Windows Server 2008 Software Restriction Policies Windows Server 2008 de restrição de software

Software Restriction Policies allow you to control the execution of certain programs. De restrição de software permite que você controle a execução de determinados programas. It's an excellent feature to use on terminal servers or machines serving as a public kiosk, so users are locked into one specific function and can't mess with administrative tools or Internet applications and utilities. É um excelente recurso para uso em servidores de terminal ou máquinas de servir como um quiosque público, para que os usuários estão amarrados a uma função específica e não pode mexer com ferramentas administrativas ou de aplicações Internet e utilitários.

Windows can identify software to either restrict or allow in several different ways. O Windows pode identificar software para limitar ou permitir que de várias maneiras diferentes. For one, it can use hash rules, which are made by identifying characteristics of files and executables that come with a program and generating an algorithmic hash from them. Para um, ele pode usar hash regras, que são feitas por meio da identificação das características e arquivos executáveis que vêm com um programa e um gerador de algoritmos hash-los. Hashes are great for identifying specific versions of programs because the hash value would change when different files are used to compute the hash (which is a near certainty with newer version of a program). Hashes são excelentes para identificar versões específicas de programas, porque o valor hash iria mudar quando arquivos diferentes são usados para calcular o valor hash (que é quase uma certeza com uma versão mais nova de um programa). Certificate rules can identify software via a digital signature, which is a useful method to secure authorized scripts. Certificado regras pode identificar software através de uma assinatura digital, que é um método útil para garantir autorizado scripts. Windows also can identify software via its path and the Internet zone (inside Internet Explorer) from which a particular piece of software is downloaded. O Windows também pode identificar software, através do seu caminho e zona da Internet (Internet Explorer interior) a partir do qual um determinado software é baixado. Finally, Windows can create a rule that catches any software not explicitly identified either in a list or by any other rule. Finalmente, o Windows pode criar uma regra de que as capturas qualquer software não explicitamente identificadas tanto em uma lista ou por qualquer outra regra. (Control for programs executed within a browser is lacking from the GP standpoint, but improvements to Internet Explorer in Windows XP Service Pack 2 pick up a bit of this slack.) Windows matches programs to rules in the order in which they're listed in the software restriction GPO, and if more than one rule identifies the same program, the rule that catches the program most specifically will trump any other rule. (Controle de programas executados dentro de um navegador está faltando a partir do GP de correio, mas melhorias para o Internet Explorer no Windows XP Service Pack 2 pegar um pouco de folga esta.) Coincide com programas para Windows regras na ordem em que elas estão listadas no a restrição de software GPO, e se houver mais do que uma regra identifica o mesmo programa, a regra de que as capturas mais especificamente o programa irá tropeçar em qualquer outra regra.

You might be tempted to create a rule that disallows programs from running by default aside from those explicitly placed in an exception list. Você poderia ser tentado a criar uma regra que proíbe a execução de programas por omissão de lado daqueles explicitamente colocado em uma lista exceção. This seems like an easy way out, but it really can lobotomize a system unless you take great care to create an exception for every Windows executable a user might need, including his application programs. Este parece ser um caminho mais fácil, mas realmente pode lobotomize um sistema a menos que você tome muito cuidado para criar uma exceção para cada usuário do Windows que poderão necessitar de um executável, incluindo seus programas aplicativos. It can also step on the toes of any user logon scripts that might be necessary to create a secure environment. Ela também pode pisar no pé de qualquer usuário logon de scripts que podem ser necessárias para criar um ambiente seguro. If you decide to go this route, it's imperative that you extensively test any restriction policies and exception lists in a lab. Se você decidir ir esta rota, é imperativo que você testar exaustivamente qualquer restrição políticas e listas em uma exceção laboratório. Also, when you do create the actual software restriction GPO, make sure to add the Domain Administrators group to the GPO's ACL and explicitly deny the Apply Group Policy permission to the GPO—this will enable an administrator to reverse the policy and not lock himself out. Além disso, quando você criar o próprio software restrição GPO, certifique-se de adicionar o grupo Administradores de domínio para o GPO do LCA e nega explicitamente a permissão Aplicar política de grupo para o GPO, isso permitirá um administrador para reverter o bloqueio político e não se apresenta .

Once you're ready to create the policy, follow this procedure: Assim que estiver pronto para criar a política, siga este procedimento:

1. Create a new GPO for each restriction policy. Crie um novo GPO para cada restrição política. This makes it easier to disable a policy that might be overly restrictive. Isto torna mais fácil de desativar uma política que possa ser excessivamente restritivo.

2. Choose Computer Configuration or User Configuration to apply the restrictions to machines or users, and then navigate through Policies à Windows Settings à Security Settings à Software Restriction Policies. Escolha Computer Configuration ou Configuração do usuário para aplicar as restrições às máquinas ou utilizadores e, em seguida, navegar através das políticas a Windows Configurações de uma caução à Configurações de restrição de software.

3. Right-click Software Restriction Policies and choose New Software Restriction Policy from the context menu. Clique com o botão direito e escolha a opção de restrição de software Nova Política de Restrição de software no menu de contexto.

4. Set a default identifier rule: in the left pane, click Security Levels, and then right-click a specific security level and choose Set as Default from the pop-up context menu. Definir um padrão identificador regra: no painel esquerdo, clique em Níveis de Segurança e, em seguida, clique com o botão direito um determinado nível de segurança e escolha Definir como padrão a partir do contexto no menu pop-up.

5. Now, create the actual rules that will catch software on which to enforce a restriction. Agora, criar regras que o próprio software no qual vai pegar para fazer valer uma restrição. Right-click Additional Rules in the lefthand pane. Clique com o botão direito no Regimento Adicional painel esquerdo. Choose New Certificate Rule and select the certificate to require or block, New Hash Rule and the file to allow or block, New Internet Zone Rule and the zone from which to allow or block programs, or New Path Rule and the file or Registry key to allow or restrict. Escolha Nova Regra Certificado e selecione o certificado de exigir ou bloco, Nova Regra e Hash do arquivo para permitir ou bloquear, Nova Regra Internet Zone e da zona a partir da qual se pretende permitir ou bloquear programas ou Nova Regra e Caminho do arquivo ou chave do Registro permitir ou restringir.

6. In the righthand pane, double-click Enforcement. No painel direito, clique duas vezes em Aplicação. Here, indicate how these restrictions should be enforced. Aqui, indicar a forma como estas restrições devem ser aplicadas. Use of the following options is recommended: Utilização das seguintes opções é recomendado:

"All software files except libraries" will help you avoid blocking critical system and application function files. "Todos os arquivos exceto bibliotecas de software" vai ajudá-lo a evitar o bloqueio de sistema e de aplicações críticas função arquivos.

"All users except local administrators" indicates that Windows should enforce the policy for everyone except those in the local administrator group. "Todos os usuários, exceto administradores locais" indica que o Windows deve executar a política para todos, excepto os do grupo administrador local.

7. Next, in the righthand pane, double-click Designated File Types. Em seguida, no painel do lado direito, dê um duplo clique em Tipos de Arquivos Designados. On this sheet, review and add file extensions associated with applications included in the software restriction policies. Sobre esta chapa, rever e adicionar extensões do arquivo associado a aplicações incluídas no software restrição políticas. The list should be fairly complete, but ensure that any scripting languages you use in your organization have their associated file extensions included. A lista deve ser bastante completo, mas sim garantir que todas as línguas que utilizam scripts em sua organização tem os seus associados extensões do arquivo incluído.

8. Finally, in the righthand pane, double-click Trusted Publishers. Finalmente, no painel do lado direito, clique duas vezes em Editores confiáveis. Here you can specify whether normal users, local administrators, or enterprise administrators are allowed to decide what certificates to trust when opening digitally signed programs and controls. Aqui você pode especificar se os utilizadores normais, os administradores locais, administradores ou da empresa que estão autorizados a decidir quais certificados de confiança quando se abre assinado digitalmente programas e controles.

Written by magakos. Escrito por magakos. Read more great feeds at is source Leia mais em grande feeds é fonte WEBSITE WEBSITE
no comments sem comentários . .
Read more articles on Leia mais artigos sobre MIcrosoft Windows Server 2008 Microsoft Windows Server 2008 and e otherSoftware otherSoftware . .

• [+] Digg [+] Digg : Feature this article : Feature este artigo
• [+] Del.icio.us [+] Del.icio.us : Bookmark this article : Bookmark este artigo
• [+] Furl [+] Furl : Bookmark this article : Bookmark este artigo

Related articles Artigos relacionados

• Windows Server 2008 Enhances Networking - Next Generation TCP/IP stack Melhora a rede do Windows Server 2008 - Next Generation pilha TCP / IP (August 21st, 2008) (21 de agosto, 2008)
• Working with Server 2008 Event Viewer Trabalhando com Server 2008 Event Viewer (July 10th, 2008) (10 de julho, 2008)
• How to use Windows Server 2008 Reliability and Performance Monitor Como usar o Windows Server 2008 Confiabilidade e Performance Monitor (July 9th, 2008) (9 de julho, 2008)
• Windows Server 2008 Domain Group Policy - Scripts Windows Server 2008 Domain Group Policy - scripts (June 28th, 2008) (28 de junho de 2008)
• Windows Server 2008 IntelliMirror: Folder Redirection Windows Server 2008 IntelliMirror: pasta redireccionamento (June 28th, 2008) (28 de junho de 2008)