软件限制策略使用小结

软件限制策略可以控制以下执行文件：
.ade  .adp .bas .bat .chm .cmd .cpl .crt .exe .hlp .hta  .inf .ins .isp .js  .jse .lnk .mdb .msc .msi .msp  .mst .pcd .pif .reg .scr .sct .shs .url .vb .vbe  .vbs .wsc .wsf .wsh

软件限制策略不能保护的项目：
1 驱动程序或在核心模式下的程序
2 任何使用 system 帐户所运行的程序
3 在microsoft office 文件中的宏 (此项可能使用宏的安全设置解决）
4 使用CLR（公共语言运行库）所写的程序。

软件限制策略的规则：
规则用于指定哪些程序可以运行或不可以运行。
规则：

  路径规则：
利用路径来做为比较，当你有个文件夹里含有许多要被运行程序所用到的文件时可用此项规则来定制限制。
规则里支持通配符（* 和 ？）
可以在路径规则里使用环境变量。（如%temp%、%systemdrive%等）

  哈希规则：
利用文件的MD5或SHA1的HASH来做比较。当你有一个多版本的文件时，可以用来防止有些版本文件的运行。
        针对指定文件建立，不因文件重命名或移动而改变，对文件的任何改变都会改变哈希值。

  证书规则：
利用程序上的数码签名来做比较，可用来防止有些win32的程序或含有ACTIVEX的程序运行。
        以证书为依据的规则。

  区域规则：
用于控制不同的WEB Application在不同的internet区域里运行。
应用于IE区域，只适用于MSI文件。

软件限制策略优先级别
从高——>低排序依次为：
哈希规则--->证书规则----->路径规则----->internet区域规则

软件限制策略执行原则：
1 如多于一个规则作用于同一个程序，则优先级别最高的规则起作用。
2 如多于一个的同类规则作用于同一个程序，则同类规则中最具限制力的规则起作用。

实践软件限制策略注意事项。
1 不要修改默认的域策略，不要连接外域策略。
2 坚持为软件限制策略建立独立的组策略对象。
3 如果应用软件限制策略出现预期之外的问题，请以安全模式启动计算机修正策略。
4 为获得最好的限制效果，请边同访问策略一起使用软件限制策略。
5 在软件限制策略应用前应在测试环境进行测试。
6 慎重使用“不允许的”默认策略。
7 不要删除系统自动建立的注册表路径规则。