Windows程序與Script運(yùn)行策略

除了應(yīng)用程序執(zhí)行規(guī)則的配置方式之外，還有其他兩種策略的配置方法。首先在管理Windows安裝程序?yàn)橹鞯摹癢indows Installer Rules”規(guī)則設(shè)置，大致上整個(gè)設(shè)置的步驟與方法，都是與應(yīng)用程序執(zhí)行規(guī)則的配置方法是一樣的，不過(guò)還是讓我們來(lái)看一下其中例外條件規(guī)則的設(shè)置部分。在“Exceptions”的頁(yè)面中，筆者新增了一個(gè)Publisher類型的例外條件規(guī)則。讓我們來(lái)看看其內(nèi)容設(shè)置部分。

接下來(lái)在“Publisher Exception”頁(yè)面中，如圖3所示必須點(diǎn)選“Browse”按鈕來(lái)加載要設(shè)置為例外條件的執(zhí)行程序（可以是同一支程序），然后將“Use custom values”項(xiàng)目勾選，接著您便可以考慮設(shè)置“File version”的域值，來(lái)決定哪一個(gè)版本以上或以下的程序來(lái)作為例外條件的設(shè)置。

圖3 設(shè)置例外條件

一旦我們完成了Windows安裝程序的規(guī)則新增設(shè)置之后，針對(duì)被設(shè)置為拒絕安裝的應(yīng)用程序，用戶在執(zhí)行時(shí)便會(huì)出現(xiàn)錯(cuò)誤訊息：“系統(tǒng)禁用此安裝”。然而如果也有設(shè)置例外條件，則只要符合例外條件的規(guī)則定義，便可以順利執(zhí)行該程序的安裝，不過(guò)還是必須注意該使用者也要同時(shí)擁有安裝應(yīng)用程序在本機(jī)計(jì)算機(jī)的相關(guān)權(quán)限。

而對(duì)于路徑規(guī)則的設(shè)置，您可以發(fā)現(xiàn)惟一的不同地方在于在“Path”頁(yè)面中，可以點(diǎn)選“Browse Files”或“Browse Folders”按鈕來(lái)設(shè)置執(zhí)行程序的檔案或所在文件夾的路徑。至于如果是針對(duì)手稿程序（Script）的管理部分，則在“File Hash”頁(yè)面中，同樣可以點(diǎn)選“Browse Files”或“Browse Folders”按鈕來(lái)設(shè)置手稿執(zhí)行程序的檔案或所在文件夾的路徑。

從瀏覽手稿程序檔案的窗口中，可以清楚地看到在窗口右下角的文件類型下拉選單中，所支持的文件類型分別有PowerShell（*.ps1）、批 處 理文件（*.bat）、命令提示列程序文 件（*.cmd）、VB Script文件（*.vbs）以 及 Java Script文件（*.js）。

快速部署應(yīng)用程序運(yùn)行規(guī)則

由于客戶端的Windows 7計(jì)算機(jī)中目前已經(jīng)安裝的應(yīng)用程序相當(dāng)多，因此您可能會(huì)想了解是否有什么方法，可以更快速部署有關(guān)于應(yīng)用程序執(zhí)行的規(guī)則。

以Windows 7操作系統(tǒng)為模板，并且讓指定路徑下的所有應(yīng)用程序都能夠正常執(zhí)行，然后再來(lái)管理其他不允許執(zhí)行或安裝的應(yīng)用程序設(shè)置，則可以通過(guò)點(diǎn)選位于“動(dòng)作”窗口中的“Automatically Generation Rules”，來(lái)開(kāi)啟向?qū)гO(shè)置頁(yè)面。在此您可以分別設(shè)置所要加入允許規(guī)則中的文件夾（默認(rèn)值為C:Program Files）以及設(shè)置規(guī)則識(shí)別名稱。

在“Rule Preferences”頁(yè)面中，系統(tǒng)默認(rèn)的狀態(tài)下會(huì)以發(fā)行規(guī)則（Publisher rules）的設(shè)置方法來(lái)設(shè)置每一個(gè)探索到的應(yīng)用程序，但是如果發(fā)現(xiàn)的應(yīng)用程序沒(méi)有相關(guān)的發(fā)行信息時(shí)，則會(huì)自動(dòng)改為哈希規(guī)則（File hash）方法來(lái)設(shè)置應(yīng)用程序規(guī)則。然而為了擔(dān)心所產(chǎn)生的規(guī)則項(xiàng)目數(shù)量太多的問(wèn)題發(fā)生，在默認(rèn)的設(shè)置中也會(huì)自動(dòng)將相似的檔案進(jìn)行群組分類方式來(lái)建立。

接下來(lái)可以在“Review Rules”頁(yè)面中，看到目前所準(zhǔn)備建立的規(guī)則數(shù)量、包括的程序檔案數(shù)量。您可以點(diǎn)選“Review files that analyzed”來(lái)檢測(cè)所有包括的檔案列表，在此窗口中便可以檢測(cè)到所有已被分析過(guò)的檔案清單。您還可以點(diǎn)選“View rules that will be automatically created”，來(lái)查看所有準(zhǔn)備建立的規(guī)則項(xiàng)目名稱以及相對(duì)的規(guī)則類型。

