Windows组策略中软件限制策略规则编写示例

在XP中如何禁止安装软件一运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以二用超级兔子三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----击打开，将启动类型改为已禁止这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi 的肯定不能安装的四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行进管理员帐户：gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以六设置用户权限给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限禁用Windows Installer服务。

Win7组策略技巧：限制程序运行1如果不想让办公室的同事在你电脑上运行QQ或是阿里旺旺等程序，但如果不让同事安装的话，也会伤了和气，那怎么办呢？我们完全可以通过Windows 7系统来限制指定的程序运行，通过使用Windows 7系统新增的AppLocker功能(应用程序控制策略)，就可以使用它轻松创建对某个程序的限制策略。

比如你要禁止QQ运行，可以这么做：单击“开始”→在“搜索程序和文件”框中键入secpol.msc→按 Enter键→打开本地安全策略→找到应用程序控制策略→AppLocker→右侧空白区域右键菜单→创建新规则→进入新规则向导。

“权限”步骤：操作设为“拒绝”，用户可以选择“Everyone(全部人)”或者是指定帐户。

“条件”步骤：最保险的就是通过“发布者”的条件来做限制，也就是说，现在的大型软件的相关程序都是经过软件发布者签名的，利用这个规则，就可以限制所有拥有该签名的程序，这就避免了“路径”规则的修改路径后即可运行，或者是”文件哈希“规则的换个版本可运行的规避手段。

为了方便演示，这里我们选“发布者”。

“发布者”设置：“浏览”找到QQ的主程序文件，选择后会自动出现该程序的相关信息，在滑动按钮中我们选择“发布者”。

“例外”设置：经过上一步设置后，所有带有腾讯官方签名的程序都将无法运行，比如QQ、QQ音乐、QQ影音、QQ游戏等腾讯系列软件，甚至包含了安装程序，如果需要单独允许某个程序运行，可在这里将其添加成例外程序。

“名称”设置：最后一步就是设置规则名称，你可以帮这条规则起个易于识别的名称。

如果你是当前创建的是第一条规则，那么在完成后会有个默认规则创建提示，需点击“是”，允许创建默认规则，以免你设置的规则使得系统文件程序遭到限制。

成功创建规则后，当用于企图运行带有腾讯官方签名的任何程序时，操作都将被拦截。

这个规则无论用户如何更改文件路径、版本都能生效。

如果设置AppLocker规则无效，请单击“开始”→在“搜索程序和文件”框中键入services.msc→按 Enter键→打开“服务”，找到找到Application Identity项，将其启动类型设为“自动”，然后按“启动”，就可让规则生效。

软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。

如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。

下面我们就来全面的了解一下软件限制策略。

本系列文章将从以下几方面为重点来进行讲解：·概述·附加规则和安全级别·软件限制策略的优先权·规则的权限分配及继承·如何编写规则·示例规则今天我们介绍Windows的组策略中的如何编写规则。

关于规则编写，我们要遵循以下几个原则：要方便，不能对自己有过多的限制，这样，即使出现问题也好排队要安全，要考虑到你的系统中毒的来源有哪些，针对其做好防护。

基于文件名的病毒规则尽量少用，因为容易出现误阴，而且病毒的文件名随便可以改，我们做的又不是特征库。

下面介绍规则的具体编写方式开始-> 运行-> gpedit.msc在左边的窗口中依次展开计算机配置-> Windows设置-> 安全设置-> 软件限制策略。

如果你之前没有进行过设置，那么在软件限制策略上点右键，选择创建新的策略。

然后在其它规则上右键点击，选择新路径规则既可以进行规则的创建了。

规则的设置很简单，就五个安全级别，根据你自己的需要设置即可。

难点主要是规则的正确性和有效性，这个得靠多多实践来提升了。

另外提醒一下，大家在设置规则时，注意不要更改以下4条系统默认规则同时还要考虑它们的影响：·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 路径不受限的·%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ProgramFilesDir% 路径不受限的相当于规则：·%SystemRoot% 不受限的整个Windows目录不受限·%SystemRoot%\*.exe 不受限的Windows下的exe文件不受限·%SystemRoot%\System32\*.exe 不受限的System32下的exe文件不受限·%ProgramFiles% 不受限的整个ProgramFiles目录不受限这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器，会在一至两分钟内生效，不会立即生效，如果长时间不生效，我们可以通过注销，重新登陆来生效，也可以使用命令gpupdate /force 来强制刷新。

组策略之软件限制策略——完全教程与规则示例导读注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容：理论部分：1.软件限制策略的路径规则的优先级问题2.在路径规则中如何使用通配符3.规则的权限继承问题4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限规则部分：5.如何用软件限制策略防毒（也就是如何写规则）6.规则的示例与下载其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。

如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。

我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了一.环境变量、通配符和优先级关于环境变量（假定系统盘为C盘）%USERPROFILE% 表示C:\Documents and Settings\当前用户名%HOMEPATH% 表示C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users%ComSpec% 表示C:\WINDOWS\System32\cmd.exe%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C:%HOMEDRIVE% 表示C:%SYSTEMROOT% 表示C:\WINDOWS%WINDIR% 表示C:\WINDOWