迅维网

标题: 组策略限制软件运行 [打印本页]

作者: lqvjiqpl 时间: 2012-3-24 20:43
标题: 组策略限制软件运行
运行：gpedit.msc

打开：计算机配置——WINDOWS设置——安全设置——软限限制策略——右键新建软限限制策略——选其他规则—

—新建路径规则

第一条规则
路径：*
安全级别：不允许
描述：不用填，自已明白就行

（此条规则的含义是禁止所有程序运行）

第二条规则：
路径：%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
安全级别：不受限
描述：不用填，自已明白就行

含义：排除WINDOWS目录文件，不受第一条限制

第三条规则：
路径：%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe
安全级别：不受限
描述：不用填，自已明白就行

含义：排除WINDOWS目录程序，不受第一条限制，允许运行

第四条规则：

路径：%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe
安全级别：不受限
描述：不用填，自已明白就行

含义：排除系统程序，不受第一条限制，允许运行

第五条规则：
路径：%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
安全级别：不受限
描述：不用填，自已明白就行

含义：排除ProgramFiles目录，不受第一条限制，允许运行

第六条规则：
路径：*.lnk
安全级别：不受限

含义：快捷方式不受限（注：不被允许的程序的快捷方式也是不能运行的）

现在，再运行一下命令：gpupdate /force，用来刷新组策略或者是重启或注销一下，好了，你随便下个机器狗或碟磁机来，也运行不了了（注意，在WINDOWS目录，SYSTEM32目录，ProgramFiles是能运行的）

补充：设置了以上组策略后，如果要安装软件，请临时添加两条规则
%Temp% 不受限（用户变量不受限，保证软件的正常安装）
%TMP% 不受限    （临时文件存放目录不受限，保证软件的正常安装）

安装完毕，请删除这两条规则，以免IE临时文件夹中的木马或毒不受限制

你还可以做得更绝：
* 不允许
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 不允许
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 不允许
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%*.exe 不允许

然后逐个逐个的排除所有系统程序和你需要用的合法程序

这样永远不会中毒啦（除非你非要把病毒设为不受限）

有人会问：经常重装系统这样会很累啊。
答案是一点也不麻烦，你设置成功后，会在C:\WINDOWS\system32\GroupPolicy\Machine下生成一个Registry.pol文件，这就是组策略的设置文件了，你拷到其他盘后，下次重装时，新建一个软件限制策略，内容不用再输，把保存的Registry.pol文件复制到C:\WINDOWS\system32\GroupPolicy\Machine下就可以了。

作者: pfvl2008 时间: 2012-3-24 21:27
这东西发到这里来做什么，做网吧才需要这种东西嘛

作者: 新手li 时间: 2012-3-25 13:49
你在开始运行里输入组策略的命令不是更简单一些

作者: 至秦 时间: 2012-3-26 10:50
好贴，收藏备用，谢谢！

欢迎光临迅维网 (https://www.chinafix.com/)