组策略限制程序运行
使用组策略限制软件运行示例
导读注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容:理论部分:1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限规则部分:5.如何用软件限制策略防毒(也就是如何写规则)6.规则的示例与下载其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。
如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。
我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。
或者有人问:为什么不用散列规则散列规则可以防病毒替换白名单中的程序,安全性不是更好么?一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了?一.环境变量、通配符和优先级关于环境变量(假定系统盘为 C盘)?%USERPROFILE%表示 C:\Documents and Settings\当前用户名?%HOMEPATH% 表示 C:\Documents and Settings\当前用户名%ALLUSERSPROFILE%表示 C:\Documents and Settings\All Users%ComSpec%表示 C:\WINDOWS\System32\?%APPDATA%表示 C:\Documents and Settings\当前用户名\Application Data?%ALLAPPDATA%表示 C:\Documents and Settings\All Users\Application Data?%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT%表示 C:\WINDOWS?%WINDIR% 表示 C:\WINDOWS?%TEMP% 和 %TMP%表示 C:\Documents and Settings\当前用户名\Local Settings\Temp?%ProgramFiles%表示 C:\Program Files?%CommonProgramFiles%表示 C:\Program Files\Common Files?关于通配符:Windows里面默认* :任意个字符(包括0个),但不包括斜杠:1个或0个字符几个例子*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用我们企业网络中,经常会出现有用户使用未授权软件的情况。
比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。
所以限制用户使用非授权软件的重任就落到我们IT部头上了。
其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。
下面我们就来看看怎样通过组策略来限制用户安装和使用软件:一、限制用户使用未授权软件方法一:1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图:2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图:5. 点击确定,确定…,完成组策略的设置。
然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。
如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。
看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。
6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:7. 右击“软件限制策略”下的“其他规则”,选择“新建哈希规则”,如下图:8. 在“新建哈希规则”对话框中,点击“浏览”,找到要限制的软件,如下图:点击“确定”后,在右面板上就可以看到我们新建的哈希规则了。
Win7组策略技巧:限制程序运行
Win7组策略技巧:限制程序运行1如果不想让办公室的同事在你电脑上运行QQ或是阿里旺旺等程序,但如果不让同事安装的话,也会伤了和气,那怎么办呢?我们完全可以通过Windows 7系统来限制指定的程序运行,通过使用Windows 7系统新增的AppLocker功能(应用程序控制策略),就可以使用它轻松创建对某个程序的限制策略。
比如你要禁止QQ运行,可以这么做:单击“开始”→在“搜索程序和文件”框中键入secpol.msc→按 Enter键→打开本地安全策略→找到应用程序控制策略→AppLocker→右侧空白区域右键菜单→创建新规则→进入新规则向导。
“权限”步骤:操作设为“拒绝”,用户可以选择“Everyone(全部人)”或者是指定帐户。
“条件”步骤:最保险的就是通过“发布者”的条件来做限制,也就是说,现在的大型软件的相关程序都是经过软件发布者签名的,利用这个规则,就可以限制所有拥有该签名的程序,这就避免了“路径”规则的修改路径后即可运行,或者是”文件哈希“规则的换个版本可运行的规避手段。
为了方便演示,这里我们选“发布者”。
“发布者”设置:“浏览”找到QQ的主程序文件,选择后会自动出现该程序的相关信息,在滑动按钮中我们选择“发布者”。
“例外”设置:经过上一步设置后,所有带有腾讯官方签名的程序都将无法运行,比如QQ、QQ音乐、QQ影音、QQ游戏等腾讯系列软件,甚至包含了安装程序,如果需要单独允许某个程序运行,可在这里将其添加成例外程序。
“名称”设置:最后一步就是设置规则名称,你可以帮这条规则起个易于识别的名称。
如果你是当前创建的是第一条规则,那么在完成后会有个默认规则创建提示,需点击“是”,允许创建默认规则,以免你设置的规则使得系统文件程序遭到限制。
