解除禁止安装软件的限制
在记事本中输入下面的内容并存为Enable.reg,然后双击将其导入注册表即可
REGEDIT4
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=-
二,有些网管为了防止别人通过导入Reg文件来解除注册表的限制,会取消Reg文件的关联,那么直接按方案一就失效了,此时我们可以用命令行的方式读写注册表,点击开始--运行,键入"REG Delete HKCU\Software\Microsoft\Windows\Currentversion\Policies\System/V DisableRegistryTools",出现提示键入y后回车,限制即可解除。
三,如果网管把“运行”和“CMD.exe”也限制了,那么方案二舅无能为力了,只是可以利用VBS脚本来解决。即在“记事本”中输入下面的内容,另存为Enable.vbs,然后运行此文件即可解除限制。
On Error Resume Next
Set WSHShell=WScript.CreateObject("WScript.shell")
With WScript.CreateObject("WScript.shell")
WSHshell.RegDelete"HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System\Disa bleRegistryTolls"
End with
WSHShell.POPUP(“成功解除你的注册表”)
如果你非常幸运的碰上了特别抠门的网管,对VBS文件关联也做了手脚,那还可以通过按住SHift并右击VBS文件,选择打开方式--选择程序,打开的程序选择“ C:\Windows\system32\wscript.exe”,并钩选使用选择的程序打开这种文件,单击确定后VBS 文件关联即可恢复。(对于其他类型的文件关联也可以用这个方法来恢复,比如Reg文件,在Regedit. exe的限制解除了,通过此方法也可恢复它的文件关联,此外还可以借助第三方注册表编辑工具来修改注册表。
四,拿下Cmd和任务管理器
注册表的限制解除后,Windows的其它限制也就形同虚设了,比如刚碰到的CMD.exe被禁止了,可以通过将下面的内容保存为REG文件,双击将其导入注册表即可。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\system] "DisableCMD"=-
为了监视,有些网管可能会在系统里安装一些监控软件,为了防止监控进程被杀掉就对任务管理器也做了限制。平时遇到系统家私挽救只能重启,可见禁用任务管理器对日常操作造成了相当大的不便。解除限制只需要打开出册表编辑器,依次展开[HKCU\Software\Microsoft\Windows\system]分支,将右侧窗格中“DisableTakMgr”键值设置为0或直接删除及即可。
在记事本中输入以下内容并保存为EnableAll.vbs,运行此文件即可一键解除Regedit,CMD 和Taskmgr的限制。
On Error Resume Next
Set WSHShell=WScript.CreateObject("WScript.shell")
With WScript.CreateObject("WScript.shell")
RegDelete"HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System\DisableRegistry Tolls"
RegDelete"HKCU\Software\Policies\Microsoft\Windows\system\DisableCMD"
RegDelete"HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System\DisableTaskMg r"
End With
Mybox=MsgBox(enab&vbCR&"程序运行限制一解除!",1024,"result")
五,快速恢复限制状态
恢复注册表限制的脚本(其他限制只需修改相应的注册表路径即可),在记事本输入以下内容并保存为regonoff.vbs即可
Dim WSHShell.r.M.v.t.g.i
On Error Resume Next
Set WSHShell=WScript.CreateObject("WScript.shell")
v="HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System\DisableRegistryTolls" i="REG_DWORD"
t="注册表开关"
r=WSHShell.RegRead(v)
g=1
If(r=1) Then g=0
If g=1 Then
WSHShell.RegWrite v,1,i
M=MsgBox("是否限制注册表编辑器?",4,t)
Else
WSHShell.RegDelete v
M=MsgBox("是否限制注册表编辑器限制?",4,t)
End If
当注册表被限制时,只要运行RegOnOff.vbs,就会弹出一个”是否解除注册表编辑器限制“的对话框,选择是既可解除限制
如何禁止计算机下载东西或者安装软件
如何禁止计算机下载东西或者安装软件? 113.248.169.*1楼 在INTERNET 属性里可以设置!依次打开INTERNET选项,然后选择安全,然后选择安全里的INTERNET的“自定义级别”然后在里面有很多选项,你找到。“文件下载”选择允许下载就 可以了,然后按应用A,再确定! 一.运行gped it.msc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:运行gp edit.msc->计算机配置->管理模板->windows组件->ms ins taller->启动“禁用ms installer"以及“禁止用户安装” (Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定) (策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许 运行的应用程序。而让你运行的程序限制又限制。) 可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以。 ?2010-5-24 23:03 ?回复 113.248.169.*2楼 二.用超级兔子 三.我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开,将启动类型改为已禁止。 这样子大多数安装程序就不能安装了,因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序,尤其是那些*.msi的肯定不能安装的。 四.在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户: gpedit.msc-计算机配置-WINDOWS设置-安全设置-用户权利指派....下面有.....装载和卸载程序...允许信任以委托... 五."运行" msconfig,直接禁掉就可以了.除2000不能直接用,其它都可以 六.设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了。。。
告诉你win7禁止安装软件、win7限制安装软件的方法
告诉你win7禁止安装软件、win7限制安装软件的方法 作者:大势至日期:2014/1/21 有时候我们处于电脑安全的考虑,需要禁止电脑随意安装软件,限制电脑随意安装软件。尤其是当前国内用户正在逐步从XP操作系统向win7系统过滤,如何禁止win7安装软件、如何限制win7电脑随意安装程序就成为网管员所必须关注的一个功能。本文推荐两种不让win7安装软件、关闭win7随意安装软件的方法 方法一、通过组策略禁止电脑安装软件 1、按下Win+R键,在运行中输入“gpedit.msc”后回车,打开本地组策略编辑器。 2、单击展开“管理模板”,单击打开“windows组件”,单击选中“windows inst aller”,双击“禁用ms installer"。 3、在“禁用Windows Installer”中,选择“已起用”,单击“仅用于非托管应用程序”,选择“始终禁用”,点击“确定”。
二、通过电脑管理软件来禁止win7电脑安装软件 如果你觉得上面的方法较为复杂,也可以考虑通过部署电脑监控软件、网络监控软件来实现。在此笔者推荐一款——大势至USB端口监控软件,通过在电脑上安装之后,就可以启用这款软件的“禁止打开的程序”或“只让打开的程序”等功能。其中,“禁止打开的程序”是禁止电脑安装或运行的程序列表,类似于一种黑名单的方式来阻止电脑安装或运行程序,你可以通过添加程序名称的方式即可阻止程序的安装或运行;而“只允许打开的程序”,是一种类似于白名单的方式来限定电脑只让安装或运行某些程序,这样你可以将一些常用的程序添加进去之后,其他任何程序都无法安装或运行了。如下图所示:
如何禁止电脑下载东西或者安装软件-
如何禁止电脑下载东西或者安装软件? 我们经常在上网时可能不会注意这样的问题,网络流量,但当我们使用笔记本电脑上无线网时流浪是不能乱浪费的,有些套餐就有流量限制,但我们朋友在使用电脑时可不管这么多,要下载大软件照样下,那么有没什么办法有效限制下载呢/本文将详细介绍如何如何禁止电脑下载东西或者安装软件。 使用方法如下; INTERNET 属性里可以设置!依次打开INTERNET选项,然后选择安全,然后选择安全里的INTERNET的“自定义级别”然后在里面有很多选项,你找到。“文件下载”选择允许下载就可以了,然后按应用A,再确定! 一.运行gpedit.msc打开组策略,在管理模板里打开windows组件,有个windows 安装服务,将右边的东西你看一下,具体方法:运行gpedit.msc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” (Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定) (策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许运行的应用程序。而让你运行的程序限制又限制。) 可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以。
二.用超级兔子 三.我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开,将启动类型改为已禁止。 这样子大多数安装程序就不能安装了,因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序,尤其是那些*.msi的肯定不能安装的。 四.在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户: gpedit.msc-计算机配置-WINDOWS设置-安全设置-用户权利指派....下面有.....装载和卸载程序...允许信任以委托... 五."运行" msconfig ,直接禁掉就可以了.除2000不能直接用,其它都可以 六.设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了。。。 启用多用户登录,为每个用户设置权限,最好只有管理者权限的才能安装程序。 还有,你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的,然后设置上用户,给每个用户设置上权限.
谈在windows server 中使用软件限制策略
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
Windows组策略中软件限制策略规则编写示例
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.360docs.net/doc/c117757286.html, 这样的目录(如C:\Program Files\https://www.360docs.net/doc/c117757286.html,\Site Map https://www.360docs.net/doc/c117757286.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
怎么关闭自动安装程序,防止电脑自动安装软件
怎么关闭自动安装程序,防止电脑自动安装软件 小编做网管的这几年当中碰到过很多次由于员工失误操作导致电脑中病毒木马导致文件丢失、电脑故障的,其实并不是这些员工不会操作电脑,而是现在很多网站加载的一些插件就自带木马或者流氓软件,当打开这些网站的时候点击允许就会自动下载安装,让人烦不胜烦。那么有没有办法关闭自动安装程序,防止电脑自动安装这些流氓软件或者木马呢?有的,下面小编来跟大家分享下具体的操作方法。 一、通过组策略关闭自动安装。 1、在电脑桌面使用快捷键win键+r唤出运行窗口,在搜索框中输入services.msc,然后点击回车键登入。 2、在打开的服务窗口中首先找到Application Identity服务,然后双击打开。
3、在打开的窗口下方找到启动类型,然后在下拉的菜单中选中自动,在下方点击启动,最后点击确定即可。
4、返回电脑桌面,再次使用快捷键win键+R唤出运行窗口,在搜索框中输入gpedit.msc,然后点击回车键。 5、在打开的本地组策略编辑器中依次点击展开计算机配置—管理模板—windows组件,
在其下找到并选中windows installer。 6、在右侧窗口中首先找到禁用Windows Installer,然后双击打开。 7、在打开的窗口中勾选已启用,然后在下方禁用Windows Installer中选中始终禁用,最
后点击确定。 8、在右侧窗口中再次找到禁止用户安装,然后双击打开。
9、在打开的窗口中勾选已启用,然后在下方用户安装行为中选中隐藏用户安装,最后点击确定。 二、通过网管软件禁止。 1、百度大势至电脑文件防泄密系统,在其官网下载,下载完成后解压,然后在解压的文件中找到并双击大势至电脑文件防泄密系统V14.2.exe安装。
怎么样禁止用户安装程序
1.打开"组策略"(gpedit.msc)-->"计算机配置"-->"管理模板"-->"Windows组件 "-->"Windows Installer"下启用"禁止用户安装". 2.打开"组策略"(gpedit.msc)-->"用户配置"-->"管理模板"-->"Windows组件 "-->"Windows Installer"下启用"禁止从可移动媒体进行任何安装". 3.在文件夹的"属性"中的"安全"里对用户给予相应的权限. 还有 就XP而行, 开始的运行中输入gpedit.msc确定,点计算机配置下管理模板加 号,windows组件加号,点windows installer,在右侧双击禁止用户安装,点选已启用. 绿色软件是不经过注册表的,所以你那种方法没有用 只有在组策略设置允许使用的程序,其他的禁止这样即使他们安装了,也是不能使用的 \ R7o P$} V/y v x n 具体的方法为: 如果你的电脑设置了多个用户,有些程序我们可能不希望其他用户随意运行,也能在组策略中设置。 打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略,然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。以后一
般用户只能运行“允许的应用程序列表”中的程序。包含“计算机配置”部分和“用户配置”部分。如果您希望应用的策略设置仅包含对该 GPO 的一个部分的配置更改,您可以配置该GPO 以使系统不处理未使用的部分。此时,您可以减少 Windows 处理 GPO 所花的时间。 1. 单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。 2. 执行下列步骤之一:?如果您想要编辑链接到域的 GPO 的安全设置,则右键单击该域,然后单击属性。 ?如果您想要编辑链接到一个组织单元的 GPO 的安全设置,则单击展开该域,右键单击该组织单元,然后单击属性。 3. 单击组策略选项卡,单击要配置的 GPO,然后单击属性。 4. 执行下列步骤之一或都执行:?单击以选中“禁用计算机配置设置”复选框,然后,当收到“确认禁用”消息时单击是。 ?单击以选中“禁用用户配置设置”复选框,然后,当收到“确认禁用”消息时单击是。 5. 单击确定,单击应用,然后单击确定。 6. 退出“Active Directory 用户和计算机”管理单元。参考资料: https://www.360docs.net/doc/c117757286.html,/default.aspx?scid=kb;zh-cn; 可以通过组策略编辑器来禁用组策略控制台 运行组策略编辑器,启用“只允许运行Windows应用程序”的组策略项目,无论你是否在“只允许运行程序列表”中,添加了gpedit.msc命令,只要“只允许运行Windows应用程序”的组策略项目生效,系统的组策略就会自动“自锁”,即使你在超级管理员帐号下使用“gpedit.msc”命令,也不能打开系统的组策略编辑窗口 附:解自锁办法
组策略对windows7的安全性设置(陈琪) - 修改
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
禁止某一用户使用某程序 和安装软件1
禁止某一用户使用某程序和安装软件1 本文由:xp系统下载https://www.360docs.net/doc/c117757286.html,提供技术支持 好长时间没发教程了今天教大家一招利用管理员Administrator账户来管理其他账户主要是禁止非管理员账户禁止使用其上的某个EXE应用程序和禁止安装EXE软件这类的提问在百度知道上面的蛮多的所以今天抽出时间写了这个教程想搞这个的朋友可以细细看一下不使用其他任何软件就利用WIN7系统(XP系统的朋友看一遍以备以后用WN7的时候用到)自带的applocker这个非常好实用的功能即可实现我们的目标好了下面就跟我一块开始这个奇妙的旅程! 首先说明一下必须是在Administrator账户下需要开启一个服务(这个服务默认的是手动的也就是关闭的需要我们去开启一下)打开服务之后找到Application Identify 将这个服务 设为自动并开启好的做好了这个后我们进行下一步开始 ---控制面板---系统和安全(查看方式这里是类别不是大、小图标)---管理工具---本地安全策略---应用程序控制策略--- 双击 AppLocker--- 会出现三个规则分别是
可执行规则、Windows程序安装规则、脚本规则 我们就用到前两个简单来说就是禁止某个程序运行禁止安装软件 好的继续我们先说如何实现禁止某个右击可执行规则之后会弹出子菜单选择 创建新规则 操作那里选择拒绝因为我们是要禁止某个程序的运行下面那个Everyone 是
账户我们需要指定某个具体账户不是每个账户所以单击后面的选择 之后打开选择账户和组对话框单击左下角的高级
单击立即查找 之后找到我们的那个非管理员用户(如果你用户较多为了方便查找最好在我们上面那个菜单选择此对象类型那里单击对象类型将组之前的√去掉只在用户前打钩这样就只显示用户组的就不显示了方便查找)选择它单
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
电脑账户权限限制
当你的电脑经常需要被别人使用,但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时,你可以先以管理员身份登录Windows系统,参照以下几条作相应设置,然后开通来宾账户或者新建一个普通user账户(不是管理员,而是受限用户),让别人用这个账户登录系统,这时你就可以放心你的电脑任意让别人折腾。 一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式,管理员账户可以利用NTFS 文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下,一个应用程序安装到系统后,本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限,该用户也就失去了运行该应用程序的能力。 例如,要禁止受限用户运行Outlook Express应用程序,可以进行如下的操作:(1)、以administrator账户登录系统,如果当前系统启用了简单文件共享选项,需要将该选项关闭。具体做法是,在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”,点击“查看”选项页,取消“使用简单文件共享”选项的选择,点击“确定”。(2)、打开Program Files文件夹,选中Outlook Express文件夹并单击右键,选择“属性”。 (3)、点击“安全”选项页,可以看到Users组的用户对该文件夹具有读取和运行的权限,点击“高级”。 (4)、取消“从父项继承那些可以应用到子对象的权限项目,包括那些再次明确定义的项目”选项的选择,在弹出的提示信息对话框,点击“复制”,此时可以看到用户所具有的权限改为不继承的。 (5)、点击“确定”,返回属性窗口,在“用户或组名称”列表中,选择Users项目,点击“删除”,点击“确定”,完成权限的设置。 要取消指定用户对文件或程序的访问限制,需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。 这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提,那就是要求应用程序所在的分区格式为NTFS,否则,一切都无从谈起。 对于FAT/FAT32格式的分区,不能应用文件及文件夹的安全选项,我们可以通过设置计算机的策略来禁止运行指定的应用程序。
如何禁止别人在自己的电脑上安装程序
如何禁止别人在自己的电脑上安装程序 利用WINDOWS XP的软件限制策略,开始--运行--GPEDIT.MSC--确定,打开组策略编辑器,依次展开计算机配置---windows设置--安全设置--软件限制策略--其他规则,在右面窗口中点右键,选新散列规则,点击浏览,找到游戏的可执行文件,然后将其安全级别设置为不允许的,建议对游戏目录下的所有应用程序都这样做(如果你觉得要更保险的方法就是对游戏目录下的所有文件都这样做,可以防止采用下载游戏更新包更新后使刚才设置的规则失效,因为这个规则是基于文件内容的,只要文件内容被更改,策略就失效了,我想不会有那款游戏一次把所有的游戏文件都更新吧)就可以了,以后不管他将这个游戏放到什么磁盘什么目录下,都无法被windows运行 上面的朋友的方法也可以限制程序运行,但是一旦游戏的安装目录更改到其他文件夹了,那么这种限制方法也就没有作用的了. 另外一法: 在运行输入gpedit.msc 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“不要运行指定的windows应用程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮; 方法三,1 -internet选项-安全-自定义级别-文件下载-禁用 2 在Windows XP中: Guest帐户允许其他人使用你的电脑,但不允许他们访问特定的文件,也不允许他们安装软件。 3 一运行gpeditmsc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->windows installer->启动“禁用windows installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定 策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以 4 我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边
在XP中如何禁止安装软件
在XP中如何禁止安装软件 2008年05月27日星期二 21:13 在XP中如何禁止安装软件2007-05-23 18:12 有个叫“KILLWINDOW”(窗口终结者)的,可以禁止一些标题含有特定字符(如SETUP、INSTALL、安装、设置等)的窗口运行。很多系统管理软件都有这个功能,例如美萍安全保镖等。 运行修改注册表就可以实现禁止安装程序 在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer 里面添加两个键 名称DisableUserInstalls 类型REG_DWORD 值0x00000002(2) DisableUserInstalls_Intelset_undo 类型REG_DWORD 值 0x062ce6f0(103606000) 这样就可以了 如果要允许安装,只需要把 名称DisableUserInstalls 类型REG_DWORD 值0x00000002(2) 的值改成 0x00000000(0)就可以了 gpedit.msc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定 策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开,将启动类型改为已禁止 这样子大多数安装程序就不能安装了,因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序,尤其是那些*msi的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时
教你如何在电脑上面限制安装软件
教你如何限制安装软件! 一运行gpedit.msc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用,点确定 策略里启用:禁用“添加/删除程序”,再启用下面的策略:控制台--用户配置--管理模板--系统”中的“只运行许可的Windows应用程序”,在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制,但只要使用者可以进入组策略,那他还是可以安装文件的,设置的方法进入组策略后,进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开,将启动类型改为已禁止 这样子大多数安装程序就不能安装了,因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序,尤其是那些*msi的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户: gpedit.msc-计算机配置-WINDOWS设置-安全设置-用户权利指派下面有装载和卸载程序允许信任以委托 五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以 六设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了 启用多用户登录,为每个用户设置权限,最好只有管理者权限的才能安装程序 还有,你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的,然后设置上用户,给每个用户设置上权限
通过组策略可以实现禁止安装软件
通过组策略可以实现禁止安装软件,当然通过注册表也是可以实现的,现发2个注册表文件来实现软件的禁止安装与否,有兴趣的可以下载,不需要钱的,放心好了。不想下载的话,也可以自己做一个REG文件。方法如下,新建一个TXT文档,把这些:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头,最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源:自由天空技术论坛,原文链接:https://www.360docs.net/doc/c117757286.html,/thread-14291-1-1.html 使用方法:将下述代码保存为:*.bat ,*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
Windows7 的 media center 程序被“软件限制策略阻止”
Windows7 的media center 程序被“软件限制策略阻止”打不开 之解决方案 前两天装了下win7专业版,这个版本可是微软的校园先锋计划提供的正版操作系统,价值200不到,够便宜;用了新系统么总要把玩把玩的,然后就玩出问题来了,听网上介绍Windows media center很档次的,所以也想运行下看到底有多档次,没想到根本就在“开始”菜单里面找不到,找了一下路径,发现可以使用Win+R,然后敲入“%windir%/ehome/ehshell.exe”打开,如此做了之后没想到出来如下一句警告: 此程序被软件限制策略阻止,果然厉害,问题是我到底改过什么地方我自己都忘了,唯一记得的是没改过注册表和组策略,就驱猫上网,查找解决方案。 第一种方案: 开始菜单——运行——输入gpedit.msc——打开“本地组策略编辑器”——计算机配置——管理模板——Windows组件——Windows media center——右边双击,打开后把“已禁用”勾上——重启。 这个方案,我试了下,把“计算机配置”和“用户配置”里的windows media center都设置了下,没有用。 第二种方案: 有说是被Win7优化大师给限制的,禁止媒体中心的那个选项被选中了,只要去掉就行。 这个方案,查看了下并没有任何勾选,没有用。 第三种方案: 使用替换法或TIMESTOP,来破解windows7,功能不全就不能用Windows Media Center了,需要重新破解 这个方案,没必要看,正版系统,没有用。 第四种方案: “Win+R”——regedit——HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windo wsMediaCenter右面的MediaCenter的属性设置为0,然后 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\WindowsMediaCenter右面的MediaCenter的属性设置为0 第五种方案: 那就是修复系统了,这是自己想到的,马上“Win+R”——cmd——sfc /scannow,漫长的等待后说没有问题,悲剧的。 这个方案,试过了,也没有用,我还查找了所有的WindowsMediaCenter 项,都改成0也没用。
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图: