我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件:
一、限制用户使用未授权软件
方法一:
1.
在需要做限制的
OU
上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图:
2.
打开“组策略编辑器”,选择“用户配置”
->
“管理模板”
->
“系统”,然后双击右面板上的“不要运行指定的
Windows
应用程序”,如下图:
3.
在“不要运行指定的
Windows
应用程序
属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4.
在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制
QQ
,那么就添加
QQ.exe
,如下图:
5.
点击确定,确定
…
,完成组策略的设置。然后到客户端做测试,双击
QQ.exe
,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把
QQ.exe
改为
TT.exe
,再登录,如下图,又可以了。看来我们的工作还没有完成,还好
Microsoft
还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。
6.
打开“组策略编辑器”,选择“用户配置”
->
“
Windows
设置”
->
“安全设置”
->
“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
7.
右击“软件限制策略”下的“其他规则”,选择“新建哈希规则”,如下图:
8.
在“新建哈希规则”对话框中,点击“浏览”,找到要限制的软件,如下图:
点击“确定”后,在右面板上就可以看到我们新建的哈希规则了。
9.
关闭组策略编辑器,哈希规则限制软件使用就已经建好了。我们到客户端去测试打开
QQ
,出现如下提示。
OK
,现在即使改变名字也不能使用了。
不过,这种方式也不是绝对的有效,如果软件版本更新,那么我们就必须对新的版本做一次哈希规则,之前做的哈希规则只能对那一个版本的软件有效。如果这样每次有软件更新都做哈希规则的话,管理员的任务是很重的,所以这种方法虽然有用,不过,不能算好的方法。
方法二:
接下来,我们使用另外一种方法,就是默认禁止所有软件运行,然后,开通公司允许使用的软件。由于每个企业允许使用的软件都是有限的,这样做起来比较方便一些。具体方法如下:
1.
打开“组策略编辑器”,选择“用户配置”
->
“管理模板”
->
“系统”,在右面板上双击“只运行许可的
Windows
应用程序”,如下图:
2.
在“只运行许可的
Windows
应用程序
属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
3.
在“显示内容”对话框中,添加公司允许使用的软件,如下图:点击确定,确定
…
关闭组策略编辑器,完成组策略的设置。
4.
我们到客户端,随便找一个非允许的软件,双击都会出现如下所示对话框。
OK
,现在我们就已经做到限制软件的使用了。这种方法比前一种方法更为实用。
二、限制用户安装软件
由于我们域中有些用户具有
Power User
权限,而拥有该权限的用户是可以安装软件了,为了防止用户未经授权,自行安装软件。我们必须对用户做安装软件的限制。这个设置很简单:
打开“组策略编辑器”,选择“用户配置”
->
“
Windows
设置”
->
“安全设置”
->
“软件限制策略”
->
“安全级别”,然后在右面板上将默认的安全级别改为“不允许的”。关闭组策略编辑器,设置完成。
我们到客户端去测试一下,如下图,我们测试安装
skype
软件,系统会提示已经受到限制。
使用组策略限制软件的使用和安装,到这里就已经介绍完了。其实组策略是一个很强大的工具,用好了组策略,可以给我们的域管理工作带来很多方便。
本文转自Tonyguo 51CTO博客,原文链接:http://blog.51cto.com/tonyguo/188991,如需转载请自行联系原作者
