Windows程序与Script运行策略

除了应用程序执行规则的配置方式之外，还有其他两种策略的配置方法。首先在管理Windows安装程序为主的“Windows Installer Rules”规则设置，大致上整个设置的步骤与方法，都是与应用程序执行规则的配置方法是一样的，不过还是让我们来看一下其中例外条件规则的设置部分。在“Exceptions”的页面中，笔者新增了一个Publisher类型的例外条件规则。让我们来看看其内容设置部分。

接下来在“Publisher Exception”页面中，如图3所示必须点选“Browse”按钮来加载要设置为例外条件的执行程序（可以是同一支程序），然后将“Use custom values”项目勾选，接着您便可以考虑设置“File version”的域值，来决定哪一个版本以上或以下的程序来作为例外条件的设置。

图3 设置例外条件

一旦我们完成了Windows安装程序的规则新增设置之后，针对被设置为拒绝安装的应用程序，用户在执行时便会出现错误讯息：“系统禁用此安装”。然而如果也有设置例外条件，则只要符合例外条件的规则定义，便可以顺利执行该程序的安装，不过还是必须注意该使用者也要同时拥有安装应用程序在本机计算机的相关权限。

而对于路径规则的设置，您可以发现惟一的不同地方在于在“Path”页面中，可以点选“Browse Files”或“Browse Folders”按钮来设置执行程序的档案或所在文件夹的路径。至于如果是针对手稿程序（Script）的管理部分，则在“File Hash”页面中，同样可以点选“Browse Files”或“Browse Folders”按钮来设置手稿执行程序的档案或所在文件夹的路径。

从浏览手稿程序档案的窗口中，可以清楚地看到在窗口右下角的文件类型下拉选单中，所支持的文件类型分别有PowerShell（*.ps1）、批 处 理文件（*.bat）、命令提示列程序文 件（*.cmd）、VB Script文件（*.vbs）以 及 Java Script文件（*.js）。

快速部署应用程序运行规则

由于客户端的Windows 7计算机中目前已经安装的应用程序相当多，因此您可能会想了解是否有什么方法，可以更快速部署有关于应用程序执行的规则。

以Windows 7操作系统为模板，并且让指定路径下的所有应用程序都能够正常执行，然后再来管理其他不允许执行或安装的应用程序设置，则可以通过点选位于“动作”窗口中的“Automatically Generation Rules”，来开启向导设置页面。在此您可以分别设置所要加入允许规则中的文件夹（默认值为C:Program Files）以及设置规则识别名称。

在“Rule Preferences”页面中，系统默认的状态下会以发行规则（Publisher rules）的设置方法来设置每一个探索到的应用程序，但是如果发现的应用程序没有相关的发行信息时，则会自动改为哈希规则（File hash）方法来设置应用程序规则。然而为了担心所产生的规则项目数量太多的问题发生，在默认的设置中也会自动将相似的档案进行群组分类方式来建立。

接下来可以在“Review Rules”页面中，看到目前所准备建立的规则数量、包括的程序档案数量。您可以点选“Review files that analyzed”来检测所有包括的档案列表，在此窗口中便可以检测到所有已被分析过的档案清单。您还可以点选“View rules that will be automatically created”，来查看所有准备建立的规则项目名称以及相对的规则类型。

集中管理BitLocker移动储存设备的保护策略

现今有许多企业想要集中管理业务以及研发人员，对于移动储存设备的数据保护策略，以确保许多重要的机密信息不会因为这些设备的不慎遗失，而导致发生机密资料外流的安全问题。接下来让我们来学习一下这方面的相关设置方法。

BitLocker是保护企业存储数据的最佳解决方案，而在Windows 7中不仅可以针对本机计算机中固定的硬盘机进行加密，还可以同时对U盘进行加密保护。在群组策略的集中管理中，当然也少不了对于BitLocker各项使用策略的管理。以下说明相关的设置方法。

在群组策略管理编辑器界面中，您可以点选“Computer Configuration→Policies→系统管理模板→Windows Components→Bitlocker Drive Encryption→ Removable Data Drives”，来设置各项针对移动存储的管理策略。

首 先 在“Control use of BitLocker on removable drives”策略设置上，可以先将它设 置为启 用（Enable），然后再到下方的选项设置中（Options）来决定是否要让使用者能够进行对于U盘的BitLocker加密处理，以及允许对于已加密的BitLocker磁盘进行暂停与解密的处理。

在“Configure use of Smart cards removable data drives”的项目设置部分，是否要强制使用者必须通过智能卡并且输入正确的PIN码之后，才能存取BitLocker的U盘。 在“Deny write access to removable drives not protected by BitLocker”策略设置部分，如图4所示，只要将位于“选项”（Options）窗口中的项目勾选，则凡是被套用的Windows 7客户端或Windows Server 2008 R2服务器，都无法将数据储存到未使用BitLocker加密的U盘上，因为这些U盘都将会处于只读状态。

在“Configure use of passwords for removable drives”策略设置部分，一旦设置为启用（Enable）之后，便可以在下方的选项（Options）窗口中，决定是否要求一组密码来验证使用对于BitLocker的U盘存取，并且是否允许、不需要或是强制必须使用符合复杂度要求的密码设置。此外，还可以设置最小密码的长度。

图4 管理写入数据的策略

注意：如果需要强制使用者必须设置符合复杂度要求的密码来保护BitLocker的U盘，则在安全性策略设置中的“密码必须符合复杂度的要求”项目，也必须在启用状态（此设置默认是启用的）。

在“Choose how Bit Locker-protected removable drivers can be recovered”策略项目部分，可以让我们管理是否能够在受Bit Locker加密磁盘的遗失密钥时，是否还能够进行加密磁盘的复原。首先在“Allow data recovery agent”启用部分，可以决定是否要让使用者可以储存48位数的复原密码或是256位的复原密钥。

接着您可以决定是否要从BitLocker设置向导页面中消除复原选项，以及是否要储存BitLocker复原信息到Active Directory Domain Services中。至于所要储存的项目，可以包括复原密码以及密钥或是只有密码信息。最后，您可以决定是否要在确认复原信息已储存至Active Directory Domain Services中的时候，才让BitLokcer功能启用。