如何禁止电脑打开组策略、停用组策略的方法
2014/3/27
Windows操作系统中的组策略是管理员为用户和计算机定义并控制程序、网络资源和操作系统行为的主要工具。通过使用组策略可以很方便的设置各种软件、计算机和用户的策略,但同时不正确的使用可能会导致操作系统异常等问题,严重时影响计算机正常使用,那么有什么办法能够禁止电脑打开组策略呢,一起来学习学习吧。
方法一:大势至USB控制系统
大势至USB控制系统是一款专为企业计算机量身打造管理软件,专注于保护计算机数据和系统的安全,在限制电脑USB接口领域处于行业领先地位。在此我们可以通过这个软件其中的一个功能来实现禁用电脑组策略,具体操作步骤如下:
首先百度搜索大势至USB控制系统下载并安装,在软件主界面勾选操作系统控制中的禁用组策略即可生效,然后修改软件密码并单击后台运行,这样可以保证软件不被退出或卸载(如下图)。
大势至USB控制系统禁用组策略
方法二:修改注册表
单击开始》运行,输入regedit进入注册表,然后左侧进入到HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC,修改RestrictToPermittedSnapins 值为1即可禁止。
如果要解除禁止,就改为0即可。
方法三:修改组策略
开始->运行->输入gpedit.msc->地计算机策略->用户设置->管理模板->windows组件->Microsoft management Console->受限的/许可的管理单元->组策略->右边找到“组策略对象编辑器”->已禁用
解禁的方法:使用注册表: 开始->运行->输入regedit->hkey_current_user\software\policies\microsoft\mms\{8fc0b734-a0e1-11d1-a7d3-0000f87571e3}->Restrict_run的值变为0.
在弹出对话框"下面在该文档中引用的管理单元受到组策略限制,请与您的管理员联系,获得详细信息,组策略对象编辑器."这也是限制了组策略,只要在注册表中找到:WINXP 专业版系统:Hkey_current_user\software\policies\microsoft\mmc\RestrictToPermittedSnapins 值变为0
总之,更改电脑操作系统配置需要格外小心,尤其是对于企业或学校的计算机,往往保存有重要资料,一旦发生泄漏或遗失,将造成很大影响,限制注册表、组策略的使用可以大大降低这些风险,大势至USB控制系统在这些方面做的比较专业且全面,非常适合于企业计算机安装使用。
一般的如果运行一个软件、让他处于运行状态,然后我们再去打开这个程序时就会提示我们“程序已启动或者不能重复启动此程序”,比如QQ对战平台 ,就限制一台机子启动两个QQ 对 战平台,那么他在C#中是如何实现的呢? 一般有两种方法,我是用的是第一种 方法1: 在项目的第一个窗体的启动事件中 如form1_load() 中添加如下语句 =================================这是什么分割线 ==================================== #region 判断系统是否已启动 System.Diagnostics.Process[] myProcesses = System.Diagnostics.Process.GetProcessesByName("这里是你的程序进程名");//获取指定的进程名 if (myProcesses.Length > 1) //如果可以获取到知道的进程名则说明已经启动 { MessageBox.Show("程序已启动!"); Application.Exit(); //关闭系统 } #endregion ================================================================================ === 好了 这样就可以达到防止用户第二次启动此程序的目的了 当然你也可以把它编辑成一个类 或生成一个dll文件 调用它。 方法2. 在项目的启动引导文件 Program.cs中加入判断语句 ============================================这是什么分割线 ================================================= using System.Linq; using System.Windows.Forms; namespace XiaoZhiSoft { static class Program { ///
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
如何禁止游戏运行 如果你使用的是Windows 2000/XP,可以在组策略中禁止用户运行指定的程序。以Windows 2000为例,启动Windows 2000组策略,依次展开“用户配置”→“管理模板”→“系统”子键,此时可以看到一个“不要运行指定的Windows应用程序”选项,双击该选项,在“策略”选项卡中选择“启用”选项,启动Windows 2000禁止运行指定应用程序的功能,单击“不允许的应用程序的列表”中的“显示”按钮,打开列表框,在列表框中单击“添加”,打开“添加项目”窗口,然后在该窗口中输入需要禁止运行的程序名(可以不输入路径),比方说要禁用注册表编辑器,则输入Regedit.exe,接着点击“确定”,即可禁止该应用程序的运行。如果有多个应用程序要禁用,只需重复上面的步骤,将所有需要禁止运行的应用程序都添加进去,最后单击“确定”按钮,关闭窗口,你的设置就生效了。此后,这些指定的应用程序就不能运行了。 搜狐游戏\Unwise.exe 泡泡游戏\Hall.exe 边锋网络游戏世界\asdegame.exe 浩方对战平台\GameClient.exe 中国游戏中心在线游戏\iGame.exe 互动竞技中心\cngame.exe QQ游戏\QQGame.exe CS1.5中文硬盘版\cstrike.exe -console CS1.6 中文版\cstrike.exe" QQ幻想\liveupdate.exe QQTang\Client.exe 传奇世界\woool.exe 大话西游2\xy2.exe 封神榜\FSOnline.exe 剑侠情缘\JXOnline.exe JxOnline2\Jxonline2.exe 街头篮球\FSBox.exe 劲乐团\O2Jam.exe 劲舞团 v1.6\patcher.exe 魔兽世界\World of Warcraft\Launcher.exe 泡泡堂\ca.exe 盛大富翁\INSTALL.LOG 联众世界\share\GLWorld.exe E块冒险\GameLobby.exe \仙境传说\RoClientPK.exe 宝贝Q\GameBuddy\GameBuddy.exe 飚车\CTRUpdate.exe 超级舞者\sdoupdate.exe 锤锤Online\ChuiChuiOnline\ChuiChuiOnlineLauncher.exe 刀剑Online\刀剑Online.exe 飞飞\FlyFF.exe
教你如何限制安装软件! 一运行gpedit.msc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定 策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开,将启动类型改为已禁止 这样子大多数安装程序就不能安装了,因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序,尤其是那些*msi的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户: gpedit.msc-计算机配置-WINDOWS设置-安全设置-用户权利指派下面有装载和卸载程序允许信任以委托 五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以 六设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了 启用多用户登录,为每个用户设置权限,最好只有管理者权限的才能安装程序 还有,你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的,然后设置上用户,给每个用户设置上权限
W i n d o w s组策略屏蔽U盘有妙法(图) Windows组策略屏蔽U盘有妙法(图) 笔者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U 盘。我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安 装驱动,U盘即插即用。 对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行的办法呢?经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。
实现条件 当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。 其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的 网络管理带来不便。 特别说明:这里介绍的方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供 一点借鉴。 基本原理
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.doczj.com/doc/df5562200.html, 这样的目录(如C:\Program Files\https://www.doczj.com/doc/df5562200.html,\Site Map https://www.doczj.com/doc/df5562200.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
在Windows 7禁止某个程序运行 时间:2010-11-09来源:Zhhuu 作者:Zhhuu 点击:725次 本技巧将展示如何在Windows 7系统阻止用户运行某个特定程序本技巧将展示如何在Windows 7系统阻止用户运行某个特定程序。 1.按Win+R键启动运行框,输入regedit并单击确定。进入 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer(如果没有就自己创建一个)(图1) 图1 2.右键单击右侧窗格并选择“新建→DWORD (32-位)值”。命名新值为DisallowRun(图2)。
图2 3.双击该值并将它的值更改为1。单击确定关闭对话框(图3)。 图3
4.在Explorer上右键单击并选择“新建→项”。该新项也命名为DisallowRun(图4)。 图4 5.右键单击右侧窗格并选择“新建→字符串值”(图5)。
图5 6.你可以命名为任何你喜欢的名称(例如:测试,程序1,程序2…)。双击它并输入你想要禁用的程序名称。(你必须包括exe扩展名。例如:chrome.exe)(图6) 图6 7.注销系统才能生效。当你启动该已禁用程序,你会得到这样的提示(图7): 图7 8.要恢复程序,只需简单地删除字符串值即可。 注:每个字符串值允许你禁用一个程序。你可以重复5、6步骤禁用更多程
序。 请确保你提供的程序的exe名称是正确的否则将无法正常工作。你可以通过右键单击其快捷方式找到正确的exe的名称,选择属性并看到目标(图8)。 图8 (责任编辑:Zhhuu)
龙源期刊网 https://www.doczj.com/doc/df5562200.html, Win10操作系统配置软件限制策略 作者:张志浩 来源:《科学与财富》2017年第28期 摘要:随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多,用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面,有人曾说,如果把 HIPS (Host-based Intrusion Prevention System ,基于主机的入侵防御系统)用的很好,就可以告别杀毒软件了。其实,在Windows中,如果能将组策略中的“软件限制策略”使用的很好,再结合NTFS权限和注册表权限限制,依然可以很淡定的告别杀毒软件。另一方面,由于组策略是原生于系统之上的,可能在底层与操作系统无缝结合,于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看,组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述:软件限制策略,目的是通过标识或指定应用程序,实现控制应用程序运行的功能,使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则,则可使得程序可以在策略中得到标识,其中,路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户:除本地管理员以外的所有用户。 启用限制策略在默认情况下,组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它: 1. 打开组策略编辑器:gpedit.msc 2.将树目录定位至:计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键,点选“创建软件限制策略”创建成功之后,组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则,应用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允
修改注册表或组策略,禁止运行指定程序 对于windows 专业版,可以在组策略里面操作,禁止运行指定的程序: 运行gpedit.msc ,启动组策略,打开“用户配置”→“管理模板”→“系统”; 点击“系统”目录,在右边窗口中找到“不要运行指定的windwos应用程序”,双击打开,进入“不要运行指定的windwos应用程序属性”窗口; 选中“已启用”,再点击“显示”按钮,进入“显示内容”窗口,点击“添加”按钮; 在“添加项目”窗口中,输入应用程序的准确名称:如QQ.EXE 等等。确定,返回“组策略”主界面。或这再次点击“添加”按钮,添加下一个程序。 如果是Home家庭版,没有组策略,需要在注册表里面操作,方法如下: 注册表里面,相关的键项是 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex plorer\DisallowRun 如果没有这个键项,就手动添加这个键项。 在右边窗口新建字符串值,数值为准备禁止的程序名称。 或者,把以下内容修改一下,就是把"1"="xxxxx.exe" 里面的xxxxx修改成需要禁止的程序名,比如,如果要禁用QQ程序,就设置为: "1"="QQ.exe" 等; 如果要继续禁用其他程序,比如,还要禁用QQ游戏程序,在"1"="QQ.exe" 下
添加一行,把1改为2 ……,把QQ.exe改成其他程序,如下例所示:"2"="QQGame.exe" 然后,把以下蓝色文字内容拷贝到记事本里面,另存为DisallowRun.reg文件(或者先保存为DisallowRun.txt文件,然后修改后缀.txt为.reg 。 在文件夹选项,查看里面,把“隐藏已知文件类型的扩展名”取消,才可以修改后缀),注意,其中的xxxxx表示需要禁止的程序的名字,然后,双击这个DisallowRun.reg文件导入注册表即可生效,QQ或QQ游戏就无法打开了: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer\DisallowRun] "1"="xxxxx.exe"
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
通过组策略可以实现禁止安装软件,当然通过注册表也是可以实现的,现发2个注册表文件来实现软件的禁止安装与否,有兴趣的可以下载,不需要钱的,放心好了。不想下载的话,也可以自己做一个REG文件。方法如下,新建一个TXT文档,把这些:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头,最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源:自由天空技术论坛,原文链接:https://www.doczj.com/doc/df5562200.html,/thread-14291-1-1.html 使用方法:将下述代码保存为:*.bat ,*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg
Windows 中有了组策略对象后,就有了下面这个让您隐藏指定的驱动器的选项:隐藏“我的电脑”中的这些指定的驱动器。但是,可能只需要隐藏某个驱动器而保留对其他驱动器的访问。 有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象(GPO) 的System.adm 文件来添加其他限制。七个默认选项是: 仅限制驱动器A、B、C 和D 仅限制驱动器A、B 和C 仅限制驱动器A 和 B 限制所有驱动器 仅限制驱动器C 只限制D 驱动器 不限制驱动器 Microsoft 建议您不要更改System.adm 文件,而要创建一个新的.adm 文件并将此.adm 文件导入到GPO 中。原因是:如果您要对system.adm 文件应用更改,则当Microsoft 在Service Pack 中发布新版本的system.adm 文件时,这些更改可能会被覆盖。 “Implementing Registry-Based Group Policy”(实现基于注册表的组策略)这一白皮书介绍了如何编写自定义.ADM 文件。要查看此白皮书,请访问下面的Microsoft 网站:https://www.doczj.com/doc/df5562200.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppape r.doc (https://www.doczj.com/doc/df5562200.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppap er.doc) 默认域策略的System.adm 文件的默认位置是:%SystemRoot%\Sysvol\Sysvol\YourDomainName\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm 这些文件夹的内容会通过文件复制服务(FRS) 复制到整个域中。注意,Adm 文件夹及其内容直到默认域策略首次加载时才填充。 要为七个默认值之一更改此策略,请执行下面的操作步骤: 启动Microsoft 管理控制台。在“控制台”菜单上,单击添加/删除管理单元。 为默认域策略添加组策略管理单元。为此,在屏幕提示您选择组策略对象(GPO) 时,请单击浏览。默认GPO 是本地计算机。您也可以为其他的域分区(具体来说就是组织单位)添加GPO。 打开下面的区域:用户配置、管理模板、Windows 组件和Windows 资源管理器。 单击“隐藏‘我的电脑’中的这些指定的驱动器”。 单击以选中“隐藏‘我的电脑’中的这些指定的驱动器”复选框。 在下拉框中,单击相应的选项。 这些设置会从“我的电脑”、“Windows 资源管理器”和“网上邻居”中删除代表所选硬盘的图标。另外,这些驱动器不会出现在任何程序的打开对话框中。 此策略用于保护某些驱动器(包括软盘驱动器),防止它们被滥用。它也可以用于指引用户
禁止电脑开机时软件自动启动的两种方法 编外:如果安装了360等安全辅助工具的话操作更加方便。 中关村在线 摘要:大家通常会感觉到新装的电脑在使用了一段时间后,会变得越来越慢,特别是开机的时候。这是因为安装了很多软件后,这些软件会自动加载在开机时启动。启动项增多,不仅影响启动速度,而且占用资源。既然我们知道了其中的原由,就有办法解决禁止软件的自动启动。 很多朋友通常会感觉到新装的电脑在使用了一段时间以后,就会变得越来越慢,特别是在开机的时候,要等好几分钟才能对电脑进行操作。这是因为我们在安装了很多软件以后,这些软件就会自动加载在开机的时候启动。这样,久而久之我们安装的软件越来越多开机启动程序也就跟着增多,这样不仅影响机器的启动速度,而且非常占用系统资源,使得整机的性能都下降,这是我们不愿意看到的。 既然我们知道了其中的原由,就有办法解决禁止软件的自动启动。目前常用的方法有:用Windows命令禁止;直接修改注册表。那么就让我们分别来看一下。 一、用Windows命令禁止软件的自动启动 这个方法相对来说就比较简单一些。点击“开始”—“运行”(或者直接用WIN+R也可以),接着输入“msconfig”敲回车(如图1)。在系统配置实用程序的窗口中选择“启动”的页面(如图2)。同样,在这里列出了很多开机时候自动启动的程序,你可以把它们前面的小勾取消就可以了,点确定。接着,系统会提示你是否要重新启动,因为只有重新启动以后才能生效。
图1 图2 二、修改注册表彻底禁止软件的自动启动 有的朋友常会发现,明明禁止了某软件的启动,可是它有自动加载了,很是烦人(如R ealplayer)。遇到这种情况我们可以用修改注册表来彻底禁止软件的自动启动。这种方法一般不推荐刚刚接触电脑的新手,因为稍有不慎你就可能出错,从而使系统出错而崩溃。 点击“开始”—“运行”输入“regedit”打开注册表编辑器,切换到 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun先清理掉你不想启动的程序,注意不要乱删。 然后在Run上点右键—权限—高级—添加—输入everyone—确定。然后把设置数值的拒绝勾上(其他都不要勾,这样不会影响到你想要启动的程序)然后确定。同样的方法把H KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun也搞定。 这样,任何软件都无法自动添加到启动了。除非你想,只要删掉权限里面的everyon e即可。这样还可以从一定程度上防止木马程序,因为大多数木马也是加在这里,无法随系统启动当然也无法搞破坏了。
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
关于软件限制策略以及权限的研究 说是研究,其实也就是对相关方面内容的一个汇总,并加入细节方面的实践性分析。 首先,我们打开组策略中一个隐藏开关,开启“基本用户”和“受限的”权限类型。 具体做法:打开注册表编辑器,展开至 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 新建一个DOWRD,命名为Levels,其值可以为 0x10000 //增加受限的 0x20000 //增加基本用户 0x30000 //增加受限的,基本用户 0x31000 //增加受限的,基本用户,不信任的(不信任和不允许差不了多少) 建议设成0x30000或0x31000。 或者有人抱怨软件限制策略不够灵活,其实打开受限的、基本用户之后,情况就会大大的不同。 在建立策略之前,我们先要了解一下软件限制策略的权限类型和规则的优先级。 1.权限类型:不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的(以权限的高低排序,与优先级无关) 2.绝对路径 > 通配符相对路径(以优先级高低排序,下同) 如 C:\Windows\explorer.exe > *\Windows\explorer.exe 3.文件规则 > 目录规则 如若a.exe在Windows目录中,那么 a.exe > C:\Windows 4.环境变量 = 相应的实际路径 = 注册表键值路径 如%ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir %