Windowsサーバー2008ソフトウェア制限ポリシー

ソフトウェア制限ポリシーは、あなたに確かなプログラムの実行をコントロールさせます。それは、公立のキオスクとして勤めて端末サーバーまたはマシンで使用する素晴らしい機能です、それで、ユーザーは、1つの特定の機能へ鍵をかけられて、そして管理上のツールまたはインターネット・アプリケーションとユーティリティで会食することができません。

Windowsは、いくつかの異なる方法で制限するか許すべきソフトウェアを明らかにすることができます。1人、それはハッシュ規則を使うことができます、そして、それはプログラムで来るファイルと実行可能ファイルの特徴を明らかにすることと彼らからアルゴリズムのハッシュを生みだすことによって作られます。ハッシュは、異なるファイルを使ってハッシュを計算するときにハッシュ値が変わったのでプログラムの特定のバージョンを明らかにすることにとってすばらしいです(プログラムのより新しいバージョンで近くの確実性である)。証明書規則は、デジタル署名経由でソフトウェアを明らかにすることができます、そして、それは安全な認可されている台本への役に立つ方法です。Windowsは、それからソフトウェアの特定の一個がダウンロードされるそのパスとインターネット・ゾーン(内部Internet Explorer)経由でソフトウェアをまた明らかにすることができます。最後に、Windowsは、リストで、または他の規則によって明白に明らかにされなかったどんなソフトウェアも捕える規則を作ることができます。(コントロールして下さい、なぜならブラウザ内に実行されたプログラムは、GP立場から不足しています、しかし、Windows XPサービスパック2でInternet Explorerへの改善は、少しのこの粉炭を拾います。)そして、もし1以上の規則がプログラムが最も明確に他の規則を切り札で切るだろうというそれがひっかかるという同じプログラム、規則を明らかにすれば、Windowsは、そこで彼らがソフトウェア制限GPOにリストされる順序でプログラムを規則に合わせます。

あなたは、例外リストでそれが明白に置かれたものはさておきデフォルトまでに走ることからプログラムを禁じるという規則を作る気になるでしょう。これは、簡単な出口のようです、しかし、それは、あなたが彼のアプリケーション・プログラムを含むユーザーが必要とするだろうすべてのWindows実行可能ファイルのために例外を作るために優れた注意をしない限りシステムに本当にロボトミー手術をすることができます。それは、安全な環境を作る必要があるだろうどんなユーザー・ログオン台本の爪先をまた踏むことができます。もしあなたがこのルートになることに決めれば、あなたが広くどんな制限ポリシーと例外リストに実験室のテストをするのは命令法です　。あなたが本当に実際のソフトウェア制限GPOを作るときに、管理者がGPOのACLに一緒になってそして明白に否定するドメインを加えるのをまた確かめますそのGPO—thisへのアクセス権が管理者を可能にするだろうグループ・ポリシーを適用して彼自身で政策(そして錠ではない)を外に逆にして下さい。

一旦あなたがポリシーを作る用意ができているならば、この手順に従って下さい:

1. それぞれの制限ポリシーのための新しいGPOを作って下さい。これは、過度に制限されているだろうポリシーを無効にすることをより簡単にします。

2. マシンに制限を適用するコンピュータ構成またはユーザー構成かユーザーのどちらかを選んで下さい、それから、ポリシーàWindows設定àセキュリティ設定àソフトウェア制限ポリシーを通してナビゲートして下さい。

3. 右クリック・ソフトウェア制限ポリシーそして、コンテキスト・メニューから新しいソフトウェア制限ポリシーを選んで下さい。

4. デフォルト識別子規則をセットして下さい:左側ペインで、クリックセキュリティは平らになります、それから、特定のセキュリティが平らにして選ぶ右クリックは、ポップアップ・コンテキスト・メニューからデフォルトとしてセットしました。

5. 今、それがそれで制限を強制するべきソフトウェアを捕えるだろうという実際の規則を作って下さい。lefthandペインの右クリック附則。新しい証明書規則を選んで、そして必要とするべき証明書または考慮するブロック、新しいハッシュ規則とファイルまたは考慮するブロック、新しいインターネット・ゾーン規則とそれから考慮するべきゾーン、またはブロック・プログラムまたは新しいパス規則とファイルあるいはレジストリの鍵を選んであるいは制限します。

6. righthandペインで、施行をダブルクリックして下さい。ここに、どのようにこれらの制限が強制されるべきかを示して下さい。以下のオプションの使用は、推薦されます:

「ライブラリを除いたすべてのソフトウェア・ファイル」は、あなたが重大なシステムとアプリケーション機能ファイルを塞ぐことを避けるのを手伝うでしょう。

「ローカル管理者を除いたすべてのユーザー」は、ローカル管理者のものが一緒になることを除いてウィンドウがみんなのためのポリシーを強制することを示します。

7. 次に、righthandペインで、ダブルクリックはファイルタイプを明示しました。これで一面に広がって、復習してそしてソフトウェア制限ポリシーで拡張が含まれたアプリケーションを連想したファイルを加えて下さい。リストは、とても完全であるべきです、しかし、どんなあなたがあなたの組織で使うスクリプト言語も彼らの関連したファイル拡張子を含ませるということを確認して下さい。

8. 最後に、righthandペインで、ダブルクリックは出版社を信頼しました。ここに、あなたは、通常ユーザ、ローカル行政官、または企業管理者がどんな証明書を信頼すべきかが始めである場合にはプログラムとコントロールをデジタル方式でサインしたことを決心することができるかどうかを示すことができます。

*.* 情報源:オライリーWindowsサーバー2008:決定的なGuidePopularity:1%

magakosによって書かれます。読み物がよりうまく食べますでソースですウェブサイト
ノーコメント.
より多くの記事を読みましたでMIcrosoft Windowsサーバー2008 とotherSoftware.