禁用软件

如果不想让别人使用某个软件

只要在其安装目录下新建一个文件名为ws2_32.dll的文件，这样系统就会以文件出错误而禁止运行（可以新建一个内容为空的文本文件，然后改名为ws2_32.dll）

本方法适用基于NT系统的WinXP,Win2000,Win2003

比较险恶~~用的时候再删除该文件就是。

想在自己电脑上禁止朋友玩游戏，又不能让人看出来是故意的（伤害感情）,这招就够绝的~~ 比如：

把其放在qq的安装文件夹下面，就ok了，不过要记得自己用的时候把它删了。

如果你的客户端是Windows XP Professional，那么就可以使用其中的软件限制策略。

简单来说，软件限制策略是一种技术，通过这种技术，管理员可以决定哪些程序（虽然这里用了“程序”这个字眼，不过不单指exe文件，我们可以通过该技术限制任何类型扩展名的文件被执行）是可信赖的，而哪些是不可信赖的，对于不可信赖的程序，则系统会拒绝执行。通常，管理员可以让系统使用以下几种方式鉴别软件是否可信赖：文件的路径、文件的哈希（Hash）值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件，以及其他强制属性。

软件限制策略不仅可以在单机的Windows XP操作系统中设置，可以设置仅影响当前用户或用户组，或者影响所有本地登录到这台计算机上的所有用户；也可以通过域对所有加入该域的客户端计算机进行设置，同样可以设置影响某个特定的用户或用户组，或者所有用户。我们这里会以单机的形式进行说明，并设置影响所有用户。单机和工作组环境下的设置和这个是类似的。另一方面，有时我们可能因为错误的设置而导致某些系统组件无法运行（例如禁止运行所有msc后缀的文件而无法打开组策略编辑器），这种情况下我们只要重新启动系统到安全模式，然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。

在本例中，我们假设了这样的应用：员工的计算机仅可运行操作系统自带的所有程序（C 盘），以及工作所必须的Word、Excel、PowerPoint和Outlook，其版本号皆为2003，并假设Office程序安装在D盘，员工电脑的操作系统为Windows XP Professional。

运行Gpedit.msc打开组策略编辑器，仔细看就可以发现，在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目，到底使用哪个？如果你希望这个策略仅对某个特定用户或用户组生效，则使用“用户配置”下的策略；如果你希望对本地登录到计算机的所有用户生效，则使用“计算机配置”下的策略。这里我们需要对所有用户生效，因此选择使用“计算机配置”下的策略。

在开始配置之前我们还需要考虑一个问题，我们所允许的软件都有哪些特征，而禁用的软件又有哪些特征，我们要想出一种最佳的策略，能使所有需要的软件正确运行，而所有不必要的软件一个都无法运行。在本例中，我们允许的大部分程序都位于系统盘（C盘）的Program Files以及Windows文件夹下，因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序，也可任意通过路径或者文件哈希的方法来决定。

点击打开“计算机配置”下的软件限制策略条目，接着在“操作”菜单下点击“创建新的策略”（目前在安装SP1的XP上，这里默认是没有任何策略的，但是对于安装SP2的系统，这里已经有了建好的默认策略），系统将会创建两个新的条目：“安全级别”和“其它规则”。其中在安全级别条目下有两条规则，“不允许的”和“不受限的”，其中前者的意思是，默认情况下，所有软件都不允许运行，只有特别配置过的少数软件才可以运行；而后者的意思是，默认情况下，所有软件都可以运行，只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了，因此我们需要使用“不允许的”作为默认规则。双击这条规则，然后点击“设为默认”按钮，并在同意警告信息后继续。

接着打开“其他规则”条目，可以看到，默认情况下这里已经有四个规则，都是根据注册表路径设置的，而且默认都设置为“不受限的”。强烈提醒你，千万不要修改这四个规则，否则你的系统运行将会遇到很大麻烦，因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时，我们前面说过的，位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的，而这四条默认的规则已经包含了这个路径，因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键，选择“新建哈希规则”，然后可以看到下图的界面。在这里点击“浏览”按钮，然后定位所有允许使用的Office程序的可执行文件（还记得分别是什么吗？winword.exe、excel.exe、powerpnt.exe、outlook.exe），并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”，然后点击确定退出。重复以上步骤，把这四个软件的可执行文件都添加进来，并设置为不受限的。

到这里大家可以考虑一个问题，为什么我们选择为每个程序的可执行文件建立哈希规则？统一为Office应用程序建立一个路径规则不是更简单？其实这样才可以避免可执行文件被替换，或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则，那么所有保存在允许目录下的文件都将可以被执行，包括允许程序本身的文件，也包括用户复制进来的任何其他文件。而哈希规则就不同了，一个特定文件的哈希值是固定的，只要文件内容不发生变化，那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题，虽然文件的哈希值可以不变化，但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序，那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则，每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。

除此之外，这里还有几条策略可以被我们利用：强制，可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户；指派的文件类型，用于指定具有哪些扩展名的文件可以被系统认为是可执行文件，我们可以添加或删除某种类型扩展名的文件；收信任的出版商，则可以用来决定哪些用户可以选择收信任的出版商，以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。

当软件显示策略设置好之后，一旦被限制的用户试图运行被禁止的程序，那么系统将会立刻发出警告并拒绝执行。

如何禁止计算机下载东西或者安装软件

如何禁止计算机下载东西或者安装软件? 113.248.169.*1楼 在INTERNET 属性里可以设置！依次打开INTERNET选项，然后选择安全，然后选择安全里的INTERNET的“自定义级别”然后在里面有很多选项，你找到。“文件下载”选择允许下载就 可以了，然后按应用A，再确定！ 一.运行gped it.msc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gp edit.msc->计算机配置->管理模板->windows组件->ms ins taller->启动“禁用ms installer"以及“禁止用户安装” (Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定) (策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许 运行的应用程序。而让你运行的程序限制又限制。) 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以。 ?2010-5-24 23:03 ?回复 113.248.169.*2楼 二.用超级兔子 三.我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止。 这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*.msi的肯定不能安装的。 四.在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户： gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派....下面有.....装载和卸载程序...允许信任以委托... 五."运行" msconfig,直接禁掉就可以了.除2000不能直接用,其它都可以 六.设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了。。。

告诉你win7禁止安装软件、win7限制安装软件的方法

告诉你win7禁止安装软件、win7限制安装软件的方法 作者：大势至日期：2014/1/21 有时候我们处于电脑安全的考虑，需要禁止电脑随意安装软件，限制电脑随意安装软件。尤其是当前国内用户正在逐步从XP操作系统向win7系统过滤，如何禁止win7安装软件、如何限制win7电脑随意安装程序就成为网管员所必须关注的一个功能。本文推荐两种不让win7安装软件、关闭win7随意安装软件的方法 方法一、通过组策略禁止电脑安装软件 1、按下Win+R键，在运行中输入“gpedit.msc”后回车，打开本地组策略编辑器。 2、单击展开“管理模板”，单击打开“windows组件”，单击选中“windows inst aller”，双击“禁用ms installer"。 3、在“禁用Windows Installer”中，选择“已起用”，单击“仅用于非托管应用程序”，选择“始终禁用”，点击“确定”。

二、通过电脑管理软件来禁止win7电脑安装软件 如果你觉得上面的方法较为复杂，也可以考虑通过部署电脑监控软件、网络监控软件来实现。在此笔者推荐一款——大势至USB端口监控软件，通过在电脑上安装之后，就可以启用这款软件的“禁止打开的程序”或“只让打开的程序”等功能。其中，“禁止打开的程序”是禁止电脑安装或运行的程序列表，类似于一种黑名单的方式来阻止电脑安装或运行程序，你可以通过添加程序名称的方式即可阻止程序的安装或运行；而“只允许打开的程序”，是一种类似于白名单的方式来限定电脑只让安装或运行某些程序，这样你可以将一些常用的程序添加进去之后，其他任何程序都无法安装或运行了。如下图所示：

如何禁止电脑下载东西或者安装软件-

如何禁止电脑下载东西或者安装软件? 我们经常在上网时可能不会注意这样的问题，网络流量，但当我们使用笔记本电脑上无线网时流浪是不能乱浪费的，有些套餐就有流量限制，但我们朋友在使用电脑时可不管这么多，要下载大软件照样下，那么有没什么办法有效限制下载呢/本文将详细介绍如何如何禁止电脑下载东西或者安装软件。 使用方法如下； INTERNET 属性里可以设置！依次打开INTERNET选项，然后选择安全，然后选择安全里的INTERNET的“自定义级别”然后在里面有很多选项，你找到。“文件下载”选择允许下载就可以了，然后按应用A，再确定！ 一.运行gpedit.msc打开组策略，在管理模板里打开windows组件，有个windows 安装服务，将右边的东西你看一下,具体方法:运行gpedit.msc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” (Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定) (策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序。而让你运行的程序限制又限制。) 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以。

二.用超级兔子 三.我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止。 这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*.msi的肯定不能安装的。 四.在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户： gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派....下面有.....装载和卸载程序...允许信任以委托... 五."运行" msconfig ,直接禁掉就可以了.除2000不能直接用,其它都可以 六.设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了。。。 启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序。 还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限.

谈在windows server 中使用软件限制策略

在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件，以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时，能够为组策略对象 (GPO) 定义两种默认安全级不（分不是无限制和不同意）中的一种，使得在默认情况下或者同意软件运行，或者不同意软件运行。要创建此默认安全级不的特例，能够创建针对特定软件的规则。能够创建以下几种规则：?哈希规则 ?证书规则 ?路径规则

? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否能够运行的决定。有了软件限制策略，用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略，能够执行以下任务： ?操纵能够在计算机上运行的程序。例如，假如担心用户通过电子邮件收到病毒，能够应用一个策略，不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上，仅同意用户运行特定的文件。例如，假如您的计算机上有多个用户，您能够设置软件限制策略，使用户除了能够访问必须在工作中使用的特定文件外，不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户，依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，假如存在已知病毒，就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明：Microsoft 建议不要用软件限制策略代替防病毒软件。

怎么关闭自动安装程序,防止电脑自动安装软件

怎么关闭自动安装程序，防止电脑自动安装软件 小编做网管的这几年当中碰到过很多次由于员工失误操作导致电脑中病毒木马导致文件丢失、电脑故障的，其实并不是这些员工不会操作电脑，而是现在很多网站加载的一些插件就自带木马或者流氓软件，当打开这些网站的时候点击允许就会自动下载安装，让人烦不胜烦。那么有没有办法关闭自动安装程序，防止电脑自动安装这些流氓软件或者木马呢？有的，下面小编来跟大家分享下具体的操作方法。 一、通过组策略关闭自动安装。 1、在电脑桌面使用快捷键win键+r唤出运行窗口，在搜索框中输入services.msc，然后点击回车键登入。 2、在打开的服务窗口中首先找到Application Identity服务，然后双击打开。

3、在打开的窗口下方找到启动类型，然后在下拉的菜单中选中自动，在下方点击启动，最后点击确定即可。

4、返回电脑桌面，再次使用快捷键win键+R唤出运行窗口，在搜索框中输入gpedit.msc，然后点击回车键。 5、在打开的本地组策略编辑器中依次点击展开计算机配置—管理模板—windows组件，

在其下找到并选中windows installer。 6、在右侧窗口中首先找到禁用Windows Installer，然后双击打开。 7、在打开的窗口中勾选已启用，然后在下方禁用Windows Installer中选中始终禁用，最

后点击确定。 8、在右侧窗口中再次找到禁止用户安装，然后双击打开。

9、在打开的窗口中勾选已启用，然后在下方用户安装行为中选中隐藏用户安装，最后点击确定。 二、通过网管软件禁止。 1、百度大势至电脑文件防泄密系统，在其官网下载，下载完成后解压，然后在解压的文件中找到并双击大势至电脑文件防泄密系统V14.2.exe安装。

怎么样禁止用户安装程序

1.打开"组策略"(gpedit.msc)-->"计算机配置"-->"管理模板"-->"Windows组件 "-->"Windows Installer"下启用"禁止用户安装". 2.打开"组策略"(gpedit.msc)-->"用户配置"-->"管理模板"-->"Windows组件 "-->"Windows Installer"下启用"禁止从可移动媒体进行任何安装". 3.在文件夹的"属性"中的"安全"里对用户给予相应的权限. 还有 就XP而行, 开始的运行中输入gpedit.msc确定,点计算机配置下管理模板加 号,windows组件加号，点windows installer,在右侧双击禁止用户安装，点选已启用． 绿色软件是不经过注册表的，所以你那种方法没有用 只有在组策略设置允许使用的程序，其他的禁止这样即使他们安装了，也是不能使用的 \ R7o P$} V/y v x n 具体的方法为： 如果你的电脑设置了多个用户，有些程序我们可能不希望其他用户随意运行，也能在组策略中设置。 打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。以后一

般用户只能运行“允许的应用程序列表”中的程序。包含“计算机配置”部分和“用户配置”部分。如果您希望应用的策略设置仅包含对该 GPO 的一个部分的配置更改，您可以配置该GPO 以使系统不处理未使用的部分。此时，您可以减少 Windows 处理 GPO 所花的时间。 1. 单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”。 2. 执行下列步骤之一：?如果您想要编辑链接到域的 GPO 的安全设置，则右键单击该域，然后单击属性。 ?如果您想要编辑链接到一个组织单元的 GPO 的安全设置，则单击展开该域，右键单击该组织单元，然后单击属性。 3. 单击组策略选项卡，单击要配置的 GPO，然后单击属性。 4. 执行下列步骤之一或都执行：?单击以选中“禁用计算机配置设置”复选框，然后，当收到“确认禁用”消息时单击是。 ?单击以选中“禁用用户配置设置”复选框，然后，当收到“确认禁用”消息时单击是。 5. 单击确定，单击应用，然后单击确定。 6. 退出“Active Directory 用户和计算机”管理单元。参考资料： https://www.360docs.net/doc/b016036340.html,/default.aspx?scid=kb;zh-cn; 可以通过组策略编辑器来禁用组策略控制台 运行组策略编辑器，启用“只允许运行Windows应用程序”的组策略项目，无论你是否在“只允许运行程序列表”中，添加了gpedit.msc命令，只要“只允许运行Windows应用程序”的组策略项目生效，系统的组策略就会自动“自锁”，即使你在超级管理员帐号下使用“gpedit.msc”命令，也不能打开系统的组策略编辑窗口 附：解自锁办法

Windows7 的 media center 程序被“软件限制策略阻止”

Windows7 的media center 程序被“软件限制策略阻止”打不开 之解决方案 前两天装了下win7专业版，这个版本可是微软的校园先锋计划提供的正版操作系统，价值200不到，够便宜；用了新系统么总要把玩把玩的，然后就玩出问题来了，听网上介绍Windows media center很档次的，所以也想运行下看到底有多档次，没想到根本就在“开始”菜单里面找不到，找了一下路径，发现可以使用Win+R，然后敲入“%windir%/ehome/ehshell.exe”打开，如此做了之后没想到出来如下一句警告： 此程序被软件限制策略阻止，果然厉害，问题是我到底改过什么地方我自己都忘了，唯一记得的是没改过注册表和组策略，就驱猫上网，查找解决方案。 第一种方案： 开始菜单——运行——输入gpedit.msc——打开“本地组策略编辑器”——计算机配置——管理模板——Windows组件——Windows media center——右边双击，打开后把“已禁用”勾上——重启。 这个方案，我试了下，把“计算机配置”和“用户配置”里的windows media center都设置了下，没有用。 第二种方案： 有说是被Win7优化大师给限制的，禁止媒体中心的那个选项被选中了，只要去掉就行。 这个方案，查看了下并没有任何勾选，没有用。 第三种方案： 使用替换法或TIMESTOP，来破解windows7，功能不全就不能用Windows Media Center了，需要重新破解 这个方案，没必要看，正版系统，没有用。 第四种方案： “Win+R”——regedit——HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windo wsMediaCenter右面的MediaCenter的属性设置为0，然后 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\WindowsMediaCenter右面的MediaCenter的属性设置为0 第五种方案： 那就是修复系统了，这是自己想到的，马上“Win+R”——cmd——sfc /scannow，漫长的等待后说没有问题，悲剧的。 这个方案，试过了，也没有用，我还查找了所有的WindowsMediaCenter 项，都改成0也没用。

禁止某一用户使用某程序 和安装软件1

禁止某一用户使用某程序和安装软件1 本文由：xp系统下载https://www.360docs.net/doc/b016036340.html,提供技术支持 好长时间没发教程了今天教大家一招利用管理员Administrator账户来管理其他账户主要是禁止非管理员账户禁止使用其上的某个EXE应用程序和禁止安装EXE软件这类的提问在百度知道上面的蛮多的所以今天抽出时间写了这个教程想搞这个的朋友可以细细看一下不使用其他任何软件就利用WIN7系统（XP系统的朋友看一遍以备以后用WN7的时候用到）自带的applocker这个非常好实用的功能即可实现我们的目标好了下面就跟我一块开始这个奇妙的旅程！ 首先说明一下必须是在Administrator账户下需要开启一个服务（这个服务默认的是手动的也就是关闭的需要我们去开启一下）打开服务之后找到Application Identify 将这个服务 设为自动并开启好的做好了这个后我们进行下一步开始 ---控制面板---系统和安全（查看方式这里是类别不是大、小图标）---管理工具---本地安全策略---应用程序控制策略--- 双击 AppLocker--- 会出现三个规则分别是

可执行规则、Windows程序安装规则、脚本规则 我们就用到前两个简单来说就是禁止某个程序运行禁止安装软件 好的继续我们先说如何实现禁止某个右击可执行规则之后会弹出子菜单选择 创建新规则 操作那里选择拒绝因为我们是要禁止某个程序的运行下面那个Everyone 是

账户我们需要指定某个具体账户不是每个账户所以单击后面的选择 之后打开选择账户和组对话框单击左下角的高级

单击立即查找 之后找到我们的那个非管理员用户（如果你用户较多为了方便查找最好在我们上面那个菜单选择此对象类型那里单击对象类型将组之前的√去掉只在用户前打钩这样就只显示用户组的就不显示了方便查找）选择它单

电脑账户权限限制

当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。 一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS 文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。 例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作：（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。 （3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。 （4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。 （5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。 要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。 这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。 对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

如何禁止别人在自己的电脑上安装程序

如何禁止别人在自己的电脑上安装程序 利用WINDOWS XP的软件限制策略，开始--运行--GPEDIT.MSC--确定，打开组策略编辑器，依次展开计算机配置---windows设置--安全设置--软件限制策略--其他规则，在右面窗口中点右键，选新散列规则，点击浏览，找到游戏的可执行文件，然后将其安全级别设置为不允许的，建议对游戏目录下的所有应用程序都这样做（如果你觉得要更保险的方法就是对游戏目录下的所有文件都这样做，可以防止采用下载游戏更新包更新后使刚才设置的规则失效，因为这个规则是基于文件内容的，只要文件内容被更改，策略就失效了，我想不会有那款游戏一次把所有的游戏文件都更新吧）就可以了，以后不管他将这个游戏放到什么磁盘什么目录下，都无法被windows运行 上面的朋友的方法也可以限制程序运行，但是一旦游戏的安装目录更改到其他文件夹了，那么这种限制方法也就没有作用的了. 另外一法: 在运行输入gpedit.msc 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“不要运行指定的windows应用程序”选项，在其后弹出的界面中，将“已启用”选项选中。随后，你将在对应的窗口中看到“显示”按钮被自动激活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击“确定”按钮; 方法三,1 -internet选项-安全-自定义级别-文件下载-禁用 2 在Windows XP中: Guest帐户允许其他人使用你的电脑，但不允许他们访问特定的文件，也不允许他们安装软件。 3 一运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->windows installer->启动“禁用windows installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定 策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以 4 我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边

在XP中如何禁止安装软件

在XP中如何禁止安装软件 2008年05月27日星期二 21:13 在XP中如何禁止安装软件2007-05-23 18:12 有个叫“KILLWINDOW”(窗口终结者)的，可以禁止一些标题含有特定字符(如SETUP、INSTALL、安装、设置等)的窗口运行。很多系统管理软件都有这个功能，例如美萍安全保镖等。 运行修改注册表就可以实现禁止安装程序 在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer 里面添加两个键 名称DisableUserInstalls 类型REG_DWORD 值0x00000002(2) DisableUserInstalls_Intelset_undo 类型REG_DWORD 值 0x062ce6f0(103606000) 这样就可以了 如果要允许安装，只需要把 名称DisableUserInstalls 类型REG_DWORD 值0x00000002(2) 的值改成 0x00000000(0)就可以了 gpedit.msc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定 策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止 这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时

教你如何在电脑上面限制安装软件

教你如何限制安装软件！ 一运行gpedit.msc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定 策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止 这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户： gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托 五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以 六设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了 启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序 还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限

Win10操作系统配置软件限制策略

龙源期刊网 https://www.360docs.net/doc/b016036340.html, Win10操作系统配置软件限制策略 作者：张志浩 来源：《科学与财富》2017年第28期 摘要：随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多，用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面，有人曾说，如果把 HIPS （Host-based Intrusion Prevention System ，基于主机的入侵防御系统）用的很好，就可以告别杀毒软件了。其实，在Windows中，如果能将组策略中的“软件限制策略”使用的很好，再结合NTFS权限和注册表权限限制，依然可以很淡定的告别杀毒软件。另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述：软件限制策略，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户：除本地管理员以外的所有用户。 启用限制策略在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它： 1. 打开组策略编辑器：gpedit.msc 2.将树目录定位至：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键，点选“创建软件限制策略”创建成功之后，组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则，应用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允

通过组策略可以实现禁止安装软件

通过组策略可以实现禁止安装软件，当然通过注册表也是可以实现的，现发2个注册表文件来实现软件的禁止安装与否，有兴趣的可以下载，不需要钱的，放心好了。不想下载的话，也可以自己做一个REG文件。方法如下，新建一个TXT文档，把这些：Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头，最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源：自由天空技术论坛，原文链接：https://www.360docs.net/doc/b016036340.html,/thread-14291-1-1.html 使用方法：将下述代码保存为：*.bat ，*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

Windows组策略中软件限制策略规则编写示例

Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略，也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行，一般是创建诸如： C:\Program Files\*.* 不允许 这样的规则，看起来是没有问题的，但在特殊情况下则可能引起误伤，因为通配符即可以匹配到文件，也可以匹配到文件夹。如果此目录 下存在如https://www.360docs.net/doc/b016036340.html, 这样的目录（如C:\Program Files\https://www.360docs.net/doc/b016036340.html,\Site Map https://www.360docs.net/doc/b016036340.html,），同样可以和规则匹配，从而造成误伤，解决方法是对规则进行修改：C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录，从而不会造成误伤。 上网安全的规则 我们很多时候中毒，都是在浏览网页时中的毒，在我们浏览网页时，病毒会通过浏览器漏洞自动下载到网页缓存文件夹中，然后再将自身 复制到系统敏感位置，比如windows system32 program files等等目录下，然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件，基于此，我们可以创建如下规则： %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器，同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法： U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高，也不会对U盘的正常操作有什么限制。 CMD限制策略

限制电脑安装程序、只允许电脑运行指定应用程序的方法

限制电脑安装程序、只允许电脑运行指定应用程序的方法 2014/1/21 大多企业在计算机使用方面往往有严格的规范，一是为了防止电脑变成娱乐工具影响正常的工作，二是出于网络和计算机的安全考虑，限制一些软件、程序的安装运行或者只允许使用特定的应用程序， 实现上述要求的方法不少，但其中最简单、使用最普遍的是通过一个软件——大势至USB端口管理系统（百度搜索即可下载试用）。在电脑上安装这个小工具之后，可以实现对计算机一些硬件设备（USB端口、网卡、光驱等）的禁用，同时也可以做到限制某些程序的安装和运行，是一款功能比较全面的电脑保护工具。 大势至USB端口管理系统 通过软件界面可以了解到它的大致功能，操作也是非常简单的，勾选相应的控制选项即可，例如要禁止qq运行，则勾选“禁止打开的程序”并单击“设置禁止程序列表”添加“qq”即可，设置只允许打开的程序以此类推。总之，通过这一软件来保护电脑的系统安全还是十分方便的。 如果不想在电脑安装软件，那么win7系统同样可以通过修改注册表的方式实现这一要求，详细步骤如下： 1、首先在开始菜单搜索框里输入“regedit”，回车启动注册表编辑器，接着定位到： HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer；

2、接着在Explorer上右击鼠标，新建--DWORD (32位)值，将其命名为DisallowRun，注意大小写。

3、接着双击这个新建的DWORD值，将其数值改为1，到这一步，注册表里的程序限制功能已经打开，接下去就是指定限制对象了。 4、然后返回注册表左侧，仍然在Explorer上右击，选择新建--项，并同样命名为DisallowRun；

软件限制策略与u盘病毒防范

Windows组策略之软件限制策略详解

散列算法）和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。 ? ? 例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。 ? ? Internet 区域规则 ? ? 区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。?? ? ? 以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况下列表中的文件类型包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以对于正常的非可执行的文件，例如TXT JPG GIF这些是不受影响的，如果你认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者你认为哪些扩展无威胁，也可以将其删除。 ? ? 安全级别 ? ? 对于软件限制策略，默认情况下，系统为我们提供了两个安全级别：“不受限的”和“不允许的” ? ? 注： ? ? 1、“不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限? ? 2、“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。 ? ? 但实际上，还有三个级别在默认情况是隐藏掉的，我们可以通过手动修改注册表来开启其它的三个级别，打开注册表编辑器，展开至： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 新建一个DOWRD，命名为Levels，其值为 0x4131000(十六十制的4131000)