一、约束用户对文件的拜访权限

假如程序地点的磁盘分区文件体系为NTFS格局，办理员账户能够运用NTFS文件体系供给的文件和文件夹安全选项操控用户对程序及文件的拜访权限。通常情况下，一个运用程序安装到体系后，本地计算机的一切账户都能够拜访并运转该运用程序。假如撤销分配给指定用户对该运用程序或文件夹的拜访权限，该用户也就失去了运转该运用程序的才能。

例如，要制止受限用户运转Outlook Express运用程序，能够进行如下的操作：

(1)、以administrator账户登录体系，假如当时体系启用了简略文件同享选项，需求将该选项封闭。具体做法是，在Windows阅读器窗口点击“东西”菜单下的“文件夹选项”，点击“检查”选项页，撤销“运用简略文件同享”选项的挑选，点击“承认”。

(2)、翻开Program Files文件夹，选中Outlook Express文件夹并单击右键，挑选“特点”。

(3)、点击“安全”选项页，能够看到Users组的用户对该文件夹具有读取和运转的权限，点击“高档”。

(4)、撤销“从父项承继那些能够运用到子目标的权限项目，包括那些再次清晰认义的项目”选项的挑选，在弹出的提示信息对话框，点击“仿制”，此刻能够看到用户所具有的权限改为不承继的，如图1所示。

图1 Outlook Express的高档安全设置

(5)、点击“承认”，回来特点窗口，在“用户或组称号”列表中，挑选Users项目，点击“删去”，点击“承认”，完结权限的设置。

要撤销指定用户对文件或程序的拜访约束，需求为文件或文件夹增加指定的用户或组并赋予相应的拜访权限。

这种办法答应办理员针对每个用户来约束他拜访和运转指定的运用程序的权限。可是这需求一个十分重要的条件，那就是要求运用程序地点的分区格局为NTFS，不然，一切都无从谈起。

关于FAT/FAT32格局的分区，不能运用文件及文件夹的安全选项，咱们能够经过设置计算机的战略来制止运转指定的运用程序。#p#

二、启用“不要运转指定的Windows运用程序”战略

在组战略中有一条名为“不要运转指定的Windows运用程序”战略，经过启用该战略并增加相应的运用程序，就能够约束用户运转这些运用程序。设置办法如下：

(1)、在“开端”“运转”处履行gpedit.msc指令，发动组战略修改器，或许运转mmc指令发动操控台，并将“组战略”办理单元加载到操控台中;

(2)、顺次翻开“‘本地计算机’战略”“用户设置”“办理模板”，点击“体系”，双击右侧窗格中的“不要运转指定的Windows运用程序”战略，挑选“已启用”选项，并点击“显现”。

(3)、点击“增加”，输入不运转运转的运用程序称号，如指令提示符cmd.exe，点击“承认”，此刻，指定的运用程序称号增加到制止运转的程序列表中。

(4)、点击“承认”回来组战略修改器，点击“承认”，完结设置。

当用户企图运转包括在不答应运转程序列表中的运用程序时，体系会提示正告信息。把不答应运转的运用程序仿制到其他的目录和分区中，仍然是不能运转的。要康复指定的受限程序的运转才能，能够将“不要运转指定的Windows运用程序”战略设置为“未装备”或“已禁用”，或许将指定的运用程序从不答应运转列表中删去(这要求删去后列表不会成为空白的)。

这种办法只阻挠用户运转从Windows资源办理器中发动的程序，关于由体系进程或其他进程发动的程序并不能制止其运转。该办法制止运用程序的运转，其用户目标的效果规模是一切的用户，不仅仅是受限用户，Administrators组中的账户乃至是内建的administrator帐户都将受到约束，因而给办理员带来了必定的不方便。当办理员需求履行一个包括在不答应运转列表中的运用程序时，需求先经过组战略修改器将该运用程序从不运转运转列表中删去，在程序运转完结后，再将该程序增加到不答应运转程序列表中。需求留意的是，不要将组战略修改器(gpedit.msc)增加到制止运转程序列表中，不然会形成组战略的自锁，任何用户都将不能发动组战略修改器，也就不能对设置的战略进行更改。

提示：假如没有制止运转“指令提示符”程序的话，用户能够经过cmd指令，从“指令提示符”运转被制止的程序，例如，将记事本程序(notepad.exe)增加不运转列表中，经过XP的桌面运转该程序是被约束的，可是在“指令提示符”下运转notepad指令，能够顺畅的发动记事本程序。因而，要完全的制止某个程序的运转，首要要将cmd.exe增加到不答应运转列表中。#p#

