软件限制策略的设置

1、访问软件限制策略

作为本地安全策略的一部分，软件限制策略同时也包含在组策略中，这些策略的设置必须以administrator账户或Administrators组成员的身份登录系统。软件限制策略的访问方式有两种：

（1）、在“开始”“运行”处运行secpol.msc，启动本地安全策略编辑器，在“安全设置”下可以看到“软件限制策略”项目。

（2）、在“开始”“运行”处运行gpedit.msc，启动组策略编辑器，在“计算机设置”“Windows设置”“安全设置”下可以看到“软件限制策略”。

2、新建软件限制策略

首次打开“软件限制策略”时，该项目是空的。策略需要由管理员手动添加。方法是点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性。一旦执行了新建策略操作后，就不能再次执行该操作，并且这个策略也不能删除。

3、设置默认的安全级别

新建软件限制策略后，策略的默认安全级别为“不受限的”，如果要更改默认的安全级别，需要在“安全级别”中进行设置，方法如下：

（1）、打开“安全级别”，在右侧窗格中，可以看到有两条设置，其中图标中带有一个小对号的设置为默认设置；

（2）、点击不是默认值的那条设置，单击右键，选择“设置为默认”项。当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。

该步骤也可以双击非默认的设置，在弹出的属性窗口中，点击“设为默认值”。

4、设置策略的作用范围和对象

通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。

设置的方法如下：

（1）、单击“软件限制策略”，双击右侧窗格中的“强制”属性项目；

（2）、选择“除去库文件（如Dll文件）以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项，单击“确定”。

5、制定规则