Windows组策略中软件限制策略规则编写示例
如何用组策略禁止安装软件
在XP中如何禁止安装软件一运行gpeditmsc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以二用超级兔子三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----击打开,将启动类型改为已禁止这样子大多数安装程序就不能安装了,因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序,尤其是那些*msi 的肯定不能安装的四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行进管理员帐户:gpedit.msc-计算机配置-WINDOWS设置-安全设置-用户权利指派下面有装载和卸载程序允许信任以委托五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以六设置用户权限给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了启用多用户登录,为每个用户设置权限,最好只有管理者权限的才能安装程序还有,你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的,然后设置上用户,给每个用户设置上权限禁用Windows Installer服务。
Win7组策略技巧:限制程序运行
Win7组策略技巧:限制程序运行1如果不想让办公室的同事在你电脑上运行QQ或是阿里旺旺等程序,但如果不让同事安装的话,也会伤了和气,那怎么办呢?我们完全可以通过Windows 7系统来限制指定的程序运行,通过使用Windows 7系统新增的AppLocker功能(应用程序控制策略),就可以使用它轻松创建对某个程序的限制策略。
比如你要禁止QQ运行,可以这么做:单击“开始”→在“搜索程序和文件”框中键入secpol.msc→按 Enter键→打开本地安全策略→找到应用程序控制策略→AppLocker→右侧空白区域右键菜单→创建新规则→进入新规则向导。
“权限”步骤:操作设为“拒绝”,用户可以选择“Everyone(全部人)”或者是指定帐户。
“条件”步骤:最保险的就是通过“发布者”的条件来做限制,也就是说,现在的大型软件的相关程序都是经过软件发布者签名的,利用这个规则,就可以限制所有拥有该签名的程序,这就避免了“路径”规则的修改路径后即可运行,或者是”文件哈希“规则的换个版本可运行的规避手段。
为了方便演示,这里我们选“发布者”。
“发布者”设置:“浏览”找到QQ的主程序文件,选择后会自动出现该程序的相关信息,在滑动按钮中我们选择“发布者”。
“例外”设置:经过上一步设置后,所有带有腾讯官方签名的程序都将无法运行,比如QQ、QQ音乐、QQ影音、QQ游戏等腾讯系列软件,甚至包含了安装程序,如果需要单独允许某个程序运行,可在这里将其添加成例外程序。
“名称”设置:最后一步就是设置规则名称,你可以帮这条规则起个易于识别的名称。
如果你是当前创建的是第一条规则,那么在完成后会有个默认规则创建提示,需点击“是”,允许创建默认规则,以免你设置的规则使得系统文件程序遭到限制。
成功创建规则后,当用于企图运行带有腾讯官方签名的任何程序时,操作都将被拦截。
这个规则无论用户如何更改文件路径、版本都能生效。
如果设置AppLocker规则无效,请单击“开始”→在“搜索程序和文件”框中键入services.msc→按 Enter键→打开“服务”,找到找到Application Identity项,将其启动类型设为“自动”,然后按“启动”,就可让规则生效。
组策略编写软件限制策略规则
软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。
如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。
下面我们就来全面的了解一下软件限制策略。
本系列文章将从以下几方面为重点来进行讲解:·概述·附加规则和安全级别·软件限制策略的优先权·规则的权限分配及继承·如何编写规则·示例规则今天我们介绍Windows的组策略中的如何编写规则。
关于规则编写,我们要遵循以下几个原则:要方便,不能对自己有过多的限制,这样,即使出现问题也好排队要安全,要考虑到你的系统中毒的来源有哪些,针对其做好防护。
基于文件名的病毒规则尽量少用,因为容易出现误阴,而且病毒的文件名随便可以改,我们做的又不是特征库。
下面介绍规则的具体编写方式开始-> 运行-> gpedit.msc在左边的窗口中依次展开计算机配置-> Windows设置-> 安全设置-> 软件限制策略。
如果你之前没有进行过设置,那么在软件限制策略上点右键,选择创建新的策略。
然后在其它规则上右键点击,选择新路径规则既可以进行规则的创建了。
规则的设置很简单,就五个安全级别,根据你自己的需要设置即可。
难点主要是规则的正确性和有效性,这个得靠多多实践来提升了。
另外提醒一下,大家在设置规则时,注意不要更改以下4条系统默认规则同时还要考虑它们的影响:·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ProgramFilesDir% 路径不受限的相当于规则:·%SystemRoot% 不受限的整个Windows目录不受限·%SystemRoot%\*.exe 不受限的Windows下的exe文件不受限·%SystemRoot%\System32\*.exe 不受限的System32下的exe文件不受限·%ProgramFiles% 不受限的整个ProgramFiles目录不受限这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器,会在一至两分钟内生效,不会立即生效,如果长时间不生效,我们可以通过注销,重新登陆来生效,也可以使用命令gpupdate /force 来强制刷新。
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例导读注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容:理论部分:1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限规则部分:5.如何用软件限制策略防毒(也就是如何写规则)6.规则的示例与下载其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。
如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。
我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。
或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么?一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量(假定系统盘为C盘)%USERPROFILE% 表示C:\Documents and Settings\当前用户名%HOMEPATH% 表示C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users%ComSpec% 表示C:\WINDOWS\System32\cmd.exe%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C:%HOMEDRIVE% 表示C:%SYSTEMROOT% 表示C:\WINDOWS%WINDIR% 表示C:\WINDOWS%TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles% 表示C:\Program Files%CommonProgramFiles% 表示C:\Program Files\Common Files关于通配符:Windows里面默认* :任意个字符(包括0个),但不包括斜杠? :1个或0个字符几个例子*\Windows 匹配C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
使用组策略限制软件运行示例
使用组策略限制软件运行示例xx年xx月xx日CATALOGUE目录•介绍•组策略基本概念•使用组策略限制软件运行的方法•实际操作示例•组策略限制软件运行的优缺点01介绍组策略(Group Policy)是Windows操作系统中一套允许管理员修改系统设置和用户配置的技术,用于配置和管理Windows系统中的策略、安全性和资源。
组策略基于Windows管理控制台(MMC)的管理员管理单元,通过使用管理模板文件(.adm)和相关的脚本文件来实现系统设置和用户配置的自定义。
什么是组策略组策略的功能和用途配置安全设置:组策略可以配置安全设置,例如密码策略、账户锁定策略、安全审计策略等。
定制应用程序:管理员可以使用组策略来配置应用程序的运行选项,例如启动位置、数据源、默认打印机等。
控制用户配置:组策略可以控制用户的桌面、开始菜单、网络连接、浏览器设置等,以及定义用户登录和注销的选项。
组策略具有以下功能和用途管理系统设置:管理员可以使用组策略来修改系统设置,例如启动和关机选项、用户权限和访问控制、安全设置等。
为什么需要使用组策略限制软件运行使用组策略限制软件运行可以帮助管理员更好地管理和控制系统的应用程序和资源,确保只有经过授权的应用程序可以在系统中运行,防止恶意软件的侵入和破坏。
通过限制软件的运行,可以降低系统被攻击或感染病毒的风险,提高系统的安全性和稳定性。
组策略还可以帮助管理员对系统进行集中管理和配置,减少了管理员的工作量,提高了管理效率。
02组策略基本概念组策略对象是组织单位(OU)和域(Domain)的集合,用于集中管理计算机或应用程序配置。
可以使用组策略来配置计算机或应用程序的各个方面,如软件设置、安全性和用户权限等。
理解组策略对象组策略配置文件(GPO)是存储组策略设置和链接到特定组织单位或域的容器。
每个GPO都有链接到目标组织单位或域的优先级,并且可以覆盖本地组策略设置。
组策略的配置文件本地组策略适用于单个计算机或应用程序的组策略设置。
多用户环境下软件限制策略
多用户环境下活用软件限制策略在多人共用一台计算机的环境下,我们可能需要对每个人可以使用的软件进行限制。
例如,系统中安装了一个游戏,可你不打算让其他使用这台计算机的人玩这个游戏。
或者公司的计算机上安装了很多软件,老板希望员工只能使用与工作相关的程序,其他非必需的程序都不准使用。
为了实现这一目标,我们可以配置Windows中的软件限制策略,Windows XP Pro、Windows Server 2003以及Windows Vista商业版、企业版和旗舰版这些带有组策略功能的操作系统都可以配置软件限制策略(Windows 2000虽然带有组策略,但没有软件限制策略功能)。
本文会介绍单机环境下软件限制策略的使用。
需要注意的一点是,和其他大部分策略一样,软件限制策略在域环境下才能发挥出最大作用,例如通过不同的OU(组织单元),域管理员可以为不同部门或者不同需求的员工创建出不同的策略。
在单机或工作组环境下,我们的策略只能对本地帐户生效。
软件限制策略可以让我们设置允许用户运行哪些程序,不允许运行哪些程序。
同时我们可以通过不同的规则来指定允许或者禁止运行的软件。
在Windows的软件限制策略中,我们可以通过下列条件来创建规则:证书规则通过证书规则,我们可以借助软件可执行程序自带的数字证书来创建策略。
例如,我们可以通过证书规则决定,所有带有来自微软的数字证书的软件都可以运行,或者所有带有某个不被信任的开发商的数字证书的软件都禁止运行。
这样每当我们试图运行一个程序的时候,系统都会查看该程序的数字签名,然后跟软件限制策略中的定义进行比较,并根据策略的设置决定是否允许运行。
哈希规则在使用哈希规则的时候,我们可以指定一个软件的可执行文件,然后由操作系统计算该文件的哈希值,并根据计算出来的哈希值决定是否允许运行该软件。
网络区域规则该规则主要用于使用Windows Installer技术安装的软件,因为通过该规则,我们可以对来自不同Internet区域的软件的安装程序采取不同的限制措施。
组策略应用规则示例
组策略应用规则示例在AD中创建两个OU,上层为OU1,下层为OU2,在OU2中有一个用户USERA。
1,在OU1中做组策略设置为从桌面删除回收站,OU2为禁止访问控制面板。
因为策略没有冲突,这时USERA为OU1和OU2的策略累加,即从桌面删除回收站,又禁止访问控制面板。
2,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用)。
这时OU1和OU2的策略产生冲突,因为没有强制的设置,所以以后执行的OU2为准,那么USER为阻止访问命令提示符,禁止访问控制面板和从桌面删除回收站(已禁用)。
3,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板,而OU2选择了阻止继承。
这时的USERA为禁止访问控制面板。
4,在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符,OU2为禁止访问控制面板和从桌面删除回收站(已禁用),而这时的OU1设置了强制,OU2设置了阻止继承。
这时的USERA为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。
因为OU1选择了强制,并且OU1和OU2还有冲突,这时强制为最高级,它会替换下层OU2中和它相冲突的策略。
在AD中创建一个OU为OU1,并在OU1中创建一个USERB。
在OU1中创建两个组策略分别为GP1和GP2,并GP1排列在GP2的上边。
1,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板,那么USERB为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。
无冲突策略累加。
2,这时GP1的策略为从桌面删除回收站和阻止访问命令提示符,而GP2的策略为禁止访问控制面板和从桌面删除回收站(已禁用)时。
因为GP1排列GP2的上边,那么最后USERB 为从桌面删除回收站和阻止访问命令提示符,禁止访问控制面板。
因为GP1在GP2上边,下边的策略先执行,上边的策略后执行,还是后执行的为准原则,所以当GP1和GP2发生冲突时,以后执行的GP1为准!⏹计算机策略覆盖用户策略⏹不同层次的策略产生冲突时,子容器上的GPO优先级高⏹同一个容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高⏹总体原则:后执行的优先级高。
系统组策略中的软件限制策略概述
对于Windows的组策略,也许⼤家使⽤的更多的只是“管理模板”⾥的各项功能。
对于“软件限制策略”相信⽤过的筒⼦们不是很多。
软件限制策略如果⽤的好的话,相信可以和某些HIPS类软件相类⽐了。
如果再结合NTFS权限和注册表权限,完全可以实现系统的全⽅位的安全配置,同时由于这是系统内置的功能,与系统⽆缝结合,不会占⽤额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能⼒也是其它软件所⽆法⽐拟的,不⾜之处则是其设置不够灵活和智能,不会询问⽤户。
下⾯我们就来全⾯的了解⼀下软件限制策略。
本系列⽂章将从以下⼏⽅⾯为重点来进⾏讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·⽰例规则 今天我们先介绍Windows组策略中的软件限制策略的概述、附加规则和安全级别。
1、概述 使⽤“软件限制策略”,通过标识并指定允许哪些应⽤程序运⾏,可以保护您的计算机环境免受不可信任的代码的侵扰。
通过散列规则、证书规则、路径规则和Internet 区域规则,就⽤程序可以在策略中得到标识。
默认情况下,软件可以运⾏在两个级别上:“不受限制的”与“不允许的”。
在本⽂中我们主要⽤到的是路径规则和散列规则,⽽路径规则呢则是这些规则中使⽤最为灵活的,所以后⽂中如果没有特别说明,所有规则指的都是路径规则。
2、附加规则和安全级别 ·附加规则 在使⽤软件限制策略时,使⽤以下规则来对软件进⾏标识: ·证书规则 软件限制策略可以通过其签名证书来标识⽂件。
证书规则不能应⽤到带有 .exe 或 .dll 扩展名的⽂件。
它们可以应⽤到脚本和 Windows 安装程序包。
可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运⾏。
·路径规则 路径规则通过程序的⽂件路径对其进⾏标识。
策略组禁止软件安装
策略组禁止软件安装策略可是好东西,禁止软件安装开始——运行:gpedit.msc——“组策略〞、“计算机配置〞、“管理模板〞、“Windows组件〞、“Windows Installer〞中选择1) “禁用Windows Installer〞、(已经启用)2) “禁止用户安装〞(已经启用)组策略可是好东西你可以通过自己编写规那么来最大限度阻止病毒运行,相当于一层防火墙.举例来说说吧U盘病毒盛行,你可用I:\.exe和I:\ 来阻止其运行,很不错吧还有一些简单规那么最有效抗病毒?\exe.txt这种险恶的双面病毒,一下就隔离了,呵呵.还有隐私地方,回收站,系统复原文件夹保护好了,就算中毒了,也没事!级别:学者2月12日20:00 在Windows XP中只有管理员登陆才能安装软件,如果是从客户登陆就不能安装,其他的功能几乎一样。
你在自己的机子上就开放Client用户,给别人使用然后自己使用管理员登陆。
这样就可以禁止他人在你的机子上安装软件,当然对自己是没有限制的Windows XP 客户端的软件限制策略:1、运行组策略---gpedit.msc---管理模板---Windows组件----Windows Installer---禁止用户安装--属性---已启用---禁止用户安装2、右击我的电脑--管理〔或者翻开管理工具里的效劳也行〕---效劳---Windows Instaaler--改成禁用---就行了。
也可以用Winlock来设置降低权限为user即可-----------------------------------------内置管理员帐号是不可以降级的。
只可以禁用。
组策略中没有这样的设置,可以结合楼上的说法,禁用内置管理员帐号,给用户普通用户权限-------------------------------------------Windows XP组策略& 应用组策略限制垃圾软件的安装和运行一、组策略的根本知识组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
组策略之软件限制策略—完全培训教材
组策略工具是系统自带的一款强大管理软件,却往往被人所忽视,我现在介绍一下它其他用户用你装的QQ,游戏啊之类的,的一个小小的功能,让它来帮我们禁止指定程序的运行。
比如你不想让设置得当,还可以防止病毒呢。
点击“开始”→“运行”输入gpedit.msc 后回车,就打开了“组策略”点选左边的“windows设置”→“安全设置”→“软件限制策略”→“其他规则”然后在右边的窗口中右击,选择“新路径规则”[attachment=30628][attachment=30629]把要限制的软件的地址添加进来即可。
知道了原理,破解网吧的限制你也就会了吧?在网吧的电脑上, 只要打开组策略,把里面的限制路径晴空就可以无所限制,任你访问了.禁用指定的文件类型2009-08-04 信息来源:瑞安免费信息网视力保护色:【大中小】【打印本页】【关闭窗口】在日常工作中,系统中的很多文件都可能给系统带来威胁,比如SHS、MSI、BAT、CMD、COM、EXE 等程序文件类型。
其实我们完全可以利用系统的组策略功能,来禁用这些危险的文件类型。
这样操作不但可以保证系统的安全,而且不会影响系统的正常运行。
这里假设我们要禁用批处理格式BA T 文件,不让系统运行BAT格式的文件,具体的策略组设置方法如下:第一步:首先点击开始菜单中的“运行”命令,输入“gpedit.msc”打开组策略。
接着点击“计算机配置→Windows设置→安全设置→软件限制策略”,然后在弹出的右键菜单上选择“创建软件限制策略”,即可生成“安全级别”、“其他规则”、“强制”、“指派的文件类型”、“受信任的出版商”等选项。
第二步:双击“指派的文件类型”选项,在弹出的“指派的文件类型属性”窗口,将“指定的文件类型”列表中将其他的文件全部删除,只留下BAT文件类型。
如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
第三步:双击“安全级别”中的“不允许的”选项,在弹出的“不允许的属性”窗口中,点击“设为默认值”按钮。
用Windows组策略实现软件限制
() 立限 制 规 则 。 同上 在 “ 它规 3建 其
则 ” 右击 选 择 “ 路 径规 则 ”按 提 示 选 上 新 ,
t 2g ei1c即可 编辑 组 策略 。 e \pdt 1 ” m3 .S I
经过 上 述 的设 置并 重 启 后 ,小 弟如
“ 安全 级别 ” 择 “ 选 不允 许 ” 。
许” 。 小 提示 下 载 的很 多 软 件 是 r】 式 , a格 还可 以 同样 的 如 果 要 运 行 ( 安 装 ): o 一 或 d d wn \ l d 下 的软件 也 会遭 到 拒绝 。 o s a 此外 , 对于 设 置散 列 规 则 限 制 的程 序 ,不 管 是 改名
rnv ro \ t t e i sz n s3 , e t es n I e tn \ o e 】 然 i n me s t g \
的程 序 。
小提 示
设置 / 安全 设置 / 软件 限 制策 略 ” ,单 击菜 单栏 的 “ 操作 / 创建 新 的策略 ” 建 策略 。 新
2封锁 QQ。 开新 建 的策 略 , “ . 展 在 其
用 。 如 果 要 运 行 mmc x , 只 要 将 “: .e e c
它规 则 ” 上右 击 选 择 “ 新散 列规 则 ”在 弹 ,
出 的窗 口单 击 “ 览 ” 择 Q e 这 时 浏 选 Q. ,
单 击 “ 具一 默 认 下 载 属 性 ”设 定 下 载 工 ,
保存 的 文件 夹 为 d d wno d。 : o la s \
ee病 毒 ( 无 法查 杀 )这 时 可 以 为 ac x” 但 , b.
e e 立一 个 散 列规 则 阻 止 其 运 行 并 删 x建 除它。 3 . 软 件运 行 我 阻止 。 下载 本机 下 载主 要使用 I E和 F Sg t 先 要设 定 下 载文 1 h e, a 首 件 夹 , 后 建 立 一个 新 的路径 规 则 , 样 然 这 就 可 以阻 止 小弟 安装 下 载 的软件 。
如何用组策略禁用电脑程序
组策略禁用电脑程序以QQ为例附运行命令首先进入组策略,开始-运行,输入gpedit.msc,进入组策略。
如上图:用户配置-管理模板-系统-不要运行指定的windows应用程序,双击打开下下面的对话框选择’已启动’ ,点击’显示’,弹出显示内容,点击添加,再输入框中输入要禁止的应用程序,如QQ.exe,注意这里要输入的是应用程序的启动程序,要全称+扩展名。
点击确定后就禁止了QQ在本电脑上的运行。
再运行QQ,就会弹出一下窗口。
附‘运行’下的命令:winver 检查Windows版本wmimgmt.msc 打开Windows管理体系结构(wmi)wupdmgr Windows更新程序wscript Windows脚本宿主设置write 写字板winmsd 系统信息wiaacmgr 扫描仪和照相机向导winchat xp自带局域网聊天mem.exe 显示内存使用情况msconfig.exe 系统配置实用程序mplayer2 简易widnows media playermspaint 画图板mstsc 远程桌面连接mplayer2 媒体播放机magnify 放大镜实用程序mmc 打开控制台mobsync 同步命令dxdiag 检查directx信息drwtsn32 系统医生devmgmt.msc 设备管理器dfrg.msc 磁盘碎片整理程序diskmgmt.msc 磁盘管理实用程序dcomcnfg 打开系统组件服务ddeshare 打开dde共享设置dvdplay dvd播放器net stop messenger 停止信使服务net start messenger 开始信使服务notepad 打开记事本nslookup 网络管理的工具向导ntbackup 系统备份和还原narrator 屏幕“讲述人”ntmsmgr.msc 移动存储管理器ntmsoprq.msc 移动存储管理员操作请求netstat -an (tc)命令检查接口syncapp 创建一个公文包sysedit 系统配置编辑器sigverif 文件签名验证程序sndrec32 录音机shrpubw 创建共享文件夹secpol.msc 本地安全策略syskey 系统加密,一旦加密就不能解开,保护Windows xp系统的双重密码services.msc 本地服务设置sndvol32 音量控制程序sfc.exe 系统文件检查器sfc /scannow windows文件保护 tsshutdn 60秒倒计时关机命令tourstart xp简介(安装完成后出现的漫游xp程序)taskmgr 任务管理器eventvwr 事件查看器eudcedit 造字程序explorer 打开资源管理器packager 对象包装程序perfmon.msc 计算机性能监测程序progman 程序管理器regedit.exe 注册表rsop.msc 组策略结果集regedt32 注册表编辑器rononce -p 15秒关机regsvr32 /u *.dll 停止dll文件运行regsvr32 /u zipfldr.dll 取消zip支持cmd.exe cmd命令提示符chkdsk.exe chkdsk磁盘检查certmgr.msc 证书管理实用程序calc 启动计算器charmap 启动字符映射表cliconfg sql server 客户端网络实用程序clipbrd 剪贴板查看器conf 启动netmeetingcompmgmt.msc 计算机管理cleanmgr 垃圾整理ciadv.msc 索引服务程序osk 打开屏幕键盘odbcad32 odbc数据源管理器oobe/msoobe /a 检查xp是否激活lusrmgr.msc 本机用户和组logoff 注销命令iexpress 木马捆绑工具,系统自带nslookup ip地址侦测器fsmgmt.msc 共享文件夹管理器utilman 辅助工具管理器gpedit.msc 组策略以下为Windows操作系统的常用运行命令,执行这些命令,就能打开系统对应的相关实用程序,如果大家能基本利用,就能检查并修复系统的最基本的故障,除注销,关闭系统命令外,其它所有命令,大家不妨一试!!运行\输入CMD\输入对应的相关实用程序:. 打开C:\Documents and Settings\XXX(当前登录Windows XP的用户名).. 打开Windows XP所在的盘符下的Documents and Settings文件夹…打开“我的电脑”选项。
使用组策略限制软件运行示例
测试软件限制策略
打开“组策略管理”控制台, 在控制台树中,找到并单击您 想要测试的组策略对象(例如 ,域或组织单位)。
在右侧窗格中,找到并单击您 刚刚创建的软件限制策略。
在软件限制策略的右侧窗格中 ,您应该能够看到刚刚创建的 策略已应用于该对象。
尝试在受限制的用户帐户或计 算机上运行软件,以验证策略 是否按预期工作。
降低系统资源占用
限制软件的运行可以有效 地降低系统资源的使用, 避免资源的浪费,提高系 统的性能。
增强用户隐私保护
限制某些软件的运行可以 保护用户的个人隐私,避 免用户数据被泄露。
使用组策略限制软件运行的缺点
可能影响用户体验
如果过度限制软件的运行,可 能会影响用户的使用体验,使 得某些正常的应用程序无法正
3. 附加说明:为了确保企业的正常运营,对于一些需要使用的特定游戏 软件,可以通过创建例外策略来满足其需求。此外,对于新安装的游戏 软件,需要及时更新组策略,以避免员工绕过限制使用该软件。
案例三:使用组策略限制某款恶意软件的运行
01
1. 通过组策略限制某款恶意软件的运 行,可以有效防止该软件对系统造成 损害,保护企业数据的安全。
安全性高:组策略可以帮助管理员监 控和控制用户的行为,有效防止恶意 软件和不必要的程序的运行,提高了 系统的安全性。2使用组策略限制软件运行
创建软件限制策略
打开“组策略管理”控制台,在控制台树中,右键单击所需的管理员组策略对象( 例如,域或组织单位),然后单击“创建新的组策略”。
在“创建新的组策略”对话框中,输入新组策略的名称和描述,然后单击“确定” 。
常运行。
可能影响工作效率
对于一些需要使用特定软件的员工 来说,限制其使用可能会影响他们 的工作效率。
使用组策略限制软件运行示例
03
组策略限制软件运行的实践操作
创建自定义组策略对象
打开“组策略管理”控制台,右键单击所需管理的计算机 ,选择“创建/链接新的GPO并在此处链接”。
在新建的GPO中,右键单击“计算机配置”或“用户配置 ”,选择“添加策略”。
配置软件限制策略
在新添加的策略中,依次展开“计算机配置”或“用户 配置”→“策略”→“Windows设置”→“安全设置 ”→“应用程序控制策略”→“应用程序规则”。
配置软件黑名单
配置软件黑名单
• 配置软件黑名单是指将特定的软件添加到组策略中的禁止运行列表中,以限制用户或计算机对该软件的访 问。
• 以下是配置软件黑名单的步骤 • 打开组策略编辑器(gpedit.msc) • 在左侧导航栏中选择“计算机配置”或“用户配置” • 在右侧选择“软件设置”下的“禁止运行指定的windows应用程序” • 点击“启用”并添加要禁止的软件列表 • 点击“确定”保存配置
• Step 1: Open the Group Policy Editor. • Step 2: Navigate to the appropriate policy location. • Step 3: Create a new policy or modify an existing one. • Step 4: Set the desired software restrictions. • Step 5: Save and apply the policy. • Appendix B: List of common software restrictions and their effects. • Blocking specific programs: This restriction prevents users from running specified programs. • Limiting program access: You can set access permissions for programs, allowing only authorized
组策略软件限制策略
作用:软件限制策略可 以帮助企业实现以下目 标
防止未经授权的软件安 装和使用,降低安全风 险。
提高计算机的稳定性和 性能,减少因软件冲突 或恶意软件引起的故障 。
规范员工使用计算机的 行为,提高工作效率。
02
策略规划与设计
确定限制对象与范围
限制对象
根据企业需求和安全策略,确定需要限制的软件类型,如游 戏、聊天工具、非法软件等。
对系统安全性的影响
提升系统安全性
通过限制某些软件或操作,可以 减少潜在的安全漏洞和风险,从 而提高系统的安全性。
可能导致安全盲点
不合理的限制策略可能会使安全 团队忽略某些风险,从而产生安 全盲点。
更新和维护成本
需要定期更新和维护限制策略以 适应新的安全威胁和漏洞,这可 能会增加企业的成本。
对企业合规性的影响
1 2
实时监控
通过组策略软件的监控功能,实时查看限制策略 的执行情况,如应用程序的使用情况、违规操作 等。
数据统计与分析
定期对监控数据进行统计和分析,评估限制策略 的执行效果,如策略覆盖率、违规率等。
3
用户反馈收集
通过调查问卷、用户访谈等方式,收集用户对限 制策略的意见和建议,以便进一步完善策略。
调整和优化限制策略
背景
随着企业信息化程度的提高,员工使 用计算机的行为也越来越多样化,因 此需要制定相应的策略来规范员工的 行为,保护企业的信息安全。
软件限制策略的定义和作用
01
02
03
04
05
定义:软件限制策略是 一组规则,用于限制或 允许在计算机上运行指 定的软件程序。这些规 则可以应用于整个计算 机或特定的用户组,以 确保只有经过授权的软 件才能在公司网络环境 中运行。
Windows组策略中软件限制策略规则编写示例
文件名规则 > 目录规则
对于同样是目录规则的,则目录数匹配越多就越优先。
如果同时存在两个相似的规则,则最具限制性的规则优先权最高。例如,如果 C:\Windows\ 上有一个路径规则,其安全级别为“不允许的”,而 %windir% 上也有一个路径规则,其安全级别为“不受限制的”,则会采用最具限制性的规则,即“不允许的”。
实战:U盘病毒解决方法
我这里介绍的都是一些通过系统自身来实现的方法,不使用第三方软件。喜欢用第三方软件的朋友们就不要讨论了。
前面已经介绍过第一种方法了:使用 软件限制策略,创建一条规则 “?\*.* 不允许的” ,这样即使你中了U盘病毒它也没办法运行。
第二种方法,其实也算是第一种方法的延伸吧。前面我们分析过系统对 autorun.inf 文件的处理流程,从中我们可以看出有一步,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
首先在D盘下建立 Autorun.inf 文件夹 然后运行CMD,输入
md d:\autorun.inf\test..\
这样就可以在autorun.inf文件夹里建一个名为“test.”的文件夹,在资源管理器中无法访问,无法改名,无法删除。
这种方法比较消极,但适用于经常在别人机子上使用U盘的情况。不过据说有些病毒已经可以对付这种方法了。
组策略软件限制策略
总结词
该策略通过限制软件在特定时间段内的使用次数来管理用户 行为。
详细描述
基于使用次数的软件限制策略允许管理员设置每个用户在一定 时间内可以使用特定软件或应用程序的次数。例如,管理员可 以设置用户在一周内只能打开某个应用程序5次。这种策略有 助于防止用户滥用软件,并确保他们不会过度依赖特定功能。
03
组策略软件限制策略的配置
使用组策略编辑器进行配置
打开组策略编辑器
按下Win键+R,输入"gpedit.msc" 并回车,打开组策略编辑器。
导航到软件限制策略
在左侧导航栏中,依次展开"计算机 配置"或"用户配置",然后展开"策略 "文件夹,再展开"安全设置"。
配置软件限制策略
在右侧窗格中,找到并双击"软件限 制策略",进入其属性页面。
人工智能环境下的软件限制策略将更加注重用户体验和个 性化需求。通过智能分析和预测用户行为,提供更加智能 、个性化的软件限制策略,提高用户的使用体验和满意度 。
THANKS
谢谢您的观看
限制某些软件的安装可以减少因软件冲突导 致的问题。
管理便利
管理员可以在中央位置控制和配置软件的安 装和使用,提高了管理效率。
节省系统资源
限制不必要的软件可以减少系统资源的占用 ,提高系统性能。
缺点
用户灵活性受限
用户可能无法自由选择他们需要的软件,降低了 用户体验。
需要定期更新和维护
组策略需要定期更新以适应新的软件和补丁,增 加了维护成本。
维护系统稳定性
限制不必要的软件安装可 以减少软件冲突和系统资 源占用,提高计算机性能 和稳定性。
组策略进行软件限制
打开组策略,gpedit.msc 计算机配置--windows设置---软件限制策略---其他规则---右键可新建规则
D:\Program Files\Tencent\QQGAME
C:\Program Files\Tencent\QQGAME
E:\Program Files\Tencent\QQGAME
等等
就像下面这样:
然后再右键新建散列规则:
关闭开始菜单中的运行命令:
关闭完之后就没有运行命令了!!
如果要使用运行命令的话:打开开始菜单---所有程序---附件---命令提示符--输入gpedit.msc
然后在用户配置---管理模板---任务和开始菜单---将
设置成未被配置就行了。
注意:::
如何恢复组策略默认设置:(当组策略不能打开,被限制的时候)
你重新启动电脑然后按F8 选择带命令行提示的安全模式~~然后在命令提示符那边输入
mmc.exe
然后依次单击文件---添加/删除管理单元--添加---组策略--添加--完成--关闭--确定
然后进到那个新建的组策略把你刚设置的全取消就行了!。
软件限制策略完全教程与规则示例
组策略之软件限制策略——完全教程与规则示例导读注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容:理论部分:1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限规则部分:5.如何用软件限制策略防毒(也就是如何写规则)6.规则的示例与下载其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。
如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。
我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。
或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么?一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量(假定系统盘为 C盘)%USERPROFILE% 表示 C:\Documents and Settings\当前用户名%HOMEPATH% 表示 C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users%ComSpec% 表示 C:\WINDOWS\System32\cmd.exe%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:\WINDOWS%WINDIR% 表示 C:\WINDOWS%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\LocalSettings\Temp%ProgramFiles% 表示 C:\Program Files%CommonProgramFiles% 表示 C:\Program Files\Common Files关于通配符:Windows里面默认* :任意个字符(包括0个),但不包括斜杠? :1个或0个字符几个例子*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows组策略中软件限制策略规则编写示例2008年10月30日星期四20:10对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。
对于“软件限制策略”相信用过的朋友们不是很多。
软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。
如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。
下面我们就来全面的了解一下软件限制策略。
本系列文章将从以下几方面为重点来进行讲解:·概述·附加规则和安全级别·软件限制策略的优先权·规则的权限分配及继承·如何编写规则·示例规则今天我们介绍Windows的组策略中软件限制策略规则编写示例。
根目录规则如果我们要限制某个目录下的程序运行,一般是创建诸如:C:\Program Files\*.* 不允许这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。
如果此目录下存在如 这样的目录(如C:\Program Files\\Site Map ),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的C:\Program Files\*\ 不受限的这样就排除了子目录,从而不会造成误伤。
上网安全的规则我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。
所以单纯的对浏览器缓存文件夹进行限制是不够的。
比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则:%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户%UserProfile%\Local Settings\Temporary Internet Files\** 不允许的%UserProfile%\Local Settings\Temporary Internet Files\* 不允许的%UserProfile%\Local Settings\Temporary Internet Files\ 不允许的%UserProfile%\Local Settings\Temporary Internet Files 不允许的如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。
U盘规则比较实际的作法:U盘符:\* 不允许的不信任的受限的都可以不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。
CMD限制策略%Comspec% 基本用户这里要注意的是系统对于CMD和批处理文件是分开处理的,即使对CMD设置了不允许,仍然可以运行批处理对于一些系统中平时我们极少用,但存在潜在威胁的程序我们也要进行限制。
比如ftp.exe、tftp.exe、telnet.exe、net.exe 、net1.exe 、debug.exe 、at.exe、arp.exe 、wscript.exe、cscript.exe等等,都可以将其设置为受限的或者直接设成不允许的。
禁止伪装的系统进程svchost.exe 不允许的C:\Windows\System32\Svchost.exe 不受限的如果你有兴趣,有精神,还可以为系统的所有进程做一个白名单,这样安全性可能会更高。
其它规则大家可以自由发挥。
策略的备份最后提一下策略的备份。
不能这么辛苦做完下次重做系统再来一次吧,呵呵,备份很简单,我们可以通过导出注册表来备份(不提倡,也就不介绍了)。
也可以通过直接备份文件来备份,打开C:\WINDOWS\system32\GroupPolicy\Machine ,在这个目录下有一个Registry.pol 文件,对,就是它了。
备份它,重做系统后直接COPY过来就可以了,当然你也可以将你的策略分享给更多人使用。
这里有一点要注意的,就是这个Machine文件夹如果没有,千万不能手动建立,否则无效,可以使用我们前面介绍过的创建策略的方法,创建以后就会生成这个文件夹,也可以你在备份的时候直接备份这个文件夹。
千万要记得不能手动建立。
如果你不想使用这些策略了,很简单,将Registry.pol 文件改名或者删除即可。
实战:U盘病毒解决方法我这里介绍的都是一些通过系统自身来实现的方法,不使用第三方软件。
喜欢用第三方软件的朋友们就不要讨论了。
前面已经介绍过第一种方法了:使用软件限制策略,创建一条规则“?\*.* 不允许的” ,这样即使你中了U盘病毒它也没办法运行。
第二种方法,其实也算是第一种方法的延伸吧。
前面我们分析过系统对autorun.inf 文件的处理流程,从中我们可以看出有一步,explorer.exe 读取autorun.inf 的内容后会将其写入注册表中,由此,我们可以通过对注册表相关键值的权限进行限制,从而使其无法修改注册表,进而达到防止U盘病毒运行的目的。
相关注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 \*\shell\openHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 \*\shell\autorunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 \*\shell\explorerHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 \*\shell\*\CommandHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 具体做法是将这些键降低权限,或者直接将所有用户对其的访问权限取消都可以。
第三种方法就是利用Windows的一个漏洞,建立Bug文件夹,来防止Autorun类病毒。
具体方法是:首先在U盘下建立一个名为Autorun.inf的文件夹,然后在这个文件夹下建立一个带“.”的BUG文件夹,这样的话autorun.inf 文件夹就无法删除了,比如我们在D盘下建立:首先在D盘下建立Autorun.inf 文件夹然后运行CMD,输入md d:\autorun.inf\test..\这样就可以在autorun.inf文件夹里建一个名为“test.”的文件夹,在资源管理器中无法访问,无法改名,无法删除。
这种方法比较消极,但适用于经常在别人机子上使用U盘的情况。
不过据说有些病毒已经可以对付这种方法了。
第四种方法,也是流传很广的一种做法,就是通过组策略或者注册表禁止自动播放功能。
这种方法以前我也是深信不疑的,但通过近来的几个小实验,发现这种方法也是有缺陷的,它只能防止一些做工粗糙的U盘病毒,对于很多病毒其实是防不了的。
这个我们可以做如下实验来验证。
我们自己建立一个autorun.inf 文件,放于U盘根目录下,再COPY一个NOTEPAD到你的U盘根目录下,其内容如下:[autorun]OPEN=NOTEPAD.exeshell\open=打开(&O)shell\open\Command=NOTEPAD.exeshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=NOTEPAD.exe从组策略中关闭自动播放功能,在U盘点击右键,新菜单里没有多出来的选项,但你双击U盘试试,你会发现NOTEPAD运行了。
使用右键选择打开或者资源管理器也一样,都会运行,因为这里autorun.inf 已经修改了右键菜单里原来这两项的功能了。
那么自动播放是用来干嘛的呢?相信很多筒子都知道,现在有好多光盘,当你把光盘放入光驱后,不用你进行任何操作,就会弹出一个界面,让你选择运行什么,或者播放什么这一类,记得瑞星的杀软就是这样,还有一些主板显卡的驱动盘也有这功能,但是把同样的内容放入U盘中,插入U盘的时候却不会自动运行,很显然操作系统的这个功能只是对光盘有效,这就是我们所知道的自动播放功能,我们在组策略中关闭了自动播放功能,仅仅只是使光盘放入光驱后不会自动运行,但你点击光驱右键,你会发现自动播放的选择还是存在的,所以关闭自动播放毫无意义。
在这里我们要注意一个小小的概念,自动播放(AutoPlay)自动运行(AutoRun)这是有区别的。
要想彻底关闭系统的这个功能,我们只能从服务入手,对系统熟的话你就会知道系统处理自动播放和自动运行的服务是Shell Hardware Detection ,所以我们只要关闭了Shell Hardware Detection 这个服务,所有的U盘病毒都不可能运行起来了。
但这种方法也不是万能的,因为系统的差异,可能某些系统关闭此服务后会导致系统启动缓慢。
个人认为,对于U盘病毒的防范,修改注册表的那种方法是最有效而且没有什么副作用的。