四、软件限制策略：
    如果需要控制运行未知代码和不可信任代码，就需要通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过赋予相应的安全级别来实现对程序运行的控制。软件限制策略通常使用安全级别和其他规则这两个方面的设置来完成对程序的限制。其中，安全级别被分为“不允许的”和“不受限制的”两种。其中，“不允许的”将禁止程序的运行，不论用户的权限如何，“不受限的”允许登录用户使用他所拥有的权限来运行程序。

    而其它规则，则由管理员通过制定规则对指定的一批或一个文件和程序进行标识，并赋予“不允许的”或“不受限的”安全级别。在这个部分中，管理员可以制定四种类型的规则，按照优先级别分别是：散列规则、证书规则、路径规则和Internet区域规则，这些规则将对文件的访问和程序的运行提供最大限度的授权级别。软件限制策略设置过程相对前两种方法复杂许多，详细步骤如下：

    1、软件限制策略：
    首先我们还是需要以Administrators用户或组成员的身份登录系统，才能完成该策略的设置，作为本地安全策略的一部分，软件限制策略同时也包含在组策略中，有两种方法可以打开该策略，通过在“开始－>运行”中输入“secpol.msc”或“gpedit.msc”都可以。首次打开“软件限制策略”时，默认都是空的，需要手动添加策略。可以点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性。

    2、配置安全级别：
    打开“安全级别”，在右侧窗格中，可以看到有两条设置，带有一个小对号的设置为默认设置，点击不是默认值的那条设置，单击右键，选择“设置为默认”项。当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。也可以通过双击来更改默认值的设置。

    3、设置策略范围：
    通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。可以选择“强制”的“属性”来设置，相对简单，不再详述。

    4、制定规则：
    只设置安全级别是不能实现对文件和程序的详细控制的，必须通过制定规则才能有效控制程序的运行。

    散列规则：利用散列算法计算出指定文件的散列，这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后，用户访问或运行文件时，软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名，不会影响文件的散列，软件限制策略对该文件依然有效。具体制定方法如下：

    （1）、打开并选择“软件限制策略”下的“其它规则”，然后在右侧窗格的空白区域单击右键，选择“新散列规则”；

    （2）、单击的“浏览”按钮，选择需要限制的文件或程序（如：cmd.exe），在“文件散列”中可以看到计算出来的散列，在“文件信息”中显示文件的信息，在“安全级别”中选择“不允许的”或“不受限的”，点击“确定”，在“其它规则”右侧窗口中便可以看到新增了一条散列规则。

    证书规则：利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构（CA）颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件，它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后，运行该文件时，软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件（扩展名为“.cer”）。

    路径规则：利用文件或程序的路径进行标识，该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的，当文件移动或重命名时，路径规则会失去作用。在路径规则中，根据路径范围的大小，优先级别各有高低，范围越大，优先级越低。通常路径的优先级从高到低为：指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。

    Internet区域规则：利用应用程序下载的Internet区域进行标识。区域主要包括：Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。
   
    5、维护文件类型：
    只有设置在“指派的文件类型”中的文件才能被各种规则所限制，因此需要对文件类型进行维护，方法很简单，点击“软件限制策略”，双击右侧的“指派的文件类型”，在打开的“指派的文件类型属性”窗口中即可完成对文件类型的“添加”和“删除”工作。

    6、利用规则控制：
以上规则优先级从高到依次为：散列规则、证书规则、路径规则、Internet区域规则。如果有较多种规则同时作用于同一个程序，起决定作用的将是优先级最高的规则。当一种类型的多条规则作用于同一文件或程序时，起作用的将是最具限制力的规则。多种类型、同类型多条规则的搭配使用，为用户提供了非常灵活的规则指定策略。

    结束语：
    最后需要注销或重启才能使“软件限制策略”生效。以上四种方法中，“隐藏文件”是最简单的方法，“软件限制策略”是最复杂的方法，而“限制访问权限”和“启用策略”是比较折中的方法，正所谓“条条大路通罗马”。