修改组策略限制Win10系统安装软件的方法
修改组策略限制Win10系统安装软件的方法
组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比修改注册表方便、灵活。下面介绍Win10系统使用组策略禁止用户安装软件的操作步骤,防止电脑中被莫名其妙的安装一些不需要的软件和程序占用空间,一起来学习吧!
操作方法:
1、按“Win+R”打开“运行”窗口,输入“gpedit.msc”命令后按回车。
2、在win10系统https://www.360docs.net/doc/6510378668.html,/win10/打开本地组策略编辑器中,依次展开“计算机配置——管理模板——Windows组件——Windows Installer”
3、在右键窗口中,找到并双击“禁止用户安装”
4、在禁止用户安装界面,选择“已启用”后,点击底部确定即可。
利用组策略部署软件分发
【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏共享文件夹,即在共享名字后加$符号。 三、创建组策略对象
组策略详解
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
【必看】Win10系统安装教程-(insydeBOIS)
注意事项: 1.在系统安装之前,请仔细阅读本教程的详细步骤! 2.安装系统会清空磁盘的所有数据,请先备份好有用的个人数据!! 3.请确保机器的电量在60%以上,防止因为电量低导致系统安装失败!!!准备工作: 1.准备带供电的USB HUB和OTG线 2.键盘、鼠标(可选)和8GB或更大容量的U盘一个 操作步骤: 一、制作带启动功能的U盘 1.运行UltraISO软件(见目录下的: UltraISO_v9.5. 2.2836.exe)。 (如果电脑是WIN8.1或WIN10请以管理员身份运行) 2.加载PE镜像(见目录下的: winpe_x86_win10.iso) (此为32位PE,用来安装32位的WIN10系统)
3. U 盘插到电脑的USB 接口上,然后依次点击UltraISO 软件上方工具栏的启动—>写 入硬盘映像
在弹出的菜单上注意如下三个选项:
点击写入按钮,即可对U盘创建启动分区。完成以后退出软件,进到电脑的磁盘管理下,可以看到U盘有一个启动分区,然后另一个磁盘可以格式化成NTFS格式,存放大于4GB的单文件了。 二、安装或更新Win10系统 1.在电脑上解压缩下载的压缩包 温馨提示:如果是分卷压缩的,如下图所示,一个压缩包分两部分压缩,必须要全部下载下来,然后解压缩其中一个即可. 2.把前一步制作好的,带启动功能的U盘连接到电脑上,格式化成NTFS格式,在格式化 时要把U盘的磁盘名称改为WINPE(这个很重要,不然在安装系统时,有可能会出现认不到U盘的情况),然后打开前面解压的文件夹,把里面的所有文件复制到U盘上。复制完成以后,打开U盘显示的目录如下: 3.把带供电的USB HUB插上电源,然后插上键盘,鼠标,U盘和OTG线,OTG线另一端连 到平板上。 4.按平板的电源键开机,然后连续短按键盘的Esc键,进入BIOS界面。如下图所示:
用组策略统一部署Bginfo软件
用组策略统一部署Bginfo软件(显示计算机信息到桌面) 下面来说说如何在企业内部使用组策略统一部署Bginfo的: 1.下面是主程序的界面图 中间蓝色部分就是显示项,左边的设置项是可以更改的,比如改成中文; <>内的不可修改,fields下面就是显示设置的可选项 2.清空蓝色区域,在fields中选择要在工作站桌面上显示的内容,我选择的是Host Name和IP Address,并将字体大小,颜色等设置完毕 3.另存当前的配置文件”File”->”Save as”这里保存为bginfo.bgi 4.建立两个批处理,内容如下: copyfile.bat ------------------------------------------------------------------------- @echo off copy %logonserver%\netlogon\bginfo.exe %systemroot%\bginfo.exe bginfo.bat --------------------------------------------------------------------------- @echo off
bginfo.exe %logonserver%\netlogon\bginfo.bgi /nolicprompt /timer:0 5.把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件,拷贝到%logonserver%\netlogon目录下。 6.通过组策略管理器(GPMC),编辑或新建的一个组策略(OU组织单位),在"计算机配置"选择"windows设置","脚本(启动/关机)",在"启动"中添加copyfile.bat文件(把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件复制到“显示文件”按钮点开的文件夹内,按添加把copyfile.bat文件选中); 7.在计算机配置中选择 "windows设置","安全设置",右键点击"文件系统",选择"添加文件",在打开的窗口中输入 “%systemroot%bginfo.exe”,并将上两项的user权限改为可读写。(让域用户有权限将bginfo.exe复制到系统目录中,默认是只有读取权限的。如省略此步骤,工作站在登录时可能出现文件不能成功创建的错误信息)
酷比魔方I7-WN (I7手写版)WIN10系统安装教程
酷比魔方I7-WN (I7手写版)WIN10系统安装教程 注意:此安装文件仅适用于酷比魔方I7手写版序列号以I7WN开头的型号,其他I7手写板型号的机器也可以安装此系统,但是系统无法激活。 一:需要的工具及准备工作: 1.酷比魔方i7-WN WIN10系统安装文件.rar压缩包(需要用户自行登录酷比魔方官网下载) 2.键盘一个,USB-HUB集线器一个,U盘一个(容量必须8G或者8G以上) 3.机器电量保持在30%以上。 二升级步骤: 1.解压“酷比魔方i7-WN WIN10系统安装文件.rar”,得到: Bios,WIN10文件夹以及“酷比魔方I7-WN (I7手写版)WIN10系统安装教程.DOC” 2.将U盘格式化成NTFS,卷标命名成“WINPE”(U盘容量大小建议8G或者8G以上) 将WIN10文件夹目录下的所有文件拷贝到刚刚格式化的“WINPE”U盘根目录下。
注意:系统文件大概占用U盘6.3G容量。
3.将I7的USB-OTG口通过OTG线连上USB-HUB集线器,并在USB-HUB集线器的扩展口上插上USB键盘以及刚刚复制好系统安装文件的”WINPE”U盘 4.先按I7的电源键开机,然后按键盘上的F7键使I7启动进入磁盘启动界面: 5.通过键盘上的上下键选择复制好复制好系统安装文件的”WINPE”U盘,按ENTER回车键确认。 6.上述1-5个步骤操作正常,机器会自动进入PE系统进行系统安装:
在最后这个界面输入“exit”或者长按电源键重启机器即可进入I7 WIN10系统,整个安装过程到这里完成。 注意:如果上述安装过程后重启进入win10系统,进入的win10界面是如下界面: “重新启动”),平板将会自动进行清理部署,并重启进行正常的启动设置。
谈在windows server 中使用软件限制策略
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
组策略详细部署
1.隐藏电脑的驱动器 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\启用后,发现我的电脑里的磁盘驱动器全不见了,但在地址栏输入盘符后,仍然可以访问,如果再把下面的防止从“我的电脑”访问驱动器设置为启用,在地址栏输入盘符就无法访问了,但在运行里直接输入cmd,在Dos下仍然可以看见,接下来就是把CMD命令也禁用了。 位置:用户配置\\管理模板\\系统\\ 2.禁用注册表 位置:用户配置\\管理模板\\系统\\ 3.禁用控制面板 位置:用户配置\\管理模板\\系统\\ 如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看Windows\\System32里以cpl结尾的文件。 4.隐藏文件夹 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项, 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\ 5.关闭缩略图缓存 有时我们在文件夹中放过图片,后来移除了,但以缩略图缓存仍然能被其他人读取。 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器 6.去除开始菜单中的“文档”菜单 开始菜单中的文档一栏,会记载我们曾经编辑过的文档,我们可以去掉这个菜单: 位置:用户配置\\管理模板\\Windows组件\\任务栏和“开始”菜单 7.隐藏…屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护,但很容易被人修改,我们可以隐藏这一选项。 用户配置\\管理模板\\控制面板\\显示。 8.禁止更改TCP/IP属性 我们设定的IP地址可能会被更改,那么只要关闭它的属性页就可以了。 位置:用户配置\\管理模板\\网络\\网络连接 把下面两项设为启用。 9.删除任务管理器 可别小看了任务管理器,它除了可以终止程序、进程外还可以重启、关机,搜索程序的执行文件名,及更改程序运行的优先顺序。 位置:用户配置\\管理模板\\系统\\C trl+Alt+Del选项\\ 10.禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。
