【组策略高级应用第1篇】软件限制策略：只允许运行公司白名单软件

系列：爱依航 · Windows Server 2022 组策略实战系列

本篇主题：软件限制策略配置

开篇：软件白名单管控

公司要求：员工只能运行公司批准的软件，其他一律禁止。

软件限制策略可以实现这个需求。

Part 1 · 创建 GPO

打开 gpmc.msc → 新建 GPO，名称：软件限制策略

Part 2 · 创建安全级别

右键 GPO → 编辑，路径：

计算机配置
  └─ 策略
      └─ Windows 设置
          └─ 安全设置
              └─ 软件限制策略

如果显示"没有定义软件限制策略"，右键 → 新建软件限制策略

安全级别说明

• 不受限 — 允许运行
• 不允许 — 禁止运行

默认安全级别设为"不允许"，然后通过规则添加白名单。

Part 3 · 添加例外规则

展开"其他规则"，右键 → 新建路径规则

添加允许的程序路径：

C:\Program Files\Microsoft Office\*
C:\Windows\*
C:\Program Files\Google\Chrome\*

每个规则的安全级别设为"不受限"。

小结

软件限制策略实现白名单管控，但配置复杂。

推荐使用 AppLocker（下一篇）。