Windows Server软件限制策略(SRP)配置

以下是 Windows Server 软件限制策略（SRP）的详细配置指南，基于组策略和本地安全策略实现应用程序控制：

一、策略基础配置‌

启用路径‌

组策略管理‌：计算机配置 > 策略 > Windows设置 > 安全设置 > 软件限制策略[1][4]^^。
本地安全策略‌：适用于独立计算机，路径与组策略一致[2][5]^^。

默认安全级别‌

不受限‌：允许所有程序运行（默认状态）[1][4]^^。
不允许‌：仅运行显式允许的程序（需配合规则使用）[2][5]^^。
二、规则类型与配置‌
1. 路径规则‌
作用‌：限制特定目录下的程序执行（如邮件客户端临时目录）[2][5]^^。
配置示例‌：
路径：%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\*
安全级别：不允许（阻止病毒从邮件附件运行）[5]^^。
2. 哈希规则‌
作用‌：通过文件哈希值精确控制程序运行[1][4]^^。
适用场景‌：防止恶意程序即使重命名或移动路径仍被拦截[4]^^。
3. 证书规则‌
作用‌：信任特定发布者签名的程序[1][4]^^。
企业应用‌：确保仅运行经过内部签名的软件[4]^^。
4. 网络区域规则‌
作用‌：限制从特定网络区域（如Internet）下载的代码执行[1][4]^^。
三、高级配置建议‌
与AppLocker协同‌
Windows Server 2008 R2 及以上版本可结合 AppLocker 增强控制粒度[2][4]^^。
策略继承‌
域环境中通过组策略优先级（GPO）实现分层控制[1][4]^^。
例外处理‌
为系统关键路径（如C:\Windows\*）添加允许规则，避免系统故障[1][5]^^。
四、注意事项‌
兼容性‌：SRP 对脚本（如 PowerShell、VBS）和可执行文件均有效，但对现代应用（UWP）支持有限[1][4]^^。
日志监控‌：通过事件查看器追踪策略触发的拦截事件（事件ID 865-867）[4]^^。
测试环境‌：生产环境部署前需在非关键系统验证策略影响[5]^^。

如需进一步优化，可参考 Microsoft SRP 技术文档[4]^^。