实施软件限制策略 加强上网行为管理

    在企业网络管理中，我们很重要的一块工作，就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具，或者不允许他们在上班时间看电影等等。要实现这些方面的控制，现在已经有不少好的工具。利用域控制器，来实现对某些软件的限制，也是其中一种比较流行的方式之一。
　　域环境中的软件限制策略，也就是说，当用户利用域帐户登陆到本机电脑的时候，系统会根据这个域帐户的访问权限，来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候，则操作系统就会拒绝用户访问某个应用软件，从而来管理企业员工的操作行为。

　　在这篇文章中，笔者将对软件限制策略的一些常识进行一些简短的介绍，然后在后续的文章中，笔者会结合自己公司的设置，来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。

　　一、 应用软件与数据文件独立

　　在应用软件限制策略的时候，需要明白的较早个原则就是“应用软件与数据文件独立”独立原则。也就是说，你即使具有数据文件的访问权限，但是，若其没有其关联软件的访问权限的话，则仍然不能够打开这个文件。如现在某个用户从网上私自下载了一部电影，其作为所有者人，当然具有对这个数据文件进行访问的权限。但是，我们在软件限制策略设置的时候，这个用户帐户无法访问任何的视频播放软件。如此的话，这个用户仍然无法播放这部电影。

　　这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上下载文件。如用户若从网络上下载歌曲，甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是，我们对于用户电脑上应用程序的控制来说，则相对简单许多。我们只需要把这些应用程序控制好，则即使用户私自下载受限制的文件，则用户较终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。

　　二、 软件限制策略的冲突处理原则

　　软件限制策略跟其他组策略一样，可以在多个级别上进行设置。或者说，软件限制策略是组策略中的一个特殊分支也未尝不可。所以，软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此，所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候，其优先性如何呢?

　　一般来说，其优先性的级别从高到低如下：

　　较早，组织单元策略;第二，域策略;第三，站点策略;第四，本地计算机策略。这里特别要注意一点，就是组织单元的策略要比域策略的优先性级别要高。也就是说，在域策略中，限制用户使用视频播放器;而在一个培训组织单元中，则允许这个单元中的账户具有视频软件的访问权限。则即使这个组织单元在这个域中，则只要帐户属于这个组织单元，则其仍然可以使用视频软件，因为组织单元级别的优先性要高于域中的设置。

　　不过，笔者建议较好把软件限制策略利用在域中与组织单元中，而不要放在其他的两个级别中。在域中，实现一些共有的配置，如限制企业员工使用QQ或者Msn聊天工具等等。而在OU中，一般情况下继承域的相关配置。当这个组具有特殊的权限时，如现在有一个培训组，这个组中的账户需要有视频软件的播放权限，则就可以在这个组织单元的级别上进行配置。如此的话，就可以保证有一个比较统一的软件权限策略管理平台。若牵涉的级别太多，特别是在本地计算机上配置的话，则会破坏这个统一平台，虽然其优先级比较低。

　　三、 软件限制的规则

　　默认情况下，软件限制策略提供了两种软件限制的规则。

　　一是不受限制的。也就是说，所有登陆的用户都可以运行指定的软件。只要用户具有数据文件的访问权限，就可以利用软件打开这个文件。这也可以看出，应用软件的访问权限跟数据文件的访问权限是独立的。用户只具有应用软件或者数据文件的访问权限，往往还不够。需要两者权限都有，才能够打开相关的文件。

　　二是不允许的。即所有登陆系统的帐户，都不能够运行这个应用软件，无论其是否对数据文件具有访问权限。

　　系统默认的策略是所有软件运行都是“不受限制的”。也就是说，只要用户对于数据文件有访问权限，就可以运行对应的应用软件。

　　四、 哪些软件不能够运行

　　笔者在前面的文章中，也谈到过如何利用组策略来限制某些软件的运行。但是，如利用前面的方法，则有一个不好缺陷，当用户修改了应用软件的名字的时候，如把QQ改为“liaotian”，则原有的组策略限制就会失效。也就是说，前面谈到的方法是防小人，不妨君子。而利用软件限制策略的相关规则，则可以实现更加精确的控制。

　　如可以使用哈希规则来确定哪些软件可以运行，哪些软件不可以运行。

　　哈希是根据软件程序的内容根据一定的规则计算出来的一连串固定数目的字节。因为它是根据软件的内容计算出来的，而不是纯粹的根据软件的名字来进行判断，所以，即使用户修改了应用软件的名字，其仍然必须受到这个软件策略的限制。当然，不同的应用软件，由于其应用程序的内容不同，所以其计算出来的哈希值也是不同的。当我们在为某个应用软件建立哈希规则，限制用户不允许运行此软件时，域控制器就会为该软件计算出一个哈希值，判断是否与软件限制策略中的哈希值相同。如果相同的话，操作系统就会拒绝这个软件的运行。所以，当用户人为的修改应用程序的名字或者移动位置的话，因为应用程序的本质内容没有改变，所以其哈希值也不会改变，固其仍然要受到软件策略的限制。但是，如果应用程序中毒了，则可能就会影响到哈希值，从而使得软件策略不起作用。哈希规则是我们比较常用的规则，因为其方便、容易控制。

　　除了哈希规则，我们还可以通过其他规则来控制软件是否运行。

　　如可以通过路径规则来判断。软件限制策略可以用软件所在的路径来辨别软件是否需要受到软件运行策略的限制。例如可以限制某个文件夹下的软件禁止运行等等。不过，由于这是纯粹的根据应用软件的路径来判断，当应用软件被移动的时候，则这个软件将不再受软件限制策略的约束。很明显，这比起上面讲的哈希规则的话，作用要小得多。

　　在软件限制策略中，一共提供了四种规则来辨识是否允许运行某种软件。除了上面的两种规则之外，还有证书规则与internet区域规则等等。这里要注意一点，有些人可能认为还有一个注册了表规则。其实，注册表规则在官方的资料中，认为其只是路径规则中的一个内容，或者说，其包含在路径规则中。所以，其只有四种规则，可以来进行判断是否允许某个软件来运行。

　　但是，这四个软件的优先级别如何呢?如现在对于QQ这个软件，我们利用哈希原则，定义这个软件是不可以运行的;而在路径规则与证书规则中，我们设置其为不受限制的。此时，较终的结果会是如何呢?根据规则的优先级原则，其优先级从高到低依次为哈希规则、证书规则、路径规则与Internet区域规则。从上面的例子看，哈西原则的优先性较高，其用户较终是无法运行QQ这个软件，虽然其他两个规则都允许他运行。

　　故，笔者建议，在采用这些规则的时候，为了避免一些不必要的冲突，还是采用哈希规则为好。个人认为，哈希规则是一个必要好用的规则，而且，其漏洞也比较少，如不会因为员工恶意更改应用程序名字或者移动应用程序的位置而导致软件限制策略失效。

　　所以，在考虑采用软件限制策略的时候，较好不要在多个级别上采用多个不同的判断规则，否则的话，在这些因素的多重作用下，出来的结果可能连我们自己都弄不明白。笔者现在在配置软件限制策略的时候，一般只在域与组织单元的级别上进行配置;采用的也是哈希单一规则。笔者认为，这无论在设计还是后续维护上面，都是比较方便的。