三、设置软件约束战略

软件约束战略是本地安全战略的一个组成部分，办理员经过设置该战略对文件和程序进行标识，将它们分为可信赖和不行信赖两种，经过赋予相应的安全等级来完成对程序运转的操控。这个办法关于处理不知道代码和不行信赖代码的可操控运转问题十分有用。软件设置战略运用两个方面的设置对程序进行约束：安全等级和其他规矩。

安全等级分为“不答应的”和“不受约束的”两种。其间，“不答应的”将制止程序的运转，不管用户的权限怎么;“不受限的”答应登录用户运用他所具有的权限来运转程序。

其它规矩，即由办理员经过拟定规矩对指定的一批或一个文件和程序进行标识，并赋予“不答应的”或“不受限的”安全等级。在这个部分中，办理员能够拟定四种类型的规矩，依照优先等级分别是：散列规矩、证书规矩、途径规矩和Internet区域规矩，这些规矩将对文件的拜访和程序的运转供给***极限的授权等级。

软件约束战略的设置

1、拜访软件约束战略

作为本地安全战略的一部分，软件约束战略一起也包括在组战略中，这些战略的设置有必要以administrator账户或Administrators组成员的身份登录体系。软件约束战略的拜访办法有两种：

(1)、在“开端”“运转”处运转secpol.msc，发动本地安全战略修改器，在“安全设置”下能够看到“软件约束战略”项目。

(2)、在“开端”“运转”处运转gpedit.msc，发动组战略修改器，在“计算机设置”“Windows设置”“安全设置”下能够看到“软件约束战略”。

2、新建软件约束战略

***翻开“软件约束战略”时，该项目是空的。战略需求由办理员手动增加。办法是点击“软件约束战略”使其处于选中状况，点击修改器窗口“操作”菜单下的“新建一个战略”项目，此刻能够看到“软件约束战略”下增加了“安全等级”和“其它规矩”以及三条特点，如图2所示。一旦履行了新建战略操作后，就不能再次履行该操作，而且这个战略也不能删去。

图2 新建软件约束战略#p#

3、设置默许的安全等级

新建软件约束战略后，战略的默许安全等级为“不受限的”，假如要更改默许的安全等级，需求在“安全等级”中进行设置，办法如下：

(1)、翻开“安全等级”，在右侧窗格中，能够看到有两条设置，其间图标中带有一个小对号的设置为默许设置;

(2)、点击不是默许值的那条设置，单击右键，挑选“设置为默许”项。当设置“不答应的”为默许值时，体系会显现一个提示信息对话框，点击“承认”即可。

该过程也能够双击非默许的设置，在弹出的特点窗口中，点击“设为默许值”。

4、设置战略的效果规模和目标

经过战略的“强制”特点能够设置战略运用的软件文件是否包括库文件以及效果的目标是否包括办理员账户。通常情况下，为了防止引起体系不必要的问题以及便于对体系的办理，战略的效果规模应设置为不包括库文件的一切软体文件，效果目标设置为除本地办理员外的一切用户。设置的办法如下：

(1)、单击“软件约束战略”，双击右侧窗格中的“强制”特点项目;

(2)、挑选“除掉库文件(如Dll文件)以外的一切软体文件”选项和“除本地办理员以外的一切用户”选项，单击“承认”。

5、拟定规矩

只经过安全等级的设置，明显不能很好的完成对文件和程序的操控，有必要经过拟定合理的规矩来标识那些制止或答应运转的文件和程序，并从而完成对这些文件和程序的灵敏操控。上文中说到可拟定规矩的类型有四种：散列规矩、证书规矩、途径规矩和Internet区域规矩。它们标识文件以及拟定规矩的办法如下：

散列规矩：运用散列算法计算出指定文件的散列，这个散列是仅有标识该文件的一系列定长字节。拟定了散列规矩后，用户拜访或运转文件时，软件约束战略会依据文件的散列及安全等级来答应或阻挠对该文件进行拜访或运转。当文件移动或重命名，不会影响文件的散列，软件约束战略对该文件仍然有用。拟定办法如下：

(1)、点击“软件约束战略”下的“其它规矩”，在“其他规矩”上单击右键，或在右侧窗格的空白区域单击右键，挑选“新散列规矩”。

(2)、点击“阅读”，指定要标识的文件或程序，例如cmd.exe，承认后，在文件散列中能够看到计算出来的散列，在“安全等级”中挑选“不答应的”或“不受限的”，如图3所示。点击“承认”，在“其它规矩”中能够看到新增了一条类型为散列的规矩。

图3 新散列规矩创立

证书规矩：运用与文件或程序相关联的签名证书进行标识。证书规矩需求的证书能够是自签名的、由证书颁布组织(CA)颁布或是由Windows2000公钥组织发布。

【修改引荐】

1. 网络办理员：重视服务器拜访权限操控战略
2. 运用A、G、DL、P战略来办理网络资源拜访权限