軟體限制原則
適用對象L Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
本主題適用於 IT 專業人員,說明 Windows Server 2012、2016 和 Windows 8 中的軟體限制原則 (SRP),並提供從 Windows Server 2003 開始之 SRP 相關技術資訊的連結。
重要
從 Windows 10 組建 1803 開始,軟體限制原則已被取代,也適用於 Windows Server 2019 和更新版本。 您應該使用 Windows Defender 應用程式控制 (WDAC) 或 AppLocker 來控制軟體執行。
如需程序及疑難排解的秘訣,請參閱管理軟體限制原則以及疑難排解軟體限制原則。
軟體限制原則說明
軟體限制原則 (SRP) 是以群組原則為依據的功能,可以識別在網域的電腦上執行的軟體程式,並控制執行這些程式的能力。 軟體限制原則是 Microsoft 安全性與管理策略的一部分,可以協助企業提高電腦的可靠性、完整性及管理性。
您也可以使用軟體限制原則,來建立高限制性的電腦設定,您可以只允許執行特別識別出的應用程式。 軟體限制原則已與 Microsoft Active Directory 和群組原則整合。 您也可以在獨立電腦上建立軟體限制原則。 軟體限制原則是信任原則,這些原則是由系統管理員設定的規範,可以限制未受到完全信任的指令碼和其他程式碼的執行。
您可以透過本機群組原則編輯器的軟體限制原則延伸或 Microsoft Management Console (MMC) 的本機安全性原則嵌入式管理單元中定義這些原則。
如需 SRP 的深入資訊,請參閱 Software Restriction Policies Technical Overview。
實際應用
系統管理員可以針對下列工作使用軟體限制原則:
定義什麼是受信任的程式碼
針對規範指令碼、可執行檔,以及 ActiveX 控制項設計彈性的群組原則。
軟體限制原則是透過遵循軟體限制原則的作業系統和應用程式 (例如,指令碼應用程式) 強制執行的。
具體而言,系統管理員可以基於下列目的使用軟體限制原則:
指定要在用戶端上執行哪一個軟體 (可執行檔)
防止使用者在共用電腦上執行特定的程式
指定誰可以將受信任的發行者新增到用戶端
設定軟體限制原則的範圍 (指定原則是否會影響用戶端上的所有使用者或使用者子集)
防止可執行檔在本機電腦、組織單位 (OU)、站台或網域上執行。 當您未使用軟體限制原則來處理惡意使用者的潛在問題時,這個狀況便適用此做法。
新功能和變更的功能
對於軟體限制原則的功能沒有任何變更。
已移除或過時的功能
對於軟體限制原則沒有任何已移除或過時的功能。
軟體需求
本機群組原則編輯器的軟體限制原則延伸可以透過 MMC 加以存取。
下列為建立和維護本機電腦上軟體限制原則所需的功能:
本機群組原則編輯器
Windows Installer
Authenticode 和 WinVerifyTrust
如果您設計適用於這些原則的網域部署的呼叫,則除了上述清單之外,還需要下列功能:
Active Directory Domain Services
群組原則
伺服器管理員資訊
軟體限制原則是本機群組原則編輯器的延伸,無法透過伺服器管理員的新增角色及功能進行安裝。
另請參閱
下表提供了解與使用 SRP 相關資源的連結。
| Content type | 參考資料 |
|---|---|
| 產品評估 | 使用軟體限制原則鎖定應用程式 |
| 規劃 | 軟體限制原則技術參考概觀 (Windows Server 2012) 軟體限制原則技術參考 (Windows Server 2003) |
| 部署 | 沒有可用資源。 |
| Operations | 管理軟體限制原則 (Windows Server 2012) 軟體限制原則產品說明 (Windows Server 2003) |
| 疑難排解 | 疑難排解軟體限制原則 (Windows Server 2012) 軟體限制原則疑難排解 (Windows Server 2003) |
| 安全性 | 軟體限制原則的安全威脅與因應對策 (Windows Server 2008) 軟體限制原則的安全威脅與因應對策 (Windows Server 2008 R2) |
| 工具及設定 | 軟體限制原則工具及設定 (Windows Server 2003) |
| 社群資源 | 使用軟體限制原則鎖定應用程式 |