打造安全的Windows 2003系统(5)

4．通过“软件限制策略”限制任意程序的使用。

　　在计算机的日常使用中，我们总是需要限制某些用户执行所有或部分程序，通过设置合理的规则可以锁定系统所有或部分程序的运行。另一方面，随着网络、Internet以及电子邮件在日常生活中的使用日益增多，越来越多的病毒和木马会故意进行伪装来欺骗我们运行它们。而要做出安全的选择来确定某个程序是否安全是非常困难的。“软件限制策略”控制未知或不信任的软件的运行需求，从而从一定程度上达到预防病毒和木马的功效，为营造一个安全的环境提供了条件。接下来，笔者就介绍一下如何设置“软件限制策略”。

　　从“管理工具”里打开“本地安全设置”，在左侧的窗口里，可以看见“软件限制策略”，打开后里面包含两个选项：“安全级别”和“其他规则”，图15。

图 15

　　在“安全级别”里，如果选择了“不允许的”作为默认项，会出现一个提示框，图16，确定后，系统会按新的规则将所有的可执行程序设置为禁用，当试图打开程序时会提示错误，图17。这就达到了锁定所有程序的目的。解锁的办法当然就是还原“不受限的”为默认项了。

图 16



图 17

　　在“其他规则”里，可以定义四种规则来满足不同的需求：证书规则、哈希规则、Internet区域规则、路径规则。这里以“路径规则”来介绍，其他的用法和作用都基本一样。首先在“其他规则”上点右键，选择“新建路径规则”，图18。点“浏览”选好具体的文件夹，在安全级别里选择“不允许的”，然后确定。这样就达到了对所选的文件夹内所有程序锁定的目的。此时如果继续运行此文件夹内的任何程序都回提示错误，图19。同样在这里可以选择某个具体的程序来锁定。

图 18



图 19

　　介绍了基本的使用方法，但这并不能满足所有的安全需求。有的时候，我们需要只能运行个别程序，硬盘上其他所有的程序都不能运行。如何达到这个目的呢？首先在“安全级别”里把“不允许的”设置为默认，再到“其他规则”里设置想运行的程序路径，并设置安全级别为“不受限的”。这样，除了新规则规定的程序以外，其他一切程序都不能运行。那么如何利用此规则做好病毒和木马的防御工作呢？我们可以在“其他规则”里设置新规则，路径指向邮件附件保存的路径，然后把安全级别设置为“不允许的”即可。

　　另外，“软件限制策略”和权限没有关系，如果限制了某个程序不能执行，无论你以何身份身份来运行都会提示不能运行。经过处理后的程序对远程登录的用户一样适用。虽然设置适当的安全规则可以从一定程度上防御病毒和木马的袭击，但切不可把“软件限制策略”当成防病毒软件来使用，这只是缓兵之计。