一、禁止USB存储设备、光驱、软驱、ZIP软驱
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击https://www.doczj.com/doc/074923778.html,→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。
第六步:右键点击“管理模板”→“查看”→“筛选”。
在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾
再点击“确定”按钮返回“组策略编辑器”画面。
第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”
第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB”属性对话框。
我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。
注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate/force
/force””来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled
Enabled””,否则你做的策略是不会生效的。
此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框,我们可以看到“Disable USB”状态已经变为
“已启用”,关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。
二、禁止访问注册表编辑器工具
到了这里我想提醒大家一句,因为企业环境不同,有些客户端给的权限也一样,那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口(虽然有朋友会说策略默认刷新间隔时间是5分钟,我们可以通过修改为0,是每7秒刷新一次,但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。),为此我们可以通过建立“禁止访问组册表”策略来弥补。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击https://www.doczj.com/doc/074923778.html,→点击“创建并链接(GPO)”→输入组策略名称“禁止访问注册表”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。
第三步:右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。
好的下面我们来验证下我们策略的效果,因为我们做的是计算机策略,我们首先在DC上运行“GPupdate/force”命令然再到客户端计算机重启计算机来应用该策略。此时我们发现我们在客户端计算机点击开始→运行输入“Regdiet”则会提示如下图所示:
到此我们“禁止注册表”策略已经完成。
三、破解“禁止注册表编辑器工具”
这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略,的确,这里我可以明确告诉大家有些网络的方法后缀名名.reg的就不要想在系统中运行了,但是可以在该文中下载名为“reg.inf”的文件可以破解此策略。如果大家有什么更好的办法来禁止破解“禁止访问注册表”方法,大家也可以再次留言一起讨乱学习。
一般的如果运行一个软件、让他处于运行状态,然后我们再去打开这个程序时就会提示我们“程序已启动或者不能重复启动此程序”,比如QQ对战平台 ,就限制一台机子启动两个QQ 对 战平台,那么他在C#中是如何实现的呢? 一般有两种方法,我是用的是第一种 方法1: 在项目的第一个窗体的启动事件中 如form1_load() 中添加如下语句 =================================这是什么分割线 ==================================== #region 判断系统是否已启动 System.Diagnostics.Process[] myProcesses = System.Diagnostics.Process.GetProcessesByName("这里是你的程序进程名");//获取指定的进程名 if (myProcesses.Length > 1) //如果可以获取到知道的进程名则说明已经启动 { MessageBox.Show("程序已启动!"); Application.Exit(); //关闭系统 } #endregion ================================================================================ === 好了 这样就可以达到防止用户第二次启动此程序的目的了 当然你也可以把它编辑成一个类 或生成一个dll文件 调用它。 方法2. 在项目的启动引导文件 Program.cs中加入判断语句 ============================================这是什么分割线 ================================================= using System.Linq; using System.Windows.Forms; namespace XiaoZhiSoft { static class Program { ///
【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏共享文件夹,即在共享名字后加$符号。 三、创建组策略对象
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
如何禁止游戏运行 如果你使用的是Windows 2000/XP,可以在组策略中禁止用户运行指定的程序。以Windows 2000为例,启动Windows 2000组策略,依次展开“用户配置”→“管理模板”→“系统”子键,此时可以看到一个“不要运行指定的Windows应用程序”选项,双击该选项,在“策略”选项卡中选择“启用”选项,启动Windows 2000禁止运行指定应用程序的功能,单击“不允许的应用程序的列表”中的“显示”按钮,打开列表框,在列表框中单击“添加”,打开“添加项目”窗口,然后在该窗口中输入需要禁止运行的程序名(可以不输入路径),比方说要禁用注册表编辑器,则输入Regedit.exe,接着点击“确定”,即可禁止该应用程序的运行。如果有多个应用程序要禁用,只需重复上面的步骤,将所有需要禁止运行的应用程序都添加进去,最后单击“确定”按钮,关闭窗口,你的设置就生效了。此后,这些指定的应用程序就不能运行了。 搜狐游戏\Unwise.exe 泡泡游戏\Hall.exe 边锋网络游戏世界\asdegame.exe 浩方对战平台\GameClient.exe 中国游戏中心在线游戏\iGame.exe 互动竞技中心\cngame.exe QQ游戏\QQGame.exe CS1.5中文硬盘版\cstrike.exe -console CS1.6 中文版\cstrike.exe" QQ幻想\liveupdate.exe QQTang\Client.exe 传奇世界\woool.exe 大话西游2\xy2.exe 封神榜\FSOnline.exe 剑侠情缘\JXOnline.exe JxOnline2\Jxonline2.exe 街头篮球\FSBox.exe 劲乐团\O2Jam.exe 劲舞团 v1.6\patcher.exe 魔兽世界\World of Warcraft\Launcher.exe 泡泡堂\ca.exe 盛大富翁\INSTALL.LOG 联众世界\share\GLWorld.exe E块冒险\GameLobby.exe \仙境传说\RoClientPK.exe 宝贝Q\GameBuddy\GameBuddy.exe 飚车\CTRUpdate.exe 超级舞者\sdoupdate.exe 锤锤Online\ChuiChuiOnline\ChuiChuiOnlineLauncher.exe 刀剑Online\刀剑Online.exe 飞飞\FlyFF.exe
