows安装程序进行传播，因此如果大家希望能在对抗这类威胁时拥有额外的防御机制，这套方案恐怕帮不上什么忙。