使用軟體限制原則規則

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

本主題說明透過軟體限制原則使用憑證、路徑、網際網路區域和雜湊規則的程序。

簡介

透過軟體限制原則，您可以識別及指定允許執行的軟體，保護運算環境不會有不受信任的軟體執行。 您可以將群組原則物件 (GPO) 的預設安全性等級定義為 [沒有限制] 或 [不允許]，讓軟體依預設允許或不允許執行。 您可以針對特定軟體建立軟體限制原則，設定此預設安全性等級的例外狀況。 例如，如果預設的安全性等級設定成 [不允許]，您可建立允許執行特定軟體的規則。 規則類型如下：

• 憑證規則

  如需相關程序，請參閱使用憑證規則。

• 雜湊規則

  如需相關程序，請參閱使用雜湊規則。

• 網際網路區域規則

  如需相關程序，請參閱使用網際網路區域規則。

• 路徑規則

  如需相關程序，請參閱使用路徑規則。

如需管理軟體限制原則的其他工作相關資訊，請參閱管理軟體限制原則。

使用憑證規則

軟體限制原則也可透過軟體簽署的憑證來識別軟體。 您可以根據安全性等級來建立識別軟體的憑證規則，允許或不允許軟體執行。 例如，您可以使用憑證規則，自動信任來自網域中信任來源的軟體而不提示使用者。 您也可以使用憑證規則，執行作業系統不允許的區域檔案。 預設不會啟用憑證規則。

使用群組原則建立網域的規則時，必須具有權限才能建立或修改群組原則物件。 如果您是建立本機電腦的規則，必須具有該電腦的系統管理認證。

建立憑證規則

1. 開啟 [軟體限制原則]。

2. 在主控台樹狀目錄或詳細資料窗格中，對 [其他原則] 按一下滑鼠右鍵，然後按一下 [新增憑證規則]。

3. 按一下 [瀏覽]，然後選取憑證或已簽署的檔案。

4. 在 [安全性等級] 中，按一下 [不允許] 或 [沒有限制]。

5. 在 [描述] 中，輸入此規則的說明，然後按一下 [確定]。

注意

• 如果您尚未為群組原則物件 (GPO) 建立新軟體限制原則設定，可能需要進行這項動作。
• 預設不會啟用憑證規則。
• 只有軟體限制原則詳細資料窗格的 [指定的檔案類型] 中所列的檔案類型才會受憑證規則的影響。 有一個指定的檔案類型清單適用於所有規則。
• 為了讓軟體限制原則生效，使用者必須登出電腦後再登入以更新原則設定。
• 將多個軟體限制原則規則套用到原則設定時，會有處理衝突的規則優先順序。

啟用憑證規則

視您的環境而定，啟用憑證規則的程序會有所不同：

• 適用於本機電腦

• 適用於群組原則物件，且您位於已加入網域的伺服器上

• 適用於群組原則物件，且您位於網域控制站或已安裝遠端伺服器管理工具的工作站上

• 僅適用於網域控制站，且您位於網域控制站或已安裝遠端伺服器管理工具套件的工作站上

若要啟用本機電腦的憑證規則

1. 開啟 [本機安全性設定]。

2. 在主控台樹狀目錄中，按一下 [安全性設定/本機原則] 下的 [安全性選項]。

3. 在詳細資料窗格中，按兩下 [系統設定：於軟體限制原則對 Windows 可執行檔使用憑證規則]。

4. 執行下列其中一項動作，然後按一下 [確定]：

   • 若要啟用憑證規則，請按一下 [啟用]。

   • 若要停用憑證規則，請按一下 [停用]。

若您位於已加入網域的伺服器上，且要啟用群組原則物件的憑證規則

1. 開啟 Microsoft Management Console (MMC)。

2. 在 [檔案] 功能表上，按一下 [新增/移除嵌入式管理單元]，然後按一下 [新增]。

3. 按一下 [本機群組原則物件編輯器]，然後按一下 [新增]。

4. 在 [選取群組原則物件] 中，按一下 [瀏覽]。

5. 在 [瀏覽群組原則物件] 中，選取適當網域、站台或組織單位中的群組原則物件 (GPO) (或建立一個新的群組原則物件)，然後按一下 [完成]。

6. 按一下 [關閉]，然後按一下 [確定]。

7. 在主控台樹狀目錄中，按一下位於 [群組原則物件 [電腦名稱] 原則/電腦設定/Windows 設定/安全性設定/本機原則/] 下的 [安全性選項]。

8. 在詳細資料窗格中，按兩下 [系統設定：於軟體限制原則對 Windows 可執行檔使用憑證規則]。

9. 如果尚未定義此原則設定，請選取 [定義這些原則設定] 核取方塊。

10. 執行下列其中一項動作，然後按一下 [確定]：

    • 若要啟用憑證規則，請按一下 [啟用]。

    • 若要停用憑證規則，請按一下 [停用]。

若您位於網域控制站或已安裝遠端伺服器管理工具的工作站上，且要啟用群組原則物件的憑證規則

1. 開啟 [Active Directory 使用者及電腦]。

2. 在主控台樹狀目錄中，以滑鼠右鍵按一下要啟用憑證規則的群組原則物件 (GPO)。

3. 按一下 [內容]，然後按一下 [群組原則] 索引標籤。

4. 按一下 [編輯]，開啟要編輯的 GPO。 您也可以按一下 [新增] 來建立新的 GPO，然後按一下 [編輯]。

5. 在主控台樹狀目錄中，按一下位於 [群組原則物件 [電腦名稱] 原則/電腦設定/Windows 設定/安全性設定/本機原則] 下的 [安全性選項]。

6. 在詳細資料窗格中，按兩下 [系統設定：於軟體限制原則對 Windows 可執行檔使用憑證規則]。

7. 如果尚未定義此原則設定，請選取 [定義這些原則設定] 核取方塊。

8. 執行下列其中一項動作，然後按一下 [確定]：

   • 若要啟用憑證規則，請按一下 [啟用]。

   • 若要停用憑證規則，請按一下 [停用]。

若您位於網域控制站或已安裝遠端伺服器管理工具的工作站上，且只要啟用網域控制站的憑證規則

1. 開啟 [網域控制站安全性設定]。

2. 在主控台樹狀目錄中，按一下位於 [群組原則物件 [電腦名稱] 原則/電腦設定/Windows 設定/安全性設定/本機原則] 下的 [安全性選項]。

3. 在詳細資料窗格中，按兩下 [系統設定：於軟體限制原則對 Windows 可執行檔使用憑證規則]。

4. 如果尚未定義此原則設定，請選取 [定義這些原則設定] 核取方塊。

5. 執行下列其中一項動作，然後按一下 [確定]：

   • 若要啟用憑證規則，請按一下 [啟用]。

   • 若要停用憑證規則，請按一下 [停用]。

注意

您必須執行此程序，憑證規則才能生效。

設定受信任的發行者選項

有越來越多的軟體發行者及應用程式開發人員選擇使用軟體簽署，以確認其應用程式來自受信任的來源。 不過，許多使用者並不了解，或是鮮少注意與他們所安裝之應用程式相關的簽章憑證。

系統管理員可在憑證路徑驗證原則的 [受信任的發行者] 索引標籤中，使用原則設定控制哪些憑證可視為來自受信任的發行者並予以接受。

設定本機電腦之受信任的發行者原則設定

1. 在 [開始] 畫面上，輸入 gpedit.msc，然後按 ENTER 鍵。

2. 在 [本機電腦原則\電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中，按一下 [公開金鑰原則]。

3. 按兩下 [憑證路徑驗證設定] 後，再按一下 [受信任的發行者] 索引標籤。

4. 選取 [定義這些原則設定] 核取方塊後，選取您要套用的原則設定，然後按一下 [確定] 以套用新設定。

設定網域之受信任的發行者原則設定

1. 開啟 [群組原則管理]。

2. 在主控台樹狀目錄中，請於內含您要編輯的 [預設網域原則] 群組原則物件 (GPO) 的樹系和網域中，按兩下 [群組原則物件]。

3. 在 [預設網域原則 GPO] 上按一下滑鼠右鍵，然後按一下 [編輯] 。

4. 在 [電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中，按一下 [公開金鑰原則]。

5. 按兩下 [憑證路徑驗證設定] 後，再按一下 [受信任的發行者] 索引標籤。

6. 選取 [定義這些原則設定] 核取方塊後，選取您要套用的原則設定，然後按一下 [確定] 以套用新設定。

僅允許系統管理員管理用於本機電腦程式碼簽署的憑證

1. 在 [開始] 畫面上，於 [搜尋程式及檔案] 中 (或於 Windows 8 的桌面上) 輸入 gpedit.msc，然後按 ENTER 鍵。

2. 在 [預設網域原則] 或 [本機電腦原則] 下的主控台樹中，按兩下 [電腦設定]、[Windows 設定] 及 [安全性設定]，然後按一下 [公開金鑰原則]。

