组策略应用之二——限制客户端软件安装及使用

简介:


       我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件:

一、限制用户使用未授权软件
方法一:
1.  在需要做限制的 OU 上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图:
2.  打开“组策略编辑器”,选择“用户配置” -> “管理模板” -> “系统”,然后双击右面板上的“不要运行指定的 Windows 应用程序”,如下图:
3.  在“不要运行指定的 Windows 应用程序   属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4.  在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制 QQ ,那么就添加 QQ.exe ,如下图:
5.  点击确定,确定 ,完成组策略的设置。然后到客户端做测试,双击 QQ.exe ,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把 QQ.exe 改为 TT.exe ,再登录,如下图,又可以了。看来我们的工作还没有完成,还好 Microsoft 还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。
6.  打开“组策略编辑器”,选择“用户配置” -> Windows 设置” -> “安全设置” -> “软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
7.  右击“软件限制策略”下的“其他规则”,选择“新建哈希规则”,如下图:
8.  在“新建哈希规则”对话框中,点击“浏览”,找到要限制的软件,如下图:
点击“确定”后,在右面板上就可以看到我们新建的哈希规则了。
9.  关闭组策略编辑器,哈希规则限制软件使用就已经建好了。我们到客户端去测试打开 QQ ,出现如下提示。 OK ,现在即使改变名字也不能使用了。
不过,这种方式也不是绝对的有效,如果软件版本更新,那么我们就必须对新的版本做一次哈希规则,之前做的哈希规则只能对那一个版本的软件有效。如果这样每次有软件更新都做哈希规则的话,管理员的任务是很重的,所以这种方法虽然有用,不过,不能算好的方法。
 
 
方法二:
接下来,我们使用另外一种方法,就是默认禁止所有软件运行,然后,开通公司允许使用的软件。由于每个企业允许使用的软件都是有限的,这样做起来比较方便一些。具体方法如下:
1.  打开“组策略编辑器”,选择“用户配置” -> “管理模板” -> “系统”,在右面板上双击“只运行许可的 Windows 应用程序”,如下图:
2.  在“只运行许可的 Windows 应用程序   属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
3.  在“显示内容”对话框中,添加公司允许使用的软件,如下图:点击确定,确定 关闭组策略编辑器,完成组策略的设置。
4.  我们到客户端,随便找一个非允许的软件,双击都会出现如下所示对话框。 OK ,现在我们就已经做到限制软件的使用了。这种方法比前一种方法更为实用。
 
二、限制用户安装软件
由于我们域中有些用户具有 Power User 权限,而拥有该权限的用户是可以安装软件了,为了防止用户未经授权,自行安装软件。我们必须对用户做安装软件的限制。这个设置很简单:
打开“组策略编辑器”,选择“用户配置” -> Windows 设置” -> “安全设置” -> “软件限制策略” -> “安全级别”,然后在右面板上将默认的安全级别改为“不允许的”。关闭组策略编辑器,设置完成。
我们到客户端去测试一下,如下图,我们测试安装 skype 软件,系统会提示已经受到限制。
 
使用组策略限制软件的使用和安装,到这里就已经介绍完了。其实组策略是一个很强大的工具,用好了组策略,可以给我们的域管理工作带来很多方便。



     本文转自Tonyguo 51CTO博客,原文链接:http://blog.51cto.com/tonyguo/188991,如需转载请自行联系原作者



相关文章