集中管理BitLocker移動(dòng)儲(chǔ)存設(shè)備的保護(hù)策略

現(xiàn)今有許多企業(yè)想要集中管理業(yè)務(wù)以及研發(fā)人員，對(duì)于移動(dòng)儲(chǔ)存設(shè)備的數(shù)據(jù)保護(hù)策略，以確保許多重要的機(jī)密信息不會(huì)因?yàn)檫@些設(shè)備的不慎遺失，而導(dǎo)致發(fā)生機(jī)密資料外流的安全問(wèn)題。接下來(lái)讓我們來(lái)學(xué)習(xí)一下這方面的相關(guān)設(shè)置方法。

BitLocker是保護(hù)企業(yè)存儲(chǔ)數(shù)據(jù)的最佳解決方案，而在Windows 7中不僅可以針對(duì)本機(jī)計(jì)算機(jī)中固定的硬盤(pán)機(jī)進(jìn)行加密，還可以同時(shí)對(duì)U盤(pán)進(jìn)行加密保護(hù)。在群組策略的集中管理中，當(dāng)然也少不了對(duì)于BitLocker各項(xiàng)使用策略的管理。以下說(shuō)明相關(guān)的設(shè)置方法。

在群組策略管理編輯器界面中，您可以點(diǎn)選“Computer Configuration→Policies→系統(tǒng)管理模板→Windows Components→Bitlocker Drive Encryption→ Removable Data Drives”，來(lái)設(shè)置各項(xiàng)針對(duì)移動(dòng)存儲(chǔ)的管理策略。

首 先 在“Control use of BitLocker on removable drives”策略設(shè)置上，可以先將它設(shè) 置為啟 用（Enable），然后再到下方的選項(xiàng)設(shè)置中（Options）來(lái)決定是否要讓使用者能夠進(jìn)行對(duì)于U盤(pán)的BitLocker加密處理，以及允許對(duì)于已加密的BitLocker磁盤(pán)進(jìn)行暫停與解密的處理。

在“Configure use of Smart cards removable data drives”的項(xiàng)目設(shè)置部分，是否要強(qiáng)制使用者必須通過(guò)智能卡并且輸入正確的PIN碼之后，才能存取BitLocker的U盤(pán)。 在“Deny write access to removable drives not protected by BitLocker”策略設(shè)置部分，如圖4所示，只要將位于“選項(xiàng)”（Options）窗口中的項(xiàng)目勾選，則凡是被套用的Windows 7客戶端或Windows Server 2008 R2服務(wù)器，都無(wú)法將數(shù)據(jù)儲(chǔ)存到未使用BitLocker加密的U盤(pán)上，因?yàn)檫@些U盤(pán)都將會(huì)處于只讀狀態(tài)。

在“Configure use of passwords for removable drives”策略設(shè)置部分，一旦設(shè)置為啟用（Enable）之后，便可以在下方的選項(xiàng)（Options）窗口中，決定是否要求一組密碼來(lái)驗(yàn)證使用對(duì)于BitLocker的U盤(pán)存取，并且是否允許、不需要或是強(qiáng)制必須使用符合復(fù)雜度要求的密碼設(shè)置。此外，還可以設(shè)置最小密碼的長(zhǎng)度。

圖4 管理寫(xiě)入數(shù)據(jù)的策略

注意：如果需要強(qiáng)制使用者必須設(shè)置符合復(fù)雜度要求的密碼來(lái)保護(hù)BitLocker的U盤(pán)，則在安全性策略設(shè)置中的“密碼必須符合復(fù)雜度的要求”項(xiàng)目，也必須在啟用狀態(tài)（此設(shè)置默認(rèn)是啟用的）。

在“Choose how Bit Locker-protected removable drivers can be recovered”策略項(xiàng)目部分，可以讓我們管理是否能夠在受Bit Locker加密磁盤(pán)的遺失密鑰時(shí)，是否還能夠進(jìn)行加密磁盤(pán)的復(fù)原。首先在“Allow data recovery agent”啟用部分，可以決定是否要讓使用者可以儲(chǔ)存48位數(shù)的復(fù)原密碼或是256位的復(fù)原密鑰。

接著您可以決定是否要從BitLocker設(shè)置向?qū)ы?yè)面中消除復(fù)原選項(xiàng)，以及是否要儲(chǔ)存BitLocker復(fù)原信息到Active Directory Domain Services中。至于所要儲(chǔ)存的項(xiàng)目，可以包括復(fù)原密碼以及密鑰或是只有密碼信息。最后，您可以決定是否要在確認(rèn)復(fù)原信息已儲(chǔ)存至Active Directory Domain Services中的時(shí)候，才讓BitLokcer功能啟用。