3. 按兩下 [憑證路徑驗證設定] 後，再按一下 [受信任的發行者] 索引標籤。

4. 選取 [定義這些原則設定] 核取方塊。

5. 按一下 [受信任的發行者管理] 下的 [僅允許所有管理員管理受信任的發行者]，然後按一下 [確定] 以套用新設定。

僅允許系統管理員管理用於網域程式碼簽署的憑證

1. 開啟 [群組原則管理]。

2. 在主控台樹狀目錄中，請於內含您要編輯的 [預設網域原則] GPO 的樹系和網域中，按兩下 [群組原則物件]。

3. 在 [預設網域原則 GPO] 上按一下滑鼠右鍵，然後按一下 [編輯] 。

4. 在 [電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中，按一下 [公開金鑰原則]。

5. 按兩下 [憑證路徑驗證設定] 後，再按一下 [受信任的發行者] 索引標籤。

6. 選取 [定義這些原則設定] 核取方塊後，執行您要的變更，然後按一下 [確定] 套用新設定。

使用雜湊規則

雜湊是由固定長度的一系列位元組組成的，能夠唯一識別軟體程式或檔案。 雜湊是由雜湊演算法運算。 為軟體程式建立雜湊規則時，軟體限制原則會計算程式的雜湊。 使用者嘗試開啟軟體程式時，程式的雜湊會與軟體限制原則現有的雜湊規則進行比較。 不論程式位於電腦的哪個位置，軟體程式的雜湊永遠是相同的。 不過，如果以任何方式變更軟體程式，雜湊也會變更，不再與軟體限制原則之雜湊規則中的雜湊相符。

例如，您可以建立雜湊規則並將安全性等級設定成 [不允許]，防止使用者執行某個特定檔案。 將檔案重新命名或移到另一個資料夾，雜湊仍然是相同的。 不過，對檔案本身的任何變更也會變更其雜湊值，讓檔案略過限制。

建立雜湊規則

1. 開啟 [軟體限制原則]。

2. 在主控台樹狀目錄或詳細資料窗格中，對 [其他原則] 按一下滑鼠右鍵，然後按一下 [新增雜湊規則]。

3. 按一下 [瀏覽] 來尋找檔案。

   注意

   在 Windows XP 中，可於 [檔案雜湊] 中貼上預先計算的雜湊值。 這個選項不適用於 Windows Server 2008 R2、Windows 7 和更新版本。

4. 在 [安全性等級] 中，按一下 [不允許] 或 [沒有限制]。

5. 在 [描述] 中，輸入此規則的說明，然後按一下 [確定]。

注意

• 如果您尚未為群組原則物件 (GPO) 建立新軟體限制原則設定，可能需要進行這項動作。
• 您可建立防止病毒或特洛伊木馬程式執行的雜湊規則。
• 如果您要讓其他人使用雜湊規則來防止病毒執行，可使用軟體限制原則來計算病毒的雜湊，然後以電子郵件將雜湊值傳送給其他人。 切勿透過電子郵件傳送病毒本身。
• 如果透過電子郵件傳送病毒，您同時也會建立路徑規則讓電子郵件附件無法執行。
• 重新命名或移到另一個資料夾的檔案，雜湊仍然是相同的。 對檔案本身進行的任何變更會產生不同的雜湊。
• 只有軟體限制原則詳細資料窗格的 [指定的檔案類型] 中所列的檔案類型才會受雜湊規則的影響。 有一個指定的檔案類型清單適用於所有規則。
• 為了讓軟體限制原則生效，使用者必須登出電腦後再登入以更新原則設定。
• 將多個軟體限制原則規則套用到原則設定時，會有處理衝突的規則優先順序。

使用網際網路區域規則

網際網路區域規則只適用於 Windows Installer 套件。 區域規則可以識別來自 Internet Explorer 指定之區域的軟體。 這些區域為網際網路、近端內部網路、限制的網站、信任的網站和我的電腦。 網際網路區域規則的設計是為了防止使用者下載和安裝軟體。

