對于Windows的組策略，也許大(dà)家使用的更多的隻是 管理模闆 裏的各項功能。對于 軟件限制策略 相信用過的筒子們不是很多：）。軟件限制策略 如果用的好的話(huà)，相信可以和某些HIPS類軟件相類比了。如果再結合NTFS權限和注冊表權限，完全可以實現系統的全方位的安全配置，同時由于這是系統内置的功能，與系統無縫結合，不會占用額外(wài)的CPU及内存資(zī)源，更不會有不兼容的現象，由于其位于系統的最底層，其攔截能力也是其它軟件所無法比拟的，不足之處則是其設置不夠靈活和智能，不會詢問用戶。下(xià)面我(wǒ)們就來全面的了解一(yī)下(xià) 軟件限制策略。

本文将以以下(xià)幾方面爲重點來進行講解：

概述
附加規則和安全級别
軟件限制策略的優先權
規則的權限分(fēn)配及繼承
如何編寫規則
示例規則
1、概述

使用 軟件限制策略，通過标識并指定允許哪些應用程序運行，可以保護您的計算機環境免受不可信任的代碼的侵擾。通過 散列規則、證書(shū)規則、路徑規則和Internet 區域規則，就用程序可以在策略中(zhōng)得到标識。默認情況下(xià)，軟件可以運行在兩個級别上：“不受限制的”與“不允許的”。在本文中(zhōng)我(wǒ)們主要用到的是路徑規則和散列規則，而路徑規則呢則是這些規則中(zhōng)使用最爲靈活的，所以後文中(zhōng)如果沒有特别說明，所有規則指的都是路徑規則。

2、附加規則和安全級别

附加規則   
在使用 軟件限制策略 時，使用以下(xià)規則來對軟件進行标識：
證書(shū)規則
軟件限制策略可以通過其簽名證書(shū)來标識文件。證書(shū)規則不能應用到帶有 .exe 或 .dll 擴展名的文件。它們可以應用到腳本和 Windows 安裝程序包。可以創建标識軟件的證書(shū)，然後根據安全級别的設置，決定是否允許軟件運行。
路徑規則
路徑規則通過程序的文件路徑對其進行标識。由于此規則按路徑指定，所以程序發生(shēng)移動後路徑規則将失效。路徑規則中(zhōng)可以使用諸如 %programfiles% 或 %systemroot% 之類環境變量。路徑規則也支持通配符，所支持的通配符爲 * 和 ?。
散列規則
散列是唯一(yī)标識程序或文件的一(yī)系列定長字節。散列按散列算法算出來。軟件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根據文件的散列對其進行标識。重命名的文件或移動到其他文件夾的文件将産生(shēng)同樣的散列。
例如，可以創建散列規則并将安全級别設爲“不允許的”以防止用戶運行某些文件。文件可以被重命名或移到其他位置并且仍然産生(shēng)相同
的散列。但是，對文件的任何篡改都将更改其散列值并允許其繞過限制。軟件限制策略将隻識别那些已用軟件限制策略計算過的散列。
Internet 區域規則
區域規則隻适用于 Windows 安裝程序包。區域規則可以标識那些來自 Internet Explorer 指定區域的軟件。這些區域是 Internet、本地計算機、本地 Intranet、受限站點和可信站點。 
以上規則所影響的文件類型隻有“指派的文件類型”中(zhōng)列出的那些類型。系統存在一(yī)個由所有規則共享的指定文件類型的列表。默認情況
下(xià)列表中(zhōng)的文件類型包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以對于正常的非可執行的文件，例如TXT JPG GIF這些是不受影響的，如果你認爲還有哪些擴展的文件有威脅，也可以将其擴展加入這裏，或者你認爲哪些擴展無威脅，也可以将其删除。