Windows Server 2008 Software Restriction Policies Windows Server 2008 программное ограничение политики
Software Restriction Policies allow you to control the execution of certain programs. Политики ограниченного использования программ позволяют контролировать выполнение определенных программ. It's an excellent feature to use on terminal servers or machines serving as a public kiosk, so users are locked into one specific function and can't mess with administrative tools or Internet applications and utilities. Это прекрасная возможность для использования в терминальных серверов или машины, выступающей в качестве государственного киоск, так что пользователи, заблокированы в одной конкретной функцией и не может беспорядок с административными или инструмент интернет-приложений и утилит.
Windows can identify software to either restrict or allow in several different ways. Windows может определить программное обеспечение либо ограничить или разрешить в нескольких различных направлениях. For one, it can use hash rules, which are made by identifying characteristics of files and executables that come with a program and generating an algorithmic hash from them. Во-первых, он может использовать правила хеш, в котором производится путем определения характеристик и исполняемые файлы, которые поставляются с программой и генерировании алгоритмических хэш от них. Hashes are great for identifying specific versions of programs because the hash value would change when different files are used to compute the hash (which is a near certainty with newer version of a program). Являются хэшей прекрасно подходят для определения конкретных версий программы, поскольку хеш-значение изменится, когда различные файлы, которые используются для вычисления хэш (который возле определенности в новой версии программы). Certificate rules can identify software via a digital signature, which is a useful method to secure authorized scripts. Свидетельство правил можно определить с помощью программного цифровую подпись, которая является полезным методом для обеспечения уполномоченного сценариев. Windows also can identify software via its path and the Internet zone (inside Internet Explorer) from which a particular piece of software is downloaded. Windows также можно определить с помощью программного его путь и интернет-зона (в Internet Explorer), из которых особенно кусок программного обеспечения загружается. Finally, Windows can create a rule that catches any software not explicitly identified either in a list or by any other rule. Наконец, Windows может создавать правила, согласно которому любое программное обеспечение улова прямо не определены ни в списке или любым другим правилом. (Control for programs executed within a browser is lacking from the GP standpoint, but improvements to Internet Explorer in Windows XP Service Pack 2 pick up a bit of this slack.) Windows matches programs to rules in the order in which they're listed in the software restriction GPO, and if more than one rule identifies the same program, the rule that catches the program most specifically will trump any other rule. (Контроль за программами в рамках исполнения браузер не хватает с точки зрения ГП, но улучшения в Internet Explorer в Windows XP с пакетом обновления 2 забрать немного этот застой.) Windows программы матчей с правилами в порядке, в котором они перечислены в программное ограничение БПГ, и если более чем одна норма определяет ту же самую программу, что норма вылова программы большинства, конкретно будет козырной любые другие правила.
You might be tempted to create a rule that disallows programs from running by default aside from those explicitly placed in an exception list. Может возникнуть соблазн создать правило, которое запрещает запуск программ по умолчанию, в стороне от этих прямо в список исключений. This seems like an easy way out, but it really can lobotomize a system unless you take great care to create an exception for every Windows executable a user might need, including his application programs. Это кажется простым выходом, но это действительно может lobotomize системы, если не заботимся о том, чтобы создать исключение для каждого исполняемого Windows пользователю может потребоваться, включая его применение программ. It can also step on the toes of any user logon scripts that might be necessary to create a secure environment. Он может также шаг на пальцы ног любого пользователя и сценарии входа, которые могут оказаться необходимыми для создания безопасных условий. If you decide to go this route, it's imperative that you extensively test any restriction policies and exception lists in a lab. Если вы решите пойти по этому пути, то необходимо, чтобы вы подробно испытания каких-либо ограничений и исключений политики в списки лаборатории. Also, when you do create the actual software restriction GPO, make sure to add the Domain Administrators group to the GPO's ACL and explicitly deny the Apply Group Policy permission to the GPO—this will enable an administrator to reverse the policy and not lock himself out. Кроме того, когда вы делаете создания программного обеспечения фактического ограничения групповой политики, не забудьте добавить в группу "Администраторы домена для БПГ в ACL и прямо отрицает применение групповой политики, разрешение на объект групповой политики, так как это позволит администратору, чтобы изменить политику, а не сам замок из .
Once you're ready to create the policy, follow this procedure: Когда вы будете готовы к созданию политики, следить за этой процедурой:
1. Create a new GPO for each restriction policy. Создайте новый объект групповой политики для каждого ограничение политики. This makes it easier to disable a policy that might be overly restrictive. Это облегчает для отключения политики, которые могут быть чрезмерно строгими.
2. Choose Computer Configuration or User Configuration to apply the restrictions to machines or users, and then navigate through Policies à Windows Settings à Security Settings à Software Restriction Policies. Выберите Конфигурация компьютера или Конфигурация пользователя применять ограничения для машин или пользователей, а затем перейдите на основе политик Windows Параметры безопасности настройки программного обеспечения Политики ограниченного использования.
3. Right-click Software Restriction Policies and choose New Software Restriction Policy from the context menu. Щелкните правой кнопкой мыши Политики ограниченного использования программ и выбрать Новая политика ограниченного использования программ из контекстного меню.
4. Set a default identifier rule: in the left pane, click Security Levels, and then right-click a specific security level and choose Set as Default from the pop-up context menu. Установка по умолчанию идентификатор правило: в левой части окна, выберите уровни безопасности, а затем щелкните правой кнопкой мыши конкретного уровня безопасности и выбор по умолчанию из всплывающего контекстного меню.
5. Now, create the actual rules that will catch software on which to enforce a restriction. Теперь создайте фактических норм, которые будут поймать программного обеспечения, по которому для обеспечения соблюдения ограничений. Right-click Additional Rules in the lefthand pane. Правой кнопкой мыши элемент Дополнительные правила в левой части окна. Choose New Certificate Rule and select the certificate to require or block, New Hash Rule and the file to allow or block, New Internet Zone Rule and the zone from which to allow or block programs, or New Path Rule and the file or Registry key to allow or restrict. Выбрать новый сертификат правила и выберите сертификат требовать или блок, Нью-Hash правило, и файл разрешить или заблокировать, Нью-Зоне Интернет правило, и зоны, из которой разрешить или блокировать программы, или Новый Путь правила и файла или реестра разрешить или запретить.
6. In the righthand pane, double-click Enforcement. В правой части окна, дважды щелкните по обеспечению соблюдения. Here, indicate how these restrictions should be enforced. Здесь, указать, каким образом эти ограничения должны соблюдаться. Use of the following options is recommended: Используются следующие варианты рекомендуется:
"All software files except libraries" will help you avoid blocking critical system and application function files. "Все программные файлы, за исключением библиотек" поможет вам избежать блокирования критических систем и применение функции файлов.
"All users except local administrators" indicates that Windows should enforce the policy for everyone except those in the local administrator group. "Все пользователи, кроме локальных администраторов", указывает, что Windows следует применять политику для всех, кроме тех, в местных администратор группы.
7. Next, in the righthand pane, double-click Designated File Types. Далее, в правой части окна, дважды щелкните значок Назначенные типы файлов. On this sheet, review and add file extensions associated with applications included in the software restriction policies. На этом листе, обзор и добавить файл расширений, связанных с приложениями, включенных в программное ограничение политики. The list should be fairly complete, but ensure that any scripting languages you use in your organization have their associated file extensions included. Этот перечень должен быть достаточно полным, но и обеспечивать, чтобы любые языки сценариев вы используете в вашей организации, связанные с ними расширений файлов включена.
8. Finally, in the righthand pane, double-click Trusted Publishers. Наконец, в правой части окна, дважды щелкните Доверенные издатели. Here you can specify whether normal users, local administrators, or enterprise administrators are allowed to decide what certificates to trust when opening digitally signed programs and controls. Здесь вы можете определить, являются ли они обычными пользователями, местные администраторы, администраторы или предприятия могут решать, какие сертификаты доверия при открытии цифровой подписи программ и контроля.
*.* Source of Information : O'Reilly Windows Server 2008: The Definitive Guide Popularity: 1% *.* Источник информации: O'Reilly Windows Server 2008: окончательной Руководство Популярность: 1%
Written by magakos. Автор magakos. Read more great feeds at is source Подробнее большое каналы на исходный WEBSITE ИНТЕРНЕТ-САЙТ
no comments Без комментариев . .
Read more articles on Читайте больше статей о MIcrosoft Windows Server 2008 Microsoft Windows Server 2008 and и otherSoftware otherSoftware . .
- [+] Digg [+] Digg : Feature this article : Жанр этой статье
- [+] Del.icio.us [+] Del.icio.us : Bookmark this article : Закладка этой статье
- [+] Furl [+] Свертывать : Bookmark this article : Закладка этой статье