Windows组策略中软件限制策略规则编写示例
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.360docs.net/doc/6510378668.html, 这样的目录(如C:\Program Files\https://www.360docs.net/doc/6510378668.html,\Site Map https://www.360docs.net/doc/6510378668.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
酷比魔方IWORK8旗舰版(I1-T)WIN10系统安装教程
酷比魔方IWORK8旗舰版(I1-T)WIN10系统安装教程 注意:此安装文件仅适用于酷比魔方IWORK8旗舰版(I1-T)WIN10的型号。 一:需要的工具及准备工作: 1.酷比魔方IWORK8旗舰版(I1-T)WIN10系统安装文件以及教程.rar压缩包(需要用户自行登录酷比魔方官网下载) 2.键盘一个,USB-HUB集线器一个,U盘一个(容量必须8G或者8G以上) 3.机器电量保持在30%以上。 二升级步骤: 1.解压“酷比魔方IWORK8旗舰版(I1-T)WIN10系统安装文件以及教程.rar”,得到: BIOS,WIN10文件夹以及“酷比魔方IWORK8旗舰版(I1-T)WIN10系统安装文件以及教程.DOC” 2.将U盘格式化成NTFS,卷标命名成“WINPE”(U盘容量大小建议8G或者8G以上) 将WIN10文件夹目录下的所有文件拷贝到刚刚格式化的“WINPE”U盘根目录下。
注意:系统文件大概占用U盘5.4G容量。
3.将平板的USB-OTG口通过OTG线连上USB-HUB集线器,并在USB-HUB集线器的扩展口上插上USB键盘以及刚刚复制好系统安装文件的”WINPE”U盘 4.先按平板的电源键开机,然后按键盘上的F7键使平板启动进入磁盘启动界面: 5.通过键盘上的上下键选择复制好复制好系统安装文件的”WINPE”U盘,按ENTER回车键确认。 6.上述1-5个步骤操作正常,机器会自动进入PE系统进行系统安装:
在最后这个界面输入“exit”或者长按电源键重启机器即可进入IWORK11手写板WIN10系统,整个安装过程到这里完成。 注意:如果上述安装过程后重启进入win10系统,进入的win10界面是如下界面: “重新启动”),平板将会自动进行清理部署,并重启进行正常的启动设置。
使用组策略修改客户端DNS设置
1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat,将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat,将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚 本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”,将新建的computer.bat复制 进去,选择computer.bat保存确定。 4.设置用户策略
域环境通过组策略分发软件给客户端讲课稿
域环境通过组策略分发软件给客户端
域环境通过组策略分发软件给客户端 通常情况下,我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦)。通过在组策略的“计算机配置”中的“软件安装中,点击右键,如何选择程序包,通过UNC路径(注意了哦:这个是网络路径,所以,管理员必须把此软件共享出去)找到程序位置。如何,选择"已指派"就可以了。当然,在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有?在发布好软件后,选择软件里面的属性,查看“部署”,可以看见“指派”与“发行”两个选项(计算机配置中,发行为灰色)。所以,这里有就有三种软件部署的方法了: 1、发行给用户 2、指派给用户 3、指派给计算机 下面,来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时,软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式,用户再任何一台电脑登陆域,都可以在开始菜单与桌面上看到软件的快捷方式。同时,计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时,计算机就会自动下载安装次软件。但与发行给用户不同的是,用户可以删除此软件,但是,下次登陆时,它还是会出现,意思是说,它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式,用户不用手动执行,计算机会在启动时,自动下载并安装此软件。用户不能删除此软件,只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
Win10安装IE10浏览器方法步骤
Win10安装IE10浏览器方法步骤 具体方法如下: 1、在“开始”菜单中打开“控制面板”; 2、找到“系统和安全”并点击进入; 3、进入以后找到“windowsupdate”,点击下面的“查看以安装的更新”; 4、这时候系统会花几秒钟检查更新,然后在页面显示的更新找 到“InternetExplorer11”; 5、选中它,在上面的“组织”边上会出现“卸载”按钮; 6、点击,弹出是否卸载此更新,选择“是”; 7、等到卸载完以后,重启以后再次点击游览器就能看到版本变 成IE10的了。 补充:浏览器常见问题分析 1.IE浏览器首次开机响应速度慢,需要数秒。搞定办法:IE下 选择工具-internet选项-连接-局域网设置-取消自动检测。 2.IE9图片显示不正常或干脆不显示,尤其是QQ空间搞定办法:工具-internet选项-高级-加速图形-运用软件而非GPU选择。 3.打开网页显示【InternetExplorer已不再尝试还原此网站。 该网站看上去仍有问题。您可以执行以下操作:转到首页】搞定方案:工具-internet选项-高级中关闭【启用崩溃自动恢复】重新启动ie 后即开。 4.下载完所需安全控件也无法运用各种网银,付款时识别不出u 盾搞定方案:据提示下载银行安全控件并安装。插上u盾,拿建行
为例:在开始菜单里-所有程序-中国建设银行E路护航网银安全组 件-网银盾管理工具打开后点击你的u盾并注册。然后重新启动浏览 器(一定要完全退出再进)进入付款网页上方会显示是否允许加载项,选择在所有站点允许。这时候可能还需要再次重新启动浏览器进入 付款页面这时候你期待的u盾密码输入框会出现。这样就ok了 5.打开网页一直刷新-失败-刷新,无限循环搞定办法:工具-internet选项-高级-禁用脚本调试。 6.IE习惯性停止工作或崩溃。搞定办法:工具-管理加载项,一 一禁用排除以找到某个插件的问题。由于情况多种多样,有些时候 找不到具体原因,我们可以通过重置来搞定工具-internet选项-高级。 相关阅读:浏览器实用技巧 现在打开了台式电脑桌面上的360安全浏览器的主页。点击360 安全浏览器顶部菜单,可以看到一个剪刀形状的功能扩展的三角形的 下拉菜单,在下拉菜单中显示有截屏的快捷按钮,还有隐藏浏览器窗 口截屏和将网页保存成图片,还有打开WINDOWS画图板的功能选项。 我们在360安全浏览器截图扩展的下拉菜单当中,选择点击将网 页保存成图片的功能选项,注意选择点击剪刀形状旁边的三角形的下 拉菜单按钮。 点击360安全浏览器最下面的,360搜索关键词的左侧的一个放 大镜形象的功能按钮,当前打开了360搜索的主页。也就是360浏览 器搜索关键词的搜索引擎,360搜索的主页和网址导航。 当前随机打开一个航空公司的网站,看到当前主页网站下方显示了一个可信网站的标志。可以尝试打开它看它显示的是什么样的内容? 在当前360安全浏览器的搜索栏内,可以看见可信网站打开的可信网站的标识这个网址。可以看见可信网站权威数据查询的电子证 书验证信息服务信息的标题。我们可以将它拉到本地电脑收藏夹以 便日后查阅。
使用组策略部署软件
需要注意的是已发布的方法只能部署到用户,不能部署到计算机上,也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证: 1、当用户登录计算机时,软件并不会自动安装,只有当用户双击与应用程序关联的文件时,软件才会自动安装。如我们双击一个ppt 文档或doc文档时,会自动安装OFFICE。 2、对于发布的软件,用户可以在控制面板中的“添加/删除”中安装或者删除,也就是说用户自己可以安装,也可以卸载。 这种部署方法的好处在于,对于一些不能确定使用用户的软件,可以以发布方法部署,是否安装由用户自己决定。 配置方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已发布”。
已指派的方法可以将软件部署给用户和计算机,也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证: 1、软件对用户总是可用的,不管用户从哪一台计算机登陆,软件都将会在开始菜单或桌面上出现,但这时软件并没有被安装,只有在用户双击应用程序图标或与应用程序关联的文件时,软件才会被安装。 2、如果用户删除了安装的软件,哪么当用户下次登录时软件还会出现在开始菜单或是桌面上,并在用户双击关联文件时被激活安装。 这种部署的好处在于,对于一些不常用的,但某些人却必须要使用的软件我们没有必要在每台计算机都安装,只要指派给需要的用户,不管这个用户在哪台计算机上操作,都能保证要使用的软件是可用的。 方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证: 1、对于被指派的计算机,软件总是可用的,无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装,而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件,只有管理员才可以。 这种部署方法的好处在于,可以将一些大家都要用到的软件指派给计算机,被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤,只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后,可以修改待部署的软件包的选项以适应我们的需要: 1、点击软件安装,在右边找到待部署的软件包,点击右键选择属性,在出现的对话框中选择部署,如图。
Win10操作系统配置软件限制策略
龙源期刊网 https://www.360docs.net/doc/6510378668.html, Win10操作系统配置软件限制策略 作者:张志浩 来源:《科学与财富》2017年第28期 摘要:随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多,用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面,有人曾说,如果把 HIPS (Host-based Intrusion Prevention System ,基于主机的入侵防御系统)用的很好,就可以告别杀毒软件了。其实,在Windows中,如果能将组策略中的“软件限制策略”使用的很好,再结合NTFS权限和注册表权限限制,依然可以很淡定的告别杀毒软件。另一方面,由于组策略是原生于系统之上的,可能在底层与操作系统无缝结合,于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看,组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述:软件限制策略,目的是通过标识或指定应用程序,实现控制应用程序运行的功能,使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则,则可使得程序可以在策略中得到标识,其中,路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户:除本地管理员以外的所有用户。 启用限制策略在默认情况下,组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它: 1. 打开组策略编辑器:gpedit.msc 2.将树目录定位至:计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键,点选“创建软件限制策略”创建成功之后,组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则,应用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
远程修改组策略
远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录,如何恢复呢?今天我们就来做这个实验! 首先,我们要做一下的准备工作: 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置,使得任何用户都无法登录。 (1.)在Berlin上,点击开始/运行,输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器,然后点击windows设置/安全设置/本地策略/用户权限分配,如下图所示:
打开以后我们就可以找到拒绝本地登录这一项了,双击打开 打开后点击添加用户和组,把User用户添加进去
点击确定后,注销计算机。 任何的用户都无法登录了,甚至就连大名鼎鼎的管理员也无法登录了! OK!实验正式开始了! 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务,但计算机默认的telnet服务是关闭的,首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中,右键点击我的电脑,打开计算机管理,然后右键点击:计算机管理(本地)——连接到另一台计算机,如下图:
在选择计算机中输入Berlin的IP地址,然后点击确定。 然后的服务中找到Telnet,
手动启动起来。 OK!我觉得现在的准备工作才算完成了!接下来我们要用Telnet 把Berlin连接过来。 在Florence中,点击开始/运行,输入cmd
键入telnet 192.168.12.103 在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。 完成以后不用着急关闭该提示符。
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
如何设置常用组策略
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