除了應(yīng)用程序執(zhí)行規(guī)則的配置方式之外，還有其他兩種策略的配置方法。首先在管理Windows安裝程序?yàn)橹鞯摹癢indows Installer Rules”規(guī)則設(shè)置，大致上整個設(shè)置的步驟與方法，都是與應(yīng)用程序執(zhí)行規(guī)則的配置方法是一樣的，不過還是讓我們來看一下其中例外條件規(guī)則的設(shè)置部分。在“Exceptions”的頁面中，筆者新增了一個Publisher類型的例外條件規(guī)則。讓我們來看看其內(nèi)容設(shè)置部分。

接下來在“Publisher Exception”頁面中，如圖3所示必須點(diǎn)選“Browse”按鈕來加載要設(shè)置為例外條件的執(zhí)行程序（可以是同一支程序），然后將“Use custom values”項目勾選，接著您便可以考慮設(shè)置“File version”的域值，來決定哪一個版本以上或以下的程序來作為例外條件的設(shè)置。

圖3 設(shè)置例外條件

一旦我們完成了Windows安裝程序的規(guī)則新增設(shè)置之后，針對被設(shè)置為拒絕安裝的應(yīng)用程序，用戶在執(zhí)行時便會出現(xiàn)錯誤訊息：“系統(tǒng)禁用此安裝”。然而如果也有設(shè)置例外條件，則只要符合例外條件的規(guī)則定義，便可以順利執(zhí)行該程序的安裝，不過還是必須注意該使用者也要同時擁有安裝應(yīng)用程序在本機(jī)計算機(jī)的相關(guān)權(quán)限。

而對于路徑規(guī)則的設(shè)置，您可以發(fā)現(xiàn)惟一的不同地方在于在“Path”頁面中，可以點(diǎn)選“Browse Files”或“Browse Folders”按鈕來設(shè)置執(zhí)行程序的檔案或所在文件夾的路徑。至于如果是針對手稿程序（Script）的管理部分，則在“File Hash”頁面中，同樣可以點(diǎn)選“Browse Files”或“Browse Folders”按鈕來設(shè)置手稿執(zhí)行程序的檔案或所在文件夾的路徑。

從瀏覽手稿程序檔案的窗口中，可以清楚地看到在窗口右下角的文件類型下拉選單中，所支持的文件類型分別有PowerShell（*.ps1）、批 處 理文件（*.bat）、命令提示列程序文 件（*.cmd）、VB Script文件（*.vbs）以 及 Java Script文件（*.js）。

快速部署應(yīng)用程序運(yùn)行規(guī)則

由于客戶端的Windows 7計算機(jī)中目前已經(jīng)安裝的應(yīng)用程序相當(dāng)多，因此您可能會想了解是否有什么方法，可以更快速部署有關(guān)于應(yīng)用程序執(zhí)行的規(guī)則。

以Windows 7操作系統(tǒng)為模板，并且讓指定路徑下的所有應(yīng)用程序都能夠正常執(zhí)行，然后再來管理其他不允許執(zhí)行或安裝的應(yīng)用程序設(shè)置，則可以通過點(diǎn)選位于“動作”窗口中的“Automatically Generation Rules”，來開啟向?qū)гO(shè)置頁面。在此您可以分別設(shè)置所要加入允許規(guī)則中的文件夾（默認(rèn)值為C:Program Files）以及設(shè)置規(guī)則識別名稱。

在“Rule Preferences”頁面中，系統(tǒng)默認(rèn)的狀態(tài)下會以發(fā)行規(guī)則（Publisher rules）的設(shè)置方法來設(shè)置每一個探索到的應(yīng)用程序，但是如果發(fā)現(xiàn)的應(yīng)用程序沒有相關(guān)的發(fā)行信息時，則會自動改為哈希規(guī)則（File hash）方法來設(shè)置應(yīng)用程序規(guī)則。然而為了擔(dān)心所產(chǎn)生的規(guī)則項目數(shù)量太多的問題發(fā)生，在默認(rèn)的設(shè)置中也會自動將相似的檔案進(jìn)行群組分類方式來建立。

接下來可以在“Review Rules”頁面中，看到目前所準(zhǔn)備建立的規(guī)則數(shù)量、包括的程序檔案數(shù)量。您可以點(diǎn)選“Review files that analyzed”來檢測所有包括的檔案列表，在此窗口中便可以檢測到所有已被分析過的檔案清單。您還可以點(diǎn)選“View rules that will be automatically created”，來查看所有準(zhǔn)備建立的規(guī)則項目名稱以及相對的規(guī)則類型。

集中管理BitLocker移動儲存設(shè)備的保護(hù)策略

現(xiàn)今有許多企業(yè)想要集中管理業(yè)務(wù)以及研發(fā)人員，對于移動儲存設(shè)備的數(shù)據(jù)保護(hù)策略，以確保許多重要的機(jī)密信息不會因?yàn)檫@些設(shè)備的不慎遺失，而導(dǎo)致發(fā)生機(jī)密資料外流的安全問題。接下來讓我們來學(xué)習(xí)一下這方面的相關(guān)設(shè)置方法。

BitLocker是保護(hù)企業(yè)存儲數(shù)據(jù)的最佳解決方案，而在Windows 7中不僅可以針對本機(jī)計算機(jī)中固定的硬盤機(jī)進(jìn)行加密，還可以同時對U盤進(jìn)行加密保護(hù)。在群組策略的集中管理中，當(dāng)然也少不了對于BitLocker各項使用策略的管理。以下說明相關(guān)的設(shè)置方法。

在群組策略管理編輯器界面中，您可以點(diǎn)選“Computer Configuration→Policies→系統(tǒng)管理模板→Windows Components→Bitlocker Drive Encryption→ Removable Data Drives”，來設(shè)置各項針對移動存儲的管理策略。

首 先 在“Control use of BitLocker on removable drives”策略設(shè)置上，可以先將它設(shè) 置為啟 用（Enable），然后再到下方的選項設(shè)置中（Options）來決定是否要讓使用者能夠進(jìn)行對于U盤的BitLocker加密處理，以及允許對于已加密的BitLocker磁盤進(jìn)行暫停與解密的處理。

在“Configure use of Smart cards removable data drives”的項目設(shè)置部分，是否要強(qiáng)制使用者必須通過智能卡并且輸入正確的PIN碼之后，才能存取BitLocker的U盤。 在“Deny write access to removable drives not protected by BitLocker”策略設(shè)置部分，如圖4所示，只要將位于“選項”（Options）窗口中的項目勾選，則凡是被套用的Windows 7客戶端或Windows Server 2008 R2服務(wù)器，都無法將數(shù)據(jù)儲存到未使用BitLocker加密的U盤上，因?yàn)檫@些U盤都將會處于只讀狀態(tài)。

在“Configure use of passwords for removable drives”策略設(shè)置部分，一旦設(shè)置為啟用（Enable）之后，便可以在下方的選項（Options）窗口中，決定是否要求一組密碼來驗(yàn)證使用對于BitLocker的U盤存取，并且是否允許、不需要或是強(qiáng)制必須使用符合復(fù)雜度要求的密碼設(shè)置。此外，還可以設(shè)置最小密碼的長度。

圖4 管理寫入數(shù)據(jù)的策略

注意：如果需要強(qiáng)制使用者必須設(shè)置符合復(fù)雜度要求的密碼來保護(hù)BitLocker的U盤，則在安全性策略設(shè)置中的“密碼必須符合復(fù)雜度的要求”項目，也必須在啟用狀態(tài)（此設(shè)置默認(rèn)是啟用的）。

在“Choose how Bit Locker-protected removable drivers can be recovered”策略項目部分，可以讓我們管理是否能夠在受Bit Locker加密磁盤的遺失密鑰時，是否還能夠進(jìn)行加密磁盤的復(fù)原。首先在“Allow data recovery agent”啟用部分，可以決定是否要讓使用者可以儲存48位數(shù)的復(fù)原密碼或是256位的復(fù)原密鑰。

接著您可以決定是否要從BitLocker設(shè)置向?qū)ы撁嬷邢龔?fù)原選項，以及是否要儲存BitLocker復(fù)原信息到Active Directory Domain Services中。至于所要儲存的項目，可以包括復(fù)原密碼以及密鑰或是只有密碼信息。最后，您可以決定是否要在確認(rèn)復(fù)原信息已儲存至Active Directory Domain Services中的時候，才讓BitLokcer功能啟用。