默认拒绝所有应用程序（第2部分）

Lawanda

由于Windows XP，全球管理员有许多选择来定义软件限制策略（SRP）为了使客户端计算机控制允许使用哪种软件，即不允许运行的软件。实际上，即使正确设置可以提供很高的安全性，也很少有组织添加了此功能。在本文的第二部分中，我们将研究如何添加已提到的“软件过滤策略”。

在开始之前，我们需要在计算机上引入SRP之前指出一些要点，以便您计划并彻底测试它们。这可以在Active Directory中完成（广告）通过隔离组织单元中的测试计算机或用户对象（或者），或设置'申请小组政策'组策略对象的许可。（（GPO）用于测试计算机或用户帐户。如果您根本不想触摸生产环境，SRP甚至可以在独立计算机上使用。在这里，我们建议使用虚拟机对最终测试进行基本测试和“类似生产”的计算机。在测试过程之后，应分组对试点用户实施SRP - 最好使用小步骤，而不是急于“灾难”！

整个过程的设计或加法错误可能会给用户带来极大的挫败感，甚至会损失金钱和生产力，因此在完成此工作时要当心。。此过程需要大量的工作计划，测试以及可能包括一些日常维护，以包括在生产环境中。下面的列表向您显示了将SRP带入Windows环境时所考虑的内容的简要回顾。

在虚拟库中检查基本功能（使用虚拟PC /服务器，VMware或类似）

使用“类似生产”计算机（和用户帐户）中的环境中测试功能。

与一小群用户核对，这些用户在几个星期内以5-10的步骤领导，然后增加。

成功添加到上一个导航用户后，继续下一个导航组。

请确保检查所有其他类型的用户和不同类型的计算机，您需要使用SRP保护。

请务必检查对脚本的更新，例如修补操作系统，升级第三方应用程序等。

专注于组织中不同硬件的性能。添加SRP将或多或少地影响系统性能，此效果取决于其添加方式。

有时，当这些应用程序启动其他应用程序时，请确保严格控制此应用程序。

默认情况下，桌面和启动菜单快捷方式（。lnk）被锁定，如有必要。

确保任何管理脚本（例如Sysvol / Netlogon中的登录脚本）正常工作。

使用Windows Vista和Longhorn，我们添加了新的水平'基本用户'，允许程序执行，无需管理员访问，以执行用户，因此用户可以访问它。仅使用用户常用模式访问资源。

可以删除或添加文件类型以适合任何环境，但最常见的文件类型列表是：蝙蝠，，，，CMD，，，，com，，，，EXE文件，，，，hta，，，，lnk，，，，MSI，，，，OCX，，，，pif，，，，Reg和scr此外，还有：ADE，ADP，BAS，CHM，CPL，CRT，HLP，INF，INS，INS，ISP，MDB，MDE，MSC，MSC，MSP，MSP，MST，PCD，SHS，SHS，URL，VB和WSC。

笔记：指定文件类型属性对话框的状态在添加到标准程序文件类型，例如exe，dll和vbs' - 我无法获得整个列表，但仍然确认VBS，，，，VBE，，，，JS和JSE即使他们不在列表中，也会被锁定。我们认为，如果有单个列表，那么最好的情况下，最好的情况下可以在必要时更改它。

SRP需要大量的时间，工作流程和升级，但此外，它为您提供了比默认设置允许的更高的安全性。某些环境可能不适合SRP，但我们的猜测是大多数网络都有多台计算机，而SRP技术的用户是正确的。