用组策略统一部署Bginfo软件(显示计算机信息到桌面) 下面来说说如何在企业内部使用组策略统一部署Bginfo的: 1.下面是主程序的界面图 中间蓝色部分就是显示项,左边的设置项是可以更改的,比如改成中文; <>内的不可修改,fields下面就是显示设置的可选项 2.清空蓝色区域,在fields中选择要在工作站桌面上显示的内容,我选择的是Host Name和IP Address,并将字体大小,颜色等设置完毕 3.另存当前的配置文件”File”->”Save as”这里保存为bginfo.bgi 4.建立两个批处理,内容如下: copyfile.bat ------------------------------------------------------------------------- @echo off copy %logonserver%\netlogon\bginfo.exe %systemroot%\bginfo.exe bginfo.bat --------------------------------------------------------------------------- @echo off
bginfo.exe %logonserver%\netlogon\bginfo.bgi /nolicprompt /timer:0 5.把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件,拷贝到%logonserver%\netlogon目录下。 6.通过组策略管理器(GPMC),编辑或新建的一个组策略(OU组织单位),在"计算机配置"选择"windows设置","脚本(启动/关机)",在"启动"中添加copyfile.bat文件(把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件复制到“显示文件”按钮点开的文件夹内,按添加把copyfile.bat文件选中); 7.在计算机配置中选择 "windows设置","安全设置",右键点击"文件系统",选择"添加文件",在打开的窗口中输入 “%systemroot%bginfo.exe”,并将上两项的user权限改为可读写。(让域用户有权限将bginfo.exe复制到系统目录中,默认是只有读取权限的。如省略此步骤,工作站在登录时可能出现文件不能成功创建的错误信息)
组策略分发Adobe Reader 10教程 1,实验环境 域控:Windows Server 2008 R2 客户端:Windows XP SP3 32位 Adobe Reader版本:10.1.4 2,获取分发Adobe Reader的许可协议 按照Adobe公司的要求,分发Adobe Reader需要取得许可,仅为形式上的东西,申请网址为https://www.doczj.com/doc/074923778.html,/cn/products/reader/distribution.html?readstep,申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader,免费的。 3,下载Adobe Reader msi包 官方下载地址:ftp://https://www.doczj.com/doc/074923778.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载,所以我们需先下载Adobe Reader 10.1.0的msi包,下载目录ftp://https://www.doczj.com/doc/074923778.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/,对于网内有中英文电脑的酒店,都可下载此中文安装包,只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示,单语言安装包只有66.8M,而多语言安装包有140多M,安装单语言安装包将快得多。然后在目录 ftp://https://www.doczj.com/doc/074923778.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4,下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址:https://www.doczj.com/doc/074923778.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等,后面将详细介绍。 5,安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package,打开之前下载的Adobe Reader 10.1.0的msi包,请勿在msi包上单击右键选择Adobe Customization Wizard X用打开,这样打开将报错,弄得我还以为是电脑有问题。 6,生成MST文件 可参考如下文档 https://www.doczj.com/doc/074923778.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf,接下来我将简单介绍几个实用的修改。
教你如何限制安装软件! 一运行gpedit.msc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定 策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开,将启动类型改为已禁止 这样子大多数安装程序就不能安装了,因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序,尤其是那些*msi的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户: gpedit.msc-计算机配置-WINDOWS设置-安全设置-用户权利指派下面有装载和卸载程序允许信任以委托 五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以 六设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了 启用多用户登录,为每个用户设置权限,最好只有管理者权限的才能安装程序 还有,你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的,然后设置上用户,给每个用户设置上权限
利用组策略来发布和指派软件 1、分发具备的条件: A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展:软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤: A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO(组策略容器) 注意:默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有:发布和指派注意区别 1、指派方式有两种:指派给计算机和指派给用户; (1)指派给计算机:计算机启动时软件会自动安装在计算机里; 安装目录:Documents and setting\All User (2)指派给用户:不会自动安装软件本身 只安装软件相关部分信息,如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能(document activation) 2、发布方式:只有发布给用户,不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装(注意:要有权限,是域的管理员可以安装,本地的管理员不行,或者设置策略来进行软件的安装) 下面就开始做实验:
1、打开域控制器,我就用callcenter.21cn.local来举例。如图:1-1 1-1 2、新建一个组织,命名为“callcneter”,如图:1-2 1-2
3、点击“callcenter”属性,然后点击“组策略”选项卡,点击“新建”>>,创建一个“组策略对象链接”命名为“deng”如图:1-3 1-3 4、点击“编辑”,如图:1-4 1-4
软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组:用来选择需要控制的群组,最多可以控制80个群组。 2.电脑:用来选择群组中需要控制的计算机,一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表:列出所有收集到的安装Max-User 计算机相关信息及状态;包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输:列出正在进行文件传输的计算机及状态。 5.网络唤醒排程:设定(新增、删除、修改)控制排程和设定(新增、删除、 修改)触发事件,主要用于在保护系统的系统保护。 6.帮助:提供电子版本的帮助文件。 7.关于:公司服务电话及Email。 8.离开:退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘
1.输入被控端管理员密码: 需要输入正确的密码才能对安装MaxUser的计算机进行控制,该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘: 此处显示的操作系统为当前用户使用的操作系统的名称,同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID,用于读取安装网络客户端程序的计算机状态,同时在主窗口界面中显示出来,用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下,请选择按保护系统信息收集;若被控机已经进入Windows 操作系统状态下,请选择按操作系统信息收集。 2.网络唤醒: 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开,并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒:公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启: 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框: 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出,由于以上功能均需要使被控端计算机重启或关机,因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息,同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
1.隐藏电脑的驱动器 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\启用后,发现我的电脑里的磁盘驱动器全不见了,但在地址栏输入盘符后,仍然可以访问,如果再把下面的防止从“我的电脑”访问驱动器设置为启用,在地址栏输入盘符就无法访问了,但在运行里直接输入cmd,在Dos下仍然可以看见,接下来就是把CMD命令也禁用了。 位置:用户配置\\管理模板\\系统\\ 2.禁用注册表 位置:用户配置\\管理模板\\系统\\ 3.禁用控制面板 位置:用户配置\\管理模板\\系统\\ 如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看Windows\\System32里以cpl结尾的文件。 4.隐藏文件夹 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项, 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\ 5.关闭缩略图缓存 有时我们在文件夹中放过图片,后来移除了,但以缩略图缓存仍然能被其他人读取。 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器 6.去除开始菜单中的“文档”菜单 开始菜单中的文档一栏,会记载我们曾经编辑过的文档,我们可以去掉这个菜单: 位置:用户配置\\管理模板\\Windows组件\\任务栏和“开始”菜单 7.隐藏…屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护,但很容易被人修改,我们可以隐藏这一选项。 用户配置\\管理模板\\控制面板\\显示。 8.禁止更改TCP/IP属性 我们设定的IP地址可能会被更改,那么只要关闭它的属性页就可以了。 位置:用户配置\\管理模板\\网络\\网络连接 把下面两项设为启用。 9.删除任务管理器 可别小看了任务管理器,它除了可以终止程序、进程外还可以重启、关机,搜索程序的执行文件名,及更改程序运行的优先顺序。 位置:用户配置\\管理模板\\系统\\C trl+Alt+Del选项\\ 10.禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。
AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序: ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时,安装过程最终完成。如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时,安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时,发布的程序会显示在“添加或删除程序”对话框中,并且可以从这里安装。 注意:Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序,必须在发布服务器上创建一个分发点: 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹,将您要分发的 Microsoft Windows 安装程序包(.msi 文件)放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如,要分发 Microsoft Office XP,请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO),请执行以下操作: 1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 2. 在控制台树中,右键单击您的域,然后单击“属性”。 3. 单击“组策略”选项卡,然后单击“新建”。 4. 为此新策略键入名称(例如,Office XP 分发),然后按 Enter。
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.doczj.com/doc/074923778.html, 这样的目录(如C:\Program Files\https://www.doczj.com/doc/074923778.html,\Site Map https://www.doczj.com/doc/074923778.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
域环境通过组策略分发软件给客户端
域环境通过组策略分发软件给客户端 通常情况下,我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦)。通过在组策略的“计算机配置”中的“软件安装中,点击右键,如何选择程序包,通过UNC路径(注意了哦:这个是网络路径,所以,管理员必须把此软件共享出去)找到程序位置。如何,选择"已指派"就可以了。当然,在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有?在发布好软件后,选择软件里面的属性,查看“部署”,可以看见“指派”与“发行”两个选项(计算机配置中,发行为灰色)。所以,这里有就有三种软件部署的方法了: 1、发行给用户 2、指派给用户 3、指派给计算机 下面,来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时,软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式,用户再任何一台电脑登陆域,都可以在开始菜单与桌面上看到软件的快捷方式。同时,计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时,计算机就会自动下载安装次软件。但与发行给用户不同的是,用户可以删除此软件,但是,下次登陆时,它还是会出现,意思是说,它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式,用户不用手动执行,计算机会在启动时,自动下载并安装此软件。用户不能删除此软件,只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员
用组策略部署软件,省心又省力! 责任编辑:李鹏作者:姜磊福 2006-06-20 【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.doczj.com/doc/074923778.html,/下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
在Windows 7禁止某个程序运行 时间:2010-11-09来源:Zhhuu 作者:Zhhuu 点击:725次 本技巧将展示如何在Windows 7系统阻止用户运行某个特定程序本技巧将展示如何在Windows 7系统阻止用户运行某个特定程序。 1.按Win+R键启动运行框,输入regedit并单击确定。进入 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer(如果没有就自己创建一个)(图1) 图1 2.右键单击右侧窗格并选择“新建→DWORD (32-位)值”。命名新值为DisallowRun(图2)。
图2 3.双击该值并将它的值更改为1。单击确定关闭对话框(图3)。 图3
4.在Explorer上右键单击并选择“新建→项”。该新项也命名为DisallowRun(图4)。 图4 5.右键单击右侧窗格并选择“新建→字符串值”(图5)。
图5 6.你可以命名为任何你喜欢的名称(例如:测试,程序1,程序2…)。双击它并输入你想要禁用的程序名称。(你必须包括exe扩展名。例如:chrome.exe)(图6) 图6 7.注销系统才能生效。当你启动该已禁用程序,你会得到这样的提示(图7): 图7 8.要恢复程序,只需简单地删除字符串值即可。 注:每个字符串值允许你禁用一个程序。你可以重复5、6步骤禁用更多程
序。 请确保你提供的程序的exe名称是正确的否则将无法正常工作。你可以通过右键单击其快捷方式找到正确的exe的名称,选择属性并看到目标(图8)。 图8 (责任编辑:Zhhuu)
需要注意的是已发布的方法只能部署到用户,不能部署到计算机上,也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证: 1、当用户登录计算机时,软件并不会自动安装,只有当用户双击与应用程序关联的文件时,软件才会自动安装。如我们双击一个ppt 文档或doc文档时,会自动安装OFFICE。 2、对于发布的软件,用户可以在控制面板中的“添加/删除”中安装或者删除,也就是说用户自己可以安装,也可以卸载。 这种部署方法的好处在于,对于一些不能确定使用用户的软件,可以以发布方法部署,是否安装由用户自己决定。 配置方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已发布”。
已指派的方法可以将软件部署给用户和计算机,也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证: 1、软件对用户总是可用的,不管用户从哪一台计算机登陆,软件都将会在开始菜单或桌面上出现,但这时软件并没有被安装,只有在用户双击应用程序图标或与应用程序关联的文件时,软件才会被安装。 2、如果用户删除了安装的软件,哪么当用户下次登录时软件还会出现在开始菜单或是桌面上,并在用户双击关联文件时被激活安装。 这种部署的好处在于,对于一些不常用的,但某些人却必须要使用的软件我们没有必要在每台计算机都安装,只要指派给需要的用户,不管这个用户在哪台计算机上操作,都能保证要使用的软件是可用的。 方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证: 1、对于被指派的计算机,软件总是可用的,无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装,而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件,只有管理员才可以。 这种部署方法的好处在于,可以将一些大家都要用到的软件指派给计算机,被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤,只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后,可以修改待部署的软件包的选项以适应我们的需要: 1、点击软件安装,在右边找到待部署的软件包,点击右键选择属性,在出现的对话框中选择部署,如图。
龙源期刊网 https://www.doczj.com/doc/074923778.html, Win10操作系统配置软件限制策略 作者:张志浩 来源:《科学与财富》2017年第28期 摘要:随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多,用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面,有人曾说,如果把 HIPS (Host-based Intrusion Prevention System ,基于主机的入侵防御系统)用的很好,就可以告别杀毒软件了。其实,在Windows中,如果能将组策略中的“软件限制策略”使用的很好,再结合NTFS权限和注册表权限限制,依然可以很淡定的告别杀毒软件。另一方面,由于组策略是原生于系统之上的,可能在底层与操作系统无缝结合,于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看,组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述:软件限制策略,目的是通过标识或指定应用程序,实现控制应用程序运行的功能,使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则,则可使得程序可以在策略中得到标识,其中,路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户:除本地管理员以外的所有用户。 启用限制策略在默认情况下,组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它: 1. 打开组策略编辑器:gpedit.msc 2.将树目录定位至:计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键,点选“创建软件限制策略”创建成功之后,组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则,应用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允