建立網際網路區域規則

1. 開啟 [軟體限制原則]。

2. 在主控台樹狀目錄或詳細資料窗格中，對 [其他原則] 按一下滑鼠右鍵，然後按一下 [新增網際網路區域規則]。

3. 在 [網際網路區域] 中，按一下某個網際網路區域。

4. 在 [安全性等級] 中，按一下 [不允許] 或 [沒有限制]，然後按一下 [確定]。

注意

• 如果您尚未為群組原則物件 (GPO) 建立新軟體限制原則設定，可能需要進行這項動作。
• 區域規則只適用於具有 .msi 檔案類型 (也就是 Windows Installer 套件) 的檔案。
• 為了讓軟體限制原則生效，使用者必須登出電腦後再登入以更新原則設定。
• 將多個軟體限制原則規則套用到原則設定時，會有處理衝突的規則優先順序。

使用路徑規則

路徑規則可透過軟體的檔案路徑來識別軟體。 例如，如果電腦的預設安全性等級為 [不允許]，您仍可授與每個使用者存取權，不受限制地存取特定資料夾。 您可以使用檔案路徑來建立路徑規則，並將路徑規則的安全性等級設定為 [沒有限制]。 此規則類型的一些常用路徑為 %userprofile%、%windir%、%appdata%、%programfiles% 和 %temp%。 您也可以建立登錄路徑規則，使用軟體的登錄機碼做為其路徑。

因為這些規則是由路徑指定的，如果移動軟體程式，該路徑規則就不再適用。

建立路徑規則

1. 開啟 [軟體限制原則]。

2. 在主控台樹狀目錄或詳細資料窗格中，在 [其他原則] 上按一下滑鼠右鍵，然後按一下 [新增路徑規則]。

3. 在 [路徑] 中輸入路徑，或按一下 [瀏覽] 尋找某個檔案或資料夾。

4. 在 [安全性等級] 中，按一下 [不允許] 或 [沒有限制]。

5. 在 [描述] 中，輸入此規則的說明，然後按一下 [確定]。

警告

• 將某些資料夾 (例如 Windows 資料夾) 的安全性等級設成 [不允許] 時，會對作業系統的操作產生負面的影響。 確認您沒有不允許作業系統的某個重要元件或是不允許其中一個依存性程式。

注意

• 如果您尚未為群組原則物件 (GPO) 建立新軟體限制原則，可能需要進行這項動作。
• 如果您以安全性等級為 [不允許] 來建立軟體的路徑規則，使用者仍可將軟體複製到另一個位置來執行該軟體。
• 路徑規則支援的萬用字元為 * 和 ?。
• 您可以在路徑規則中使用環境變數，例如 %programfiles% 或 %systemroot%。
• 您不知道軟體儲存在電腦上的哪個位置但有軟體的登錄機碼時，若想建立軟體的路徑規則，可建立登錄路徑規則。
• 若要防止使用者執行電子郵件附件，可為電子郵件程式的附件目錄建立路徑規則，防止使用者執行電子郵件附件。
• 只有軟體限制原則詳細資料窗格的 [指定的檔案類型] 中所列的檔案類型才會受路徑規則的影響。 有一個指定的檔案類型清單適用於所有規則。
• 為了讓軟體限制原則生效，使用者必須登出電腦後再登入以更新原則設定。
• 將多個軟體限制原則規則套用到原則設定時，會有處理衝突的規則優先順序。

建立登錄路徑規則

1. 在 [開始] 畫面上，輸入 regedit。

2. 在主控台樹狀目錄中，在想要建立規則的登錄機碼上按一下滑鼠右鍵，然後按一下 [複製機碼名稱]。 記下詳細資料窗格中的值名稱。

3. 開啟 [軟體限制原則]。

4. 在主控台樹狀目錄或詳細資料窗格中，在 [其他原則] 上按一下滑鼠右鍵，然後按一下 [新增路徑規則]。

5. 在 [路徑] 中貼上登錄機碼名稱，後面加上值名稱。

6. 以百分比符號 (%) 括住登錄路徑，例如 %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%。

7. 在 [安全性等級] 中，按一下 [不允許] 或 [沒有限制]。

8. 在 [描述] 中，輸入此規則的說明，然後按一下 [確定]。