成功创建规则后,当用于企图运行带有腾讯官方签名的任何程序时,操作都将被拦截。
这个规则无论用户如何更改文件路径、版本都能生效。
如果设置AppLocker规则无效,请单击“开始”→在“搜索程序和文件”框中键入services.msc→按 Enter键→打开“服务”,找到找到Application Identity项,将其启动类型设为“自动”,然后按“启动”,就可让规则生效。
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例导读注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容:理论部分:1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限规则部分:5.如何用软件限制策略防毒(也就是如何写规则)6.规则的示例与下载其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。
如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。
我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。
或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么?一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量(假定系统盘为C盘)%USERPROFILE% 表示C:\Documents and Settings\当前用户名%HOMEPATH% 表示C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users%ComSpec% 表示C:\WINDOWS\System32\cmd.exe%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C:%HOMEDRIVE% 表示C:%SYSTEMROOT% 表示C:\WINDOWS%WINDIR% 表示C:\WINDOWS%TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles% 表示C:\Program Files%CommonProgramFiles% 表示C:\Program Files\Common Files关于通配符:Windows里面默认* :任意个字符(包括0个),但不包括斜杠? :1个或0个字符几个例子*\Windows 匹配C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
使用组策略限制软件运行示例
使用组策略限制软件运行示例xx年xx月xx日CATALOGUE目录•介绍•组策略基本概念•使用组策略限制软件运行的方法•实际操作示例•组策略限制软件运行的优缺点01介绍组策略(Group Policy)是Windows操作系统中一套允许管理员修改系统设置和用户配置的技术,用于配置和管理Windows系统中的策略、安全性和资源。
组策略基于Windows管理控制台(MMC)的管理员管理单元,通过使用管理模板文件(.adm)和相关的脚本文件来实现系统设置和用户配置的自定义。
什么是组策略组策略的功能和用途配置安全设置:组策略可以配置安全设置,例如密码策略、账户锁定策略、安全审计策略等。
定制应用程序:管理员可以使用组策略来配置应用程序的运行选项,例如启动位置、数据源、默认打印机等。
控制用户配置:组策略可以控制用户的桌面、开始菜单、网络连接、浏览器设置等,以及定义用户登录和注销的选项。
组策略具有以下功能和用途管理系统设置:管理员可以使用组策略来修改系统设置,例如启动和关机选项、用户权限和访问控制、安全设置等。
为什么需要使用组策略限制软件运行使用组策略限制软件运行可以帮助管理员更好地管理和控制系统的应用程序和资源,确保只有经过授权的应用程序可以在系统中运行,防止恶意软件的侵入和破坏。
通过限制软件的运行,可以降低系统被攻击或感染病毒的风险,提高系统的安全性和稳定性。
组策略还可以帮助管理员对系统进行集中管理和配置,减少了管理员的工作量,提高了管理效率。
02组策略基本概念组策略对象是组织单位(OU)和域(Domain)的集合,用于集中管理计算机或应用程序配置。
可以使用组策略来配置计算机或应用程序的各个方面,如软件设置、安全性和用户权限等。
理解组策略对象组策略配置文件(GPO)是存储组策略设置和链接到特定组织单位或域的容器。
每个GPO都有链接到目标组织单位或域的优先级,并且可以覆盖本地组策略设置。
组策略的配置文件本地组策略适用于单个计算机或应用程序的组策略设置。
win7电脑提示此程序被组策略阻止的解决方法
win7电脑提示此程序被组策略阻止的解决方法
win7电脑提示此程序被组策略阻止的解决方法。
此程序被组策略阻止解决方法:
1、使用Win+E快捷键,调出资源管理器→打开控制面板;如图所示:
2、控制面板→系统和安全;如图所示:
3、系统和安全→管理工具;如图所示:
4、管理工具→本地安全策略;如图所示:
5、右键点击软件限制策略→删除软件限制策略;如图所示:
6、在弹出的警告提示(删除在该组策略对象应以的所有限制策略吗?)→点击是;如图所示:
7、之后就会出现这样的提示:没有定义软件限制策略,如果一开始就是这个提示也没关系,右键点击软件限制策略→创建软件限制策略;如图所示:
8、这样就还原到软件限制的初始状态(无任何限制规则)。
如图所示:
以上内容就是有关于win7电脑提示此程序被组策略阻止的解决方法了,对于那些遇到相同问题的用户们来说,只要按照上述的方法步骤进行操作,那么就可以轻松解决这个问题了。
Win7系统提示此程序被组策略阻止怎么解决?
Win7系统提示此程序被组策略阻止怎么解决?
导读:最近有Win7系统用户反映,安装某个程序的时候出现提示“此程序被组策略阻止”,导致程序安装失败,用户不知道这是怎么回事,也不知道该怎么解决,为此非常苦恼。
其实,会出现这一问题,是因为组策略规则阻止安装软件,取消即可。
那么,Win7系统提示此程序被组策略阻止怎么解决呢?我们一起往下看看。
方法/步骤
1、使用Win+E快捷键,调出资源管理器→打开控制面板;
2、控制面板→系统和安全;
3、系统和安全→管理工具;
4、管理工具→本地安全策略;
5、右键点击软件限制策略→删除软件限制策略;
6、在弹出的警告提示(删除在该组策略对象应以的所有限制策略吗?)→点击是;
7、之后就会出现这样的提示:没有定义软件限制策略,如果一开始就是这个提示也没关系,右键点击软件限制策略→创建软件限制策略;
8、这样就还原到软件限制的初始状态(无任何限制规则)。
以上就是Win7系统提示此程序被组策略阻止的具体解决方法,按照以上方法进行操作,就能轻松解决该问题了,再次安装程序的时候,就不会再出现该提示了。
修改注册表禁止程序运行
修改注册表或组策略,禁止运行指定程序对于windows 专业版,可以在组策略里面操作,禁止运行指定的程序:运行gpedit.msc ,启动组策略,打开“用户配置”→“管理模板”→“系统”;点击“系统”目录,在右边窗口中找到“不要运行指定的windwos应用程序”,双击打开,进入“不要运行指定的windwos应用程序属性”窗口;选中“已启用”,再点击“显示”按钮,进入“显示内容”窗口,点击“添加”按钮;在“添加项目”窗口中,输入应用程序的准确名称:如QQ.EXE 等等。
确定,返回“组策略”主界面。
或这再次点击“添加”按钮,添加下一个程序。
如果是Home家庭版,没有组策略,需要在注册表里面操作,方法如下:注册表里面,相关的键项是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex plorer\DisallowRun如果没有这个键项,就手动添加这个键项。
在右边窗口新建字符串值,数值为准备禁止的程序名称。
或者,把以下内容修改一下,就是把"1"="xxxxx.exe" 里面的xxxxx修改成需要禁止的程序名,比如,如果要禁用QQ程序,就设置为:"1"="QQ.exe" 等;如果要继续禁用其他程序,比如,还要禁用QQ游戏程序,在"1"="QQ.exe" 下添加一行,把1改为2 ……,把QQ.exe改成其他程序,如下例所示:"2"="QQGame.exe"然后,把以下蓝色文字内容拷贝到记事本里面,另存为DisallowRun.reg文件(或者先保存为DisallowRun.txt文件,然后修改后缀.txt为.reg 。
在文件夹选项,查看里面,把“隐藏已知文件类型的扩展名”取消,才可以修改后缀),注意,其中的xxxxx表示需要禁止的程序的名字,然后,双击这个DisallowRun.reg文件导入注册表即可生效,QQ或QQ游戏就无法打开了:Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer\DisallowRun]"1"="xxxxx.exe"。
用组策略禁止程序运行
方法1:
依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击“确定”按钮后,打开系统的注册表编辑窗口; 在该窗口中,依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3},在随后弹出的窗口右侧区域中,你将看到一个“Restrict_Run”键值; 用鼠标双击该键值,打开一个数值设置窗口,在其中输入数字“0”,最后单击“确定”按钮;此后,当你再次打开系统运行对话框,并在其中执行“gpedit.msc”命令时,你会发现自锁的组策略编辑窗口,现在可以被轻松打开了。
怎样通过组策略禁止程序运行
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口; 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,
选择一:
双击“不要运行制定的windows程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要禁止运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮。
方法2:
重新将服务器系统启动一下,在启动的过程中不停地按下F8功能键,直到出现系统的启动菜单,然后执行其中的“带命令行提示的安全模式”命令,将服务器系统切换到命令行提示符状态; 接下来在命令提示符下直接执行mmc.exe字符串命令,在弹出的系统控制台界面中,单击“文件”菜单项,并从弹出的下拉菜单中单击“添加/删除管理单元”选项,再单击其后窗口中的“独立”标签,然后在标签页面中,单击“添加”按钮; 下面,再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮,这样就能成功dows
通过组策略禁止运行指定的程序
通过组策略禁止运行指定的程序
第1步:依次单击win7桌面的“开始”—“运行”命令,在打开的“运行”对话框中输入“gped-it.msc”后回车,进入组策略窗口。
第2步:在左侧窗口中依次展开“用户配置”—“管理模板”—“系统”选项,然后在右边窗口中找到“不要运行指定的Windows应用程序”选项,如图1所示。
第3步:双击该选项,打开其属性对话框,选择其中的“已启用”单选项,然后单击“显示”按钮,如图2所示。
第4步:在弹出的“显示内容”对话框中单击“添加”按钮,然后在“添加项目”对话框中输入要禁止运行的程序的主程序文件名,如图3所示。
第5步:单击“确定”按钮后再单击“添加”按钮,继续设置想要禁用的程序。
设置好所有要禁用的程序后的界面如图4所示。
第6步:连续单击“确定”按钮,然后关闭组策略窗口,设置即可生效。
提示:在组策略窗口中依次展开“用户配置”—“管理模板”—“系统”选项,然后通过右侧窗口中的“只运行许可的Windows应用程序”选项可以设置只允许运行的应用程序。
利用组策略部署软件与限制软件运行相关知识
利用组策略部署软件与限制软件运行
6.1.4 自动修复软件
被发布或分配的软件可以具备自动修复的功能(视 软件而定),也就是客户端在安装完成后,若此软件程 序内有关键性的文件损毁、遗失或不小心被用户删除则 在用户执行此软件时,系统会自动检测到此不正常现象 ,并重新安装这些文件。
利用组策略部署软件与限制软件运行
利用组策略部署软件与限制软件运行
6.1.1 将软件分配给用户
将一个软件通过组策略分配给域用户后,用户在任何 一台域成员计算机登录时,这个软件会被通告( advertised) 给该用户,但此软件并没有被安装,而只是安装了与这个 软件有关的部分信息而已,例如可能会在开始窗口或开始 菜单中自动建立该软件的快捷方式(需视该软件是否支持 此功能而定)。
可以利用网络区域规则来允许或拒绝用户运行位于某 个区域内的程序,这些区域包含本地计算机、Internet、 本地Intranet、可信站点与受限站点。
除了本地计算机与Internet之外,您可以设置其他3 个区域内所包含的计算机或网站:【打开网页浏览器 Internet Explorer→按下Alt键→单击工具菜单 →lnternet选项→单击图6-1中的安全选项卡→选择要设 置的区域后单击“站点”按钮】。
6.1.5 删除软件
Windows Server 2012( R2)具备Active Directory 回收站功能,它让系统管理员不需要进入目录服务还原模 式,就可以快速恢复被删除的对象。
利用组策略部署软件与限制软件运行
6.2 软件限制策略概述
在5.3.2节中介绍过如何利用文件名来限制用户可以 或不可以运行特定的应用程序,然而若用户有权修改文 件名,就可以突破此限制,此时我们仍然可以通过本章 的软件限制策略进行控制。此策略的安全等级分为下面3 种。
禁止程序运行的方法
禁止程序运行的方法委屈我的1.通过注册表或组策略限制程序运行打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer键,在下面建一DWORD值,名称为“DisallowRun“,值为1,然后在Explorer键下建一主键,名称为“DisallowRun”,接着在DisallowRun下建一字符串值,名称任意,可以随便设一个数,值为要禁止运行的程序的名称,如“qq.exe”,操作完成后需要注销或重启桌面,以后在资源管理器中运行QQ时,就会提示“本次操作由于这台计算机的限制而被取消”。
另外还有种方法是通过组策略来禁止程序运行,不过组策略与注册表是等价的,只是组策略更方便一些而已,方法是“用户配置-管理模板-系统-不要运行指定的Windows应用程序”。
这种方法用来防止在我的电脑中运行某个程序,实质上是限制对ShellExecute的调用。
2.通过映像劫持禁止某程序运行打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键,在它下面建一主键,名称为要禁止运行的程序名,如“qq.exe”,然后再在qq.exe下建一字符串值,名称为“Debugger”,最好是把值设为"ntsd -d",这样这个程序就不能运行了.3.利用manifest文件限制某程序运行.不过程序改名后也可以运行。
3.利用manifest文件限制某程序运行先找到目标程序所在的目录,在里面建一文件夹,名称为目标程序的名字后面加上“.manifest”,如要禁止QQ运行,则在QQ安装目录中创建一个名为"QQ.exe.manifest”的文件夹。
4.禁止某类程序运行禁止网络程序运行如禁止QQ,可以在其安装目录中创建一个名为“ws2_32.dll”的文件夹,ws2_32.dll是访问网络时所必需的库文件,由于程序在查找文件时只认名称,不认属性,所以QQ运行后就会在当前目录中找到ws2_32.dll这个文件夹,然后把它当作文件去执行,然后出错,提示“应用程序正常初使化失败”。
组策略限制程序运行
6、维护可执行代码的文件类型
不论是那种规则,它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型,这些类型是所有规则共享的。某些情况下,管理员可能需要删除或添加某种类型的文件,以便规则能够对这类文件失去或产生作用,这就需要我们来维护“指派的文件类型”属性。方法如下:
路径规则:利用文件或程序的路径进行标识,该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的,当文件移动或重命名时,路径规则会失去作用。在路径规则中,根据路径范围的大小,优先级别各有高低,范围越大,优先级越低。通常路径的优先级从高到低为:指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。
上述三种限制程序运行的措施各有特点。从限制的实现方法和效果来看,限制用户对文件的访问权限可以让管理员以Administartor账户身份对所有用户的权限进行控制,作用的范围可以是所有类型的文件和文件夹,但是这种方法受到应用环境的限制。采取基于策略的措施,不论是启用“不要运行指定的Windows应用程序”策略还是设置软件限制策略,对于要限制的用户对象作用范围来讲都是用户组,不能针对具体的用户进行设置,要么是所有的用户,要么是除管理员组外的所有用户。但是这些措施对系统环境的要求不高,在XP系统中都可以进行实施。另外,基于策略的设置可以对计算机进行更加灵活的管理。特别是软件限制策略允许管理员通过多种方式对程序进行标识,对于程序的运行具有很高的可控性。
使用组策略限制软件运行示例
测试软件限制策略
打开“组策略管理”控制台, 在控制台树中,找到并单击您 想要测试的组策略对象(例如 ,域或组织单位)。
在右侧窗格中,找到并单击您 刚刚创建的软件限制策略。
在软件限制策略的右侧窗格中 ,您应该能够看到刚刚创建的 策略已应用于该对象。
尝试在受限制的用户帐户或计 算机上运行软件,以验证策略 是否按预期工作。
降低系统资源占用
限制软件的运行可以有效 地降低系统资源的使用, 避免资源的浪费,提高系 统的性能。
增强用户隐私保护
限制某些软件的运行可以 保护用户的个人隐私,避 免用户数据被泄露。
使用组策略限制软件运行的缺点
可能影响用户体验
如果过度限制软件的运行,可 能会影响用户的使用体验,使 得某些正常的应用程序无法正
3. 附加说明:为了确保企业的正常运营,对于一些需要使用的特定游戏 软件,可以通过创建例外策略来满足其需求。此外,对于新安装的游戏 软件,需要及时更新组策略,以避免员工绕过限制使用该软件。
案例三:使用组策略限制某款恶意软件的运行
01
1. 通过组策略限制某款恶意软件的运 行,可以有效防止该软件对系统造成 损害,保护企业数据的安全。
安全性高:组策略可以帮助管理员监 控和控制用户的行为,有效防止恶意 软件和不必要的程序的运行,提高了 系统的安全性。2使用组策略限制软件运行
创建软件限制策略
打开“组策略管理”控制台,在控制台树中,右键单击所需的管理员组策略对象( 例如,域或组织单位),然后单击“创建新的组策略”。
在“创建新的组策略”对话框中,输入新组策略的名称和描述,然后单击“确定” 。
常运行。
可能影响工作效率
对于一些需要使用特定软件的员工 来说,限制其使用可能会影响他们 的工作效率。
禁止程序运行
禁止程序运行的方法1.通过注册表或组策略限制程序运行打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies \\Explorer键,在下面建一DWORD值,名称为“DisallowRun“,值为1,然后在Explorer键下建一主键,名称为“DisallowRun”,接着在DisallowRun下建一字符串值,名称任意,可以随便设一个数,值为要禁止运行的程序的名称,如“qq.exe”,操作完成后需要注销或重启桌面,以后在资源管理器中运行QQ时,就会提示“本次操作由于这台计算机的限制而被取消”。
另外还有种方法是通过组策略来禁止程序运行,不过组策略与注册表是等价的,只是组策略更方便一些而已,方法是“用户配置-管理模板-系统-不要运行指定的Windows应用程序”。
这种方法用来防止在我的电脑中运行某个程序,实质上是限制对ShellExecute的调用。
2.通过映像劫持禁止某程序运行打开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options键,在它下面建一主键,名称为要禁止运行的程序名,如“qq.exe”,然后再在qq.exe下建一字符串值,名称为“Debugger”,最好是把值设为\"ntsd -d\",这样这个程序就不能运行了.3.利用manifest文件限制某程序运行.不过程序改名后也可以运行。
3.利用manifest文件限制某程序运行先找到目标程序所在的目录,在里面建一文件夹,名称为目标程序的名字后面加上“.manifest”,如要禁止QQ运行,则在QQ安装目录中创建一个名为\"QQ.exe.manifest”的文件夹。
4.禁止某类程序运行禁止网络程序运行如禁止QQ,可以在其安装目录中创建一个名为“ws2_32.dll”的文件夹,ws2_32.dll是访问网络时所必需的库文件,由于程序在查找文件时只认名称,不认属性,所以QQ运行后就会在当前目录中找到ws2_32.dll这个文件夹,然后把它当作文件去执行,然后出错,提示“应用程序正常初使化失败”。
禁止程序运行的方法
禁止程序运行的方法1.通过注册表或组策略限制程序运行打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer键,在下面建一DWORD值,名称为“DisallowRun“,值为1,然后在Explorer键下建一主键,名称为“DisallowRun”,接着在DisallowRun下建一字符串值,名称任意,可以随便设一个数,值为要禁止运行的程序的名称,如“qq.exe”,操作完成后需要注销或重启桌面,以后在资源管理器中运行QQ时,就会提示“本次操作由于这台计算机的限制而被取消”。
另外还有种方法是通过组策略来禁止程序运行,不过组策略与注册表是等价的,只是组策略更方便一些而已,方法是“用户配置-管理模板-系统-不要运行指定的Windows应用程序”。
这种方法用来防止在我的电脑中运行某个程序,实质上是限制对ShellExecute的调用。
2.通过映像劫持禁止某程序运行打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键,在它下面建一主键,名称为要禁止运行的程序名,如“qq.exe”,然后再在qq.exe下建一字符串值,名称为“Debugger”,最好是把值设为"ntsd -d",这样这个程序就不能运行了.3.利用manifest文件限制某程序运行.不过程序改名后也可以运行。
3.利用manifest文件限制某程序运行先找到目标程序所在的目录,在里面建一文件夹,名称为目标程序的名字后面加上“.manifest”,如要禁止QQ运行,则在QQ安装目录中创建一个名为"QQ.exe.manifest”的文件夹。
4.禁止某类程序运行禁止网络程序运行如禁止QQ,可以在其安装目录中创建一个名为“ws2_32.dll”的文件夹,ws2_32.dll是访问网络时所必需的库文件,由于程序在查找文件时只认名称,不认属性,所以QQ运行后就会在当前目录中找到ws2_32.dll这个文件夹,然后把它当作文件去执行,然后出错,提示“应用程序正常初使化失败”。
组策略--被限制---解决10大办法
组策略被限制, 组策略打开后几秒内自动关闭-------问题解决办法方法及解决办法1试着用第三方资源管理器找到mmc.exe并运行,或从任务管理器、DOS访问mmc.exe.因为修改了只运行许可的windows程序,所以从windows资源管理运行gpedit.msc 是不行的。
打开控制台1,选择文件-添加删除管理单元-在独立选项卡-选择添加-找到组策略对象编辑器。
完成确定,然后按照原先的方法修改策略。
如果要限制程序运行,最好还是用第三方工具吧。
方法及解决办法2运行mmc ,找到gpedit.msc 点开来,然后保存,再去打开来看看.方法及解决办法31.用MMC控制台打不开吗?2.这个是找来的,你试试:A. 除了通过限制应用程序运行的策略外,还有许多操作都能使组策略在不经意间就会发生“自锁”现象。
如果是其他因素造成组策略发生“自锁”现象的话,我们该如何轻松解除呢?其实,所有对组策略的设置,都是基于系统注册表>的,因此对组策略任意分支的设置,都会在注册表的对应分支中有所体现;为此我们只要从修改注册表出发,就能轻松破解组策略的“自锁”现象:依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击“确定”按钮后,打开系统的注册表编辑窗口;在该窗口中,依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0 000F87571E3},在随后弹出的如图2所示的窗口右侧区域中,你将看到一个“Restrict_Run”键值;用鼠标双击该键值,打开一个数值设置窗口,在其中输入数字“0”,最后单击“确定”按钮;此后,当你再次打开系统运行对话框,并在其中执行“gpedit.msc”命令时,你会发现自锁的组策略编辑窗口,现在可以被轻松打开了。
B.点开始,运行输入CMD回车在DOS提示符输入gpupdate /force然后回车就好了方法及解决办法4“本次操作由于这台计算机的限制而被取消。
使用组策略限制软件运行示例
03
组策略限制软件运行的实践操作
创建自定义组策略对象
打开“组策略管理”控制台,右键单击所需管理的计算机 ,选择“创建/链接新的GPO并在此处链接”。
在新建的GPO中,右键单击“计算机配置”或“用户配置 ”,选择“添加策略”。
配置软件限制策略
在新添加的策略中,依次展开“计算机配置”或“用户 配置”→“策略”→“Windows设置”→“安全设置 ”→“应用程序控制策略”→“应用程序规则”。
配置软件黑名单
配置软件黑名单
• 配置软件黑名单是指将特定的软件添加到组策略中的禁止运行列表中,以限制用户或计算机对该软件的访 问。
• 以下是配置软件黑名单的步骤 • 打开组策略编辑器(gpedit.msc) • 在左侧导航栏中选择“计算机配置”或“用户配置” • 在右侧选择“软件设置”下的“禁止运行指定的windows应用程序” • 点击“启用”并添加要禁止的软件列表 • 点击“确定”保存配置
• Step 1: Open the Group Policy Editor. • Step 2: Navigate to the appropriate policy location. • Step 3: Create a new policy or modify an existing one. • Step 4: Set the desired software restrictions. • Step 5: Save and apply the policy. • Appendix B: List of common software restrictions and their effects. • Blocking specific programs: This restriction prevents users from running specified programs. • Limiting program access: You can set access permissions for programs, allowing only authorized
组策略禁用注册表、限制应用程序的方法及解除的方法
1.限制使用应用程序(Windows 2000/XP/2003)顺次点击“组策略控制台”→“用户配置”→“管理模板”→“系统”中的“只运行许可的Windows应用程序”,双击之后启用此策略,然后点击下面的“允许的应用程序列表”中的“显示”按钮。
会弹出一个“显示内容”的对话框,在这里单击“添加”按钮,然后添加你允许运行的应用程序即可。
以后一般用户就只能运行“允许的应用程序列表”中的程序,其他程序就无法运行了!2.禁用注册表编辑器(Windows 2000/XP/2003)为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。
具体操作方法:打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策。
此策略被启用后,用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。
如何解决上面谈到的利用组策略限制应用程序运行和禁用注册表编辑器的问题。
基于具体步骤差不多,就二为一解决这两个问题。
首先,开机时按F8键进入安全模式选项,选择其中的“带命令行提示的安全模式”,进入后打开命令提示符窗口,输入“mmc”(Microsoft管理控制台),按Enter键就打开了该程序。
接下来,点击“文件”菜单下的“添加/删除管理单元”(或直接用快捷键“Ctrl+M”),在出现的对话框中点击“添加”按钮,选定其中的“组策略”,点击“添加”,会出现“欢迎使用组策略向导”窗口,点“下一步”直到最后单击“完成”按钮即可,关闭可添加的管理单元列表,然后在“添加/删除管理单元”对话框中点击“确定”按钮,在“控制台根节点”窗口的左侧“控制台根节点”项目中会多了一个“本地计算机”,把它给展开,接下来的操作就跟你启用“限制使用应用程序”和“禁用注册表编辑器”时一样了。
具体步骤就不多说了,大家可以参考文章开头相关内容进行操作。
注意,您只需把“只运行许可的Windows应用程序”和“阻止访问注册表编辑工具”里的“启用”改为“未配置”就行了。
如何用组策略禁用电脑程序
组策略禁用电脑程序以QQ为例附运行命令首先进入组策略,开始-运行,输入gpedit.msc,进入组策略。
如上图:用户配置-管理模板-系统-不要运行指定的windows应用程序,双击打开下下面的对话框选择’已启动’ ,点击’显示’,弹出显示内容,点击添加,再输入框中输入要禁止的应用程序,如QQ.exe,注意这里要输入的是应用程序的启动程序,要全称+扩展名。
点击确定后就禁止了QQ在本电脑上的运行。
再运行QQ,就会弹出一下窗口。
附‘运行’下的命令:winver 检查Windows版本wmimgmt.msc 打开Windows管理体系结构(wmi)wupdmgr Windows更新程序wscript Windows脚本宿主设置write 写字板winmsd 系统信息wiaacmgr 扫描仪和照相机向导winchat xp自带局域网聊天mem.exe 显示内存使用情况msconfig.exe 系统配置实用程序mplayer2 简易widnows media playermspaint 画图板mstsc 远程桌面连接mplayer2 媒体播放机magnify 放大镜实用程序mmc 打开控制台mobsync 同步命令dxdiag 检查directx信息drwtsn32 系统医生devmgmt.msc 设备管理器dfrg.msc 磁盘碎片整理程序diskmgmt.msc 磁盘管理实用程序dcomcnfg 打开系统组件服务ddeshare 打开dde共享设置dvdplay dvd播放器net stop messenger 停止信使服务net start messenger 开始信使服务notepad 打开记事本nslookup 网络管理的工具向导ntbackup 系统备份和还原narrator 屏幕“讲述人”ntmsmgr.msc 移动存储管理器ntmsoprq.msc 移动存储管理员操作请求netstat -an (tc)命令检查接口syncapp 创建一个公文包sysedit 系统配置编辑器sigverif 文件签名验证程序sndrec32 录音机shrpubw 创建共享文件夹secpol.msc 本地安全策略syskey 系统加密,一旦加密就不能解开,保护Windows xp系统的双重密码services.msc 本地服务设置sndvol32 音量控制程序sfc.exe 系统文件检查器sfc /scannow windows文件保护 tsshutdn 60秒倒计时关机命令tourstart xp简介(安装完成后出现的漫游xp程序)taskmgr 任务管理器eventvwr 事件查看器eudcedit 造字程序explorer 打开资源管理器packager 对象包装程序perfmon.msc 计算机性能监测程序progman 程序管理器regedit.exe 注册表rsop.msc 组策略结果集regedt32 注册表编辑器rononce -p 15秒关机regsvr32 /u *.dll 停止dll文件运行regsvr32 /u zipfldr.dll 取消zip支持cmd.exe cmd命令提示符chkdsk.exe chkdsk磁盘检查certmgr.msc 证书管理实用程序calc 启动计算器charmap 启动字符映射表cliconfg sql server 客户端网络实用程序clipbrd 剪贴板查看器conf 启动netmeetingcompmgmt.msc 计算机管理cleanmgr 垃圾整理ciadv.msc 索引服务程序osk 打开屏幕键盘odbcad32 odbc数据源管理器oobe/msoobe /a 检查xp是否激活lusrmgr.msc 本机用户和组logoff 注销命令iexpress 木马捆绑工具,系统自带nslookup ip地址侦测器fsmgmt.msc 共享文件夹管理器utilman 辅助工具管理器gpedit.msc 组策略以下为Windows操作系统的常用运行命令,执行这些命令,就能打开系统对应的相关实用程序,如果大家能基本利用,就能检查并修复系统的最基本的故障,除注销,关闭系统命令外,其它所有命令,大家不妨一试!!运行\输入CMD\输入对应的相关实用程序:. 打开C:\Documents and Settings\XXX(当前登录Windows XP的用户名).. 打开Windows XP所在的盘符下的Documents and Settings文件夹…打开“我的电脑”选项。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6、维护可执行代码的文件类型
不论是那种规则,它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型,这些类型是所有规则共享的。某些情况下,管理员可能需要删除或添加某种类型的文件,以便规则能够对这类文件失去或产生作用,这就需要我们来维护“指派的文件类型”属性。方法如下:
提示:软件限制策略的生效需要注销并重新登录系统。如果在软件限制策略中为一个程序制定了一条安全级别为“不受限的”规则,而这个程序包含在“不要运行指定的Windows应用程序”策略的不允许运行程序列表中,那么最终这个程序是不允许运行的。要取消对程序的限制,需要将相关的规则删除:在“其他规则”中的规则列表中,在要删除的规则上点击右键,选择“删除”即可。
组策略限制程序运行.txt16生活,就是面对现实微笑,就是越过障碍注视未来;生活,就是用心灵之剪,在人生之路上裁出叶绿的枝头;生活,就是面对困惑或黑暗时,灵魂深处燃起豆大却明亮且微笑的灯展。17过去与未来,都离自己很遥远,关键是抓住现在,抓住当前。组策略限制程序运行
路径规则和Internet区域规则。它们标识文件以及制定规则的方法如下:
上述三种限制程序运行的措施各有特点。从限制的实现方法和效果来看,限制用户对文件的访问权限可以让管理员以Administartor账户身份对所有用户的权限进行控制,作用的范围可以是所有类型的文件和文件夹,但是这种方法受到应用环境的限制。采取基于策略的措施,不论是启用“不要运行指定的Windows应用程序”策略还是设置软件限制策略,对于要限制的用户对象作用范围来讲都是用户组,不能针对具体的用户进行设置,要么是所有的用户,要么是除管理员组外的所有用户。但是这些措施对系统环境的要求不高,在XP系统中都可以进行实施。另外,基于策略的设置可以对计算机进行更加灵活的管理。特别是软件限制策略允许管理员通过多种方式对程序进行标识,对于程序的运行具有很高的可控性。
路径规则:利用文件或程序的路径进行标识,该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的,当文件移动或重命名时,路径规则会失去作用。在路径规则中,根据路径范围的大小,优先级别各有高低,范围越大,优先级越低。通常路径的优先级从高到低为:指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。
散列规则:利用散列算法计算出指定文件的散列,这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后,用户访问或运行文件时,软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名,不会影响文件的散列,软件限制策略对该文件依然有效。制定方法如下:
(1)、点击“软件限制策略”下的“其它规则”,在“其他规则”上单击右键,或在右侧窗格的空白区域单击右键,选择“新散列规则”。
(2)、点击“浏览”,指定要标识的文件或程序,例如cmd.exe,确认后,在文件散列中可以看到计算出来的散列,在“安全级别”中选择“不允许的”或“不受限的”,点击“确定”,在“其它规则”中可以看到新增了一条类型为散列的规则。证书规则:利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构(CA)颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件,它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后,运行该文件时,软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件,证书文件的扩展名为.CER。创建方法同散列规则。
(1)、单击“软件限制策略”,双击右侧窗格中的“指派的文件类型”属性项目;
(2)、如果新增一种文件类型,在“文件扩展名”处输入添加的扩展名,点击“添加”;如果要删除一种文件类型,单击列表中的制定类型,点击“删除”。
7、利用规则的优先级灵活控制程序ቤተ መጻሕፍቲ ባይዱ运行
四种规则的优先级从高到依次为:散列规则、证书规则、路径规则、Internet区域规则。如果有超过一条以上的规则同时作用于同一个程序,那么优先级最高的规则设定的安全级别将决定该程序是否能运行。如果多于一条的同类规则作用于同一个程序,那么同类规则中最具限制力的规则将起作用。这为我们提供了一条对程序的运行进行灵活控制的途径。单一规则的作用效果虽然全面,但是也限制了我们所需要的那些部分,复合规则的综合作用将产生诸如“除了我们需要的/不需要的以外,其他全部不允许/不受限制”这样的效果,这也许才是我们真正需要的安全级别。