组策略软件限制策略

server组策略之软件限制策略教程xx年xx月xx日•软件限制策略的基础•软件限制策略的配置•软件限制策略的常见问题及解决方案•软件限制策略的实例应用目录01软件限制策略的基础软件限制策略是一种Server组策略，用于限制用户在服务器上使用和安装软件的权限。

根据限制范围，软件限制策略可分为基本策略和详细策略两种类型，其中基本策略限制用户使用某个软件类别，而详细策略则限制用户使用特定的软件应用程序。

定义与分类策略位置及配置软件限制策略在组策略中的位置计算机配置>管理模板>系统>软件限制策略。

在软件限制策略中，可以配置三种类型的策略灰名单、黑名单和白名单。

其中灰名单是介于黑名单和白名单之间的软件，黑名单是禁止使用的软件，白名单是可以使用的软件。

软件限制策略的规则包括：所有用户、所有软件、所有位置、所有版本、所有应用程序。

在例外中，可以添加允许使用某个软件应用程序的规则，以覆盖软件限制策略中的限制。

策略规则和例外02软件限制策略的配置软件限制策略可以通过配置文件和路径限制，控制特定软件或文件夹的访问权限，保障系统安全性。

总结词文件和路径限制是软件限制策略最常用的手段之一。

管理员可以通过在组策略中设置“软件限制策略”-“不允许指定的软件访问”或“只允许指定的软件访问”两个选项，来实现对特定软件或文件夹的访问控制。

详细描述文件和路径限制总结词哈希值限制是通过配置文件或文件夹的哈希值，实现对特定文件的访问控制，进一步增强系统安全性。

详细描述哈希值限制是一种更为高级的软件限制策略方法。

管理员可以通过在组策略中设置“软件限制策略”-“基于哈希值的软件限制策略”选项，并添加相应的哈希值来实现对特定文件的访问控制。

哈希值限制总结词证书限制是通过配置数字证书，实现对软件的签名和身份认证，提高软件的安全性和可信度。

详细描述证书限制通常用于对软件发布者的身份进行验证和确认。

管理员可以通过在组策略中设置“软件限制策略”-“证书限制”选项，并添加相应的证书来验证软件的签名和身份，从而实现对软件的访问控制。

组策略之软件限制策略——完全教程与规则示例导读注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。

如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。

我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE% 表示C:\Documents and Settings\当前用户名%HOMEPATH% 表示C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users%ComSpec% 表示C:\WINDOWS\System32\cmd.exe%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C:%HOMEDRIVE% 表示C:%SYSTEMROOT% 表示C:\WINDOWS%WINDIR% 表示C:\WINDOWS%TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles% 表示C:\Program Files%CommonProgramFiles% 表示C:\Program Files\Common Files关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个或0个字符几个例子*\Windows 匹配C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。

win7电脑提示此程序被组策略阻止的解决方法
win7电脑提示此程序被组策略阻止的解决方法。

此程序被组策略阻止解决方法：
1、使用Win+E快捷键，调出资源管理器→打开控制面板;如图所示：
2、控制面板→系统和安全;如图所示：
3、系统和安全→管理工具;如图所示：
4、管理工具→本地安全策略;如图所示：
5、右键点击软件限制策略→删除软件限制策略;如图所示：
6、在弹出的警告提示（删除在该组策略对象应以的所有限制策略吗？）→点击是;如图所示：
7、之后就会出现这样的提示：没有定义软件限制策略，如果一开始就是这个提示也没关系，右键点击软件限制策略→创建软件限制策略;如图所示：
8、这样就还原到软件限制的初始状态（无任何限制规则）。

如图所示：
以上内容就是有关于win7电脑提示此程序被组策略阻止的解决方法了，对于那些遇到相同问题的用户们来说，只要按照上述的方法步骤进行操作，那么就可以轻松解决这个问题了。

家长如何限制孩子使用一些软件（软件限制策略）【简介】在多人共用一台计算机的环境下，我们可能需要对每个人可以使用的软件进行限制。

例如，系统中安装了一个游戏，可你不打算让其他使用这台计算机的人玩这个游戏。

或者公司的计算机上安装了很多软件，老板希望员工只能使用与工作相关的程序，其他非必需的程序都不准使用。

关于软件限制策略的介绍就是上面这些。

那么在了解了所有的概念后，怎样才能根据需要设置出符合要求的策略来？下文会以家庭和办公室两种环境进行模拟。

家庭环境：禁止特定程序运行家长需要使用Windows Live Messenger联系朋友，但不希望孩子用这个软件在网上和陌生人聊天，这时候可以考虑使用软件限制策略。

要使用这个功能，家长必须使用管理员帐户，孩子则必须使用非管理员帐户。

这样做主要有两个目的：首先，在单机环境下，软件限制策略只能对所有本地帐户生效，只有一个例外，就是管理员帐户，我们可以通过组策略决定软件限制策略是否对管理员帐户生效。

另外，不让孩子使用管理员帐户，可以防止孩子私自修改相关策略，取消限制。

完整的操作过程是这样的：1. 运行secpol.msc打开“本地安全策略”控制台，从窗口左侧的控制台树中依次进入“安全设置”“软件限制策略”，用鼠标右键单击“软件限制策略”，选择“创建软件限制策略”。

接着双击右侧的“强制”策略，把“将软件限制策略应用到下列用户”选项设置为“除本地管理员以外的所有用户”。

2. 接着创建禁止运行Windows Live Messenger的策略。

在“其他规则”节点上单击鼠标右键，选择“新建路径规则”，在随后打开的对话框中单击“浏览”按钮，然后选择Windows Live Messenger的安装路径。

确定路径后在“安全级别”下拉菜单中选择“不允许的”。

这样就设置完成了。

现在请考虑，为什么在这里我们要使用路径规则，而不使用其他规则？如果使用证书规则，那么所有带有微软数字签名的软件都将无法使用，而Windows Vista中这样的软件数不胜数。

解除软件限制策略出现软件限制策略阻止，我们就需要了解一下什么是策略阻止，其实说简单点就是XP系统的组策略管理器中对某软件或功能进行了限制，所以无法运行。

我们先来扫一下盲，看一下下面这篇文章：用好组策略管理器，你会发现你也能成为电脑大虾组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。

利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。

平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。

组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。

本文主要介绍Windows XP Professional本地组策略的应用。

本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。

其下所有设置项的配置都将保存到注册表的相关项目中。

其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到HKEY_CURRENT_USER。

一、访问组策略有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。

1. 输入gpedit.msc命令访问选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口。

组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。

活动目录系列之四：脚本和软件限制策略的应用在域环境中，组策略显得尤为重要，作为一个域管理员，要时刻有效的管理域中的成员，就必须对组策略熟之又熟，它是我们域中的一个十分强大的管理机制，我们要学懂它，恐怕还得多下点功夫，下面我单把脚本的应用和软件限制策略作一下简单的叙述：1、脚本。

我们知道，在组策略中分为两大模块：计算机配置和用户配置。

对计算机做配置只是作用于某台计算机，对用户配置做配置只是作用于某用户，不过，计算机配置的优先级是大于用户配置的优先级的，明白了这点，我们就可以有目的的去做配置了。

首先，我在域中新建了一个组织单元“精英计划”，在“精英计划”下面又建了两个用户。

我现在想对张三和李四同时做脚本策略，那么我们就对“精英计划”这个组织单元做策略好了。

点击“精英计划”属性，点组策略。

然后新建策略点编辑，既然对用户对策略，我们就对“用户配置”做配置。

我们先点开“登录”，然后点“添加”这时我手动作一个“登录”脚本好了，把这个做好的脚本粘贴到上面的面板中好了，我们接着点“确定”就可以了，我们用同样的方法做一个用户注销脚本不同的是在用户配置中点击“注销”最后，等配置好了我们来刷新组策略（刷新策略有利于策略及时生效）到用户机器上看一下结果用账号“张三”登录到域中登录后就会出现“登录脚本”提示了然后我们来注销“张三”这个用户2. 软件限制策略首先新建一条策略编辑该策略（我们还是对用户进行配置）点击“创建软件限制策略”，我们可以看到“安全级别”和“其他规则”，“安全级别”定义了策略的表现形式（“不允许的”和“不受限的”），“其他规则”就包含了软件限制策略的四条规则（证书规则、哈希规则、Internet区域规则和路径规则）。

下面我就“哈希规则”做一下演示：新建“哈希规则：我们看到需要对某个文件哈希，浏览文件，我们下面就对用户的“cmd.exe”文件哈希，不过在这里要提示一下，用户一般为xp用户，其C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的，既然要对用户做软件限制，那我们必须将xp系统的cmd.exe文件先拷贝到服务器上，然后再浏览的这个文件的所在，就可以了！我们先把xp系统的cmd.exe文件找到：把这个文件拷贝到域服务器上，我放到桌面好了：这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数，安全级别为“不允许的”，即是说用户无法使用cmd.exe这个程序。

域控制器软件限制策略的配置
1、开始-运行gpedit.msc 打开组策略
在组策略编辑器中展开软件限制策略的安全级别节点。

2、选择右边不允许的或不受限的单击设为默认
打开对话框 单击浏览按钮导入3、单击其他规则
单击新建哈希规则 打开对话框
选择上方的操作选项 单击新建哈希规则
单击其他规则 选择上方的操作选项
要限制的文件
要限制的文件
单击新建路径规则，，可以在路径文本框中文件路径或注册表路径如果使用注册表路径4、单击新建路径规则
必须用%江注册表路径括起来 ...
5、软件策略里面有个指派的文件类型选项根据自己的需要可以在里面添加或删除文件后缀名
6、双击强制选项打开强制属性对话框选择软件限制策略应用的范围和用户
7、在受信任的发布者属性里面可以选择软件发布者的用户选项
在受信任的发布者属性里面可以选择软件发布者的用户选项，，并选择证书发行商的检查项目。

《server组策略之软件限制策略教程》•软件限制策略概述•软件限制策略的核心概念•软件限制策略的配置步骤•软件限制策略的疑难解析•软件限制策略的应用案例目•总结与展望录01软件限制策略概述软件限制策略是一种安全设置，用于限制应用程序的安装和使用。

软件限制策略通过在组策略中设置相关的策略选项，对应用程序的安装、运行和卸载进行限制。

1 2 3通过限制不受信任的软件安装和运行，可以减少系统遭受恶意软件攻击的风险。

保护系统安全软件限制策略可以限制应用程序的安装、运行和卸载，从而有效控制应用程序的行为。

控制应用程序行为通过限制不必要的软件启动和运行，可以提高系统的启动速度和运行效率。

提高系统性能基于安全标识符（SID）进行限制软件限制策略通过在组策略中设置特定的安全标识符（SID），然后将这些SID与不受信任的软件相关联，从而实现限制。

基于哈希值进行限制软件限制策略还可以通过设置特定的哈希值，对应用程序进行限制。

当应用程序安装时，系统会将其与预先设置的哈希值进行比较，如果匹配则允许安装，否则会禁止安装。

02软件限制策略的核心概念VS通过软件限制策略，管理员可以定义不同的类型，例如：应用程序、协议、URL或通配符，以限制特定软件或协议的使用。

可以根据需要自定义软件限制策略，以适应特定的网络环境和安全要求。

管理员可以定义软件限制策略的规则，例如：只允许运行特定的软件、禁止使用某些协议或限制特定软件的运行时间。

可以基于时间、用户或计算机设置规则，以及根据不同的条件组合进行限制，实现精细化的软件控制。

软件限制策略的常见应用场景防止内部网络被外部恶意软件入侵，保护网络安全。

限制特定软件的使用，例如：禁止使用USB存储设备，以防止数据泄露。

控制员工使用聊天工具、在线游戏等非工作软件的场景，提高工作效率。

03软件限制策略的配置步骤VS点击“开始”菜单，在搜索框中输入“gpedit.msc”，打开“组策略”编辑器。

在“组策略”编辑器中，依次展开“计算机配置”和“Windows 设置”节点。

组策略（gpedit.msc）的实际应用：设置大全电脑2010-05-14 20:40:38 阅读253 评论0 字号：大中小组策略（gpedit.msc）的实际应用：设置大全系统2009-01-24 10:46:28 阅读139 评论0 字号：大中小组策略（gpedit.msc）的实际应用：设置大全1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器1、删除“文件夹选项”2、隐藏“管理”菜单项1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

例如要删除“我的文档”，只需在“删除桌面上的…我的文档‟图标”一项中设置即可。

若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上…网上邻居‟图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的…我的文档‟图标”和“删除桌面上的…我的电脑‟图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

利用组策略部署软件和限制软件运行项目背景•我们可以通过AD DS组策略来为企业内部用户和计算机部署（deploy）软件，也就是自动为这些用户和计算机安装、维护和删除软件。

同时还可以为软件地运行制订限制策略。

项目目标•软件部署概述•将软件发布给用户•将软件分配给用户或计算机•启用软件限制策略5.1 软件部署概述可以通过组策略将软件部署给域用户和计算机也就是域用户登录或成员计算机启动时会自动安装或很容易安装被部署地软件，而软件部署分为分配（assign）和发布（publish）两种。

一般来说，这些软件必须是Windows Installer Package（也被称为MSI应用程序），也就是其内包含扩展名为.msi地安装文件。

5.1.1 将软件分配给用户将一个软件通过组策略分配给域用户后，用户在任何一台域成员计算机登录时，这个软件会被通告( advertised)给该用户，但此软件并没有被安装，而只是安装了和这个软件有关地部分信息而已，例如可能会在开始窗口或开始菜单中自动建立该软件地快捷方式（需视该软件是否支持此功能而定）。

用户通过单击该软件在开始窗口（或开始菜单）中地快捷方式后，就可以安装此软件。

用户也可以通过控制面板来安装此软件，以Windows 8.1客户端来说，其安装方法为【开始菜单→控制面板→单击程序处获得程序】。

5.1.2 将软件分配给计算机当您将一个软件通过组策略分配给域成员计算机后，这些计算机启动时就会自动安装这个软件（完整或部分安装，视软件而定），而且任何用户登录都可以使用此软件。

用户登录后，就可以通过桌面或开始窗口（或开始菜单）中地快捷方式来使用此软件。

利用组策略部署软件和限制软件运行•5.1.3 将软件发布给用户• 当将一个软件通过组策略发布给域用户后，此软件并不会自动被安装到用户地计算机内，不过用户可以通过控制面板来安装此软件，以Windows 8.1客户端来说，其安装方法为【开始菜单→控制面板→单击程序处获得程序】。

软件的限制和其破解方法图/文蒋寿盈[本文中涉及的一些知识可能会对计算机的正常操作产生影响，请做好注册表和组策略的备份，谨慎使用。

][本文仅供学习交流之用切勿用于非法途径！]大学生活丰富多彩，打游戏自然也是寝室娱乐项目中必不可少的。

前些天临近考试，寝室长为了让大家安心复习迎考，在网上搜了半天竟然把游戏给封了，当室友们打开游戏时提示“本次操作由于这台计算机的限制而被取消。

请与您的系统管理员联系。

”在紧张的学习生活中，稍微打打游戏还是需要的，于是他们找到了我。

经过我的一番打量和尝试，我终于知道了其中的奥秘。

在下文中，笔者将用具体事例带您了解Windows XP客户端的软件限制策略和映像劫持（Image File Execution Options），当然在开始之前，先让我们来了解一些相关知识。

一、映像劫持以及其基本原理所谓的IFEO就是Image File Execution Options，位于注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options。

Windows XP系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是，IFEO才会检查格式，然后再检查该可执行文件是否存在。

如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。

二、散列的含义及其算法Hash，一般翻译作"散列"，也有直接音译为"哈希"的，就是把任意长度的输入（又叫做预映射，pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。

了解了hash基本定义，就不能不提到一些著名的hash算法，MD5 和SHA1 可以说是目前应用最广泛的Hash算法，而它们都是以MD4 为基础设计的。

MD5(RFC 1321)是Ronald Rivest于1991年对MD4的改进版本。

组策略被限制, 组策略打开后几秒内自动关闭-------问题解决办法方法及解决办法1试着用第三方资源管理器找到mmc.exe并运行，或从任务管理器、DOS 访问 mmc.exe.因为修改了只运行许可的windows程序，所以从windows资源管理运行gpedit.msc 是不行的。

打开控制台1，选择文件-添加删除管理单元-在独立选项卡-选择添加-找到组策略对象编辑器。

完成确定，然后按照原先的方法修改策略。

如果要限制程序运行，最好还是用第三方工具吧。

方法及解决办法2运行 mmc ,找到gpedit.msc 点开来,然后保存,再去打开来看看.方法及解决办法31.用MMC控制台打不开吗?2.这个是找来的,你试试:A. 除了通过限制应用程序运行的策略外，还有许多操作都能使组策略在不经意间就会发生“自锁”现象。

如果是其他因素造成组策略发生“自锁”现象的话，我们该如何轻松解除呢?其实，所有对组策略的设置，都是基于系统注册表>的，因此对组策略任意分支的设置，都会在注册表的对应分支中有所体现;为此我们只要从修改注册表出发，就能轻松破解组策略的“自锁”现象:依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“regedit”，单击“确定”按钮后，打开系统的注册表编辑窗口;在该窗口中，依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，在随后弹出的如图2所示的窗口右侧区域中，你将看到一个“Restrict_Run”键值;用鼠标双击该键值，打开一个数值设置窗口，在其中输入数字“0”，最后单击“确定”按钮;此后，当你再次打开系统运行对话框，并在其中执行“gpedit.msc”命令时，你会发现自锁的组策略编辑窗口，现在可以被轻松打开了。

B.点开始，运行输入CMD回车在DOS提示符输入gpupdate /force然后回车就好了方法及解决办法4“本次操作由于这台计算机的限制而被取消。