有越來越多的軟體發行者及應用程式開發人員選擇使用軟體簽章,以確認其應用程式來自受信任的來源。然而,許多使用者並不了解,或是鮮少注意與他們所安裝之應用程式相關的簽章憑證。
憑證路徑驗證原則之 [受信任的發行者] 索引標籤中的原則設定,可讓系統管理員控制可接受哪些來自受信任之發行者的憑證。
這個主題包括下列工作的程序:
設定本機電腦之受信任的發行者原則設定
若要完成此程序,至少需要 Administrators 群組成員資格。
 | 設定本機電腦之受信任的發行者原則設定 |
按一下 [開始],在 [搜尋程式及檔案] 方塊中輸入 gpedit.msc,然後按 ENTER。
在 [本機電腦原則\電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [受信任的發行者] 索引標籤。
選取 [定義這些原則設定] 核取方塊後,選取您要套用的原則設定,然後按一下 [確定] 套用新設定。
設定網域之受信任的發行者原則設定
若要完成此程序,至少需要 Domain Admins 群組成員資格。
| 設定網域之受信任的發行者原則設定 |
按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員]。
按一下 [功能摘要] 下的 [新增功能]。選取 [群組原則管理] 核取方塊後按 [下一步],然後按一下 [安裝]。
等到 [安裝結果] 頁面顯示已順利安裝群組原則管理主控台 (GPMC) 後,按一下 [關閉]。
按一下 [開始],並指向 [系統管理工具] 後,再按一下 [群組原則管理]。
在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] 群組原則物件 (GPO) 的樹系和網域中,按兩下 [群組原則物件]。
在 [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。
在 [電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [受信任的發行者] 索引標籤。
選取 [定義這些原則設定] 核取方塊後,選取您要套用的原則設定,然後按一下 [確定] 套用新設定。
僅允許系統管理員管理用於本機電腦程式碼簽署的憑證
若要完成此程序,至少需要 Administrators 群組成員資格。
| 僅允許系統管理員管理用於本機電腦程式碼簽署的憑證 |
按一下 [開始],在 [搜尋程式及檔案] 方塊中輸入 gpedit.msc,然後按 ENTER。
在 [預設網域原則] 或 [本機電腦原則] 下的在主控台樹狀目錄中、按兩下 [電腦設定]、[Windows 設定] 及 [安全性設定],然後按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [受信任的發行者] 索引標籤。
選取 [定義這些原則設定] 核取方塊。
按一下 [受信任的發行者管理] 下的 [僅允許所有的系統管理員管理受信任的發行者],然後按一下 [確定] 套用新設定。
僅允許系統管理員管理用於網域程式碼簽署的憑證
若要完成此程序,至少需要 Domain Admins 群組成員資格。
| 僅允許系統管理員管理用於網域程式碼簽署的憑證 |
按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員]。
按一下 [功能摘要] 下的 [新增功能]。選取 [群組原則管理] 核取方塊後按 [下一步],然後按一下 [安裝]。
等到 [安裝結果] 頁面顯示已順利安裝 GPMC 後,按一下 [關閉]。
按一下 [開始],並指向 [系統管理工具] 後,再按一下 [群組原則管理]。
在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] (GPO) 的樹系和網域中,連按兩下 [群組原則物件]。
在 [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。
在 [電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [受信任的發行者] 索引標籤。
選取 [定義這些原則設定] 核取方塊後,執行您要的變更,然後按一下 [確定] 套用新設定。
其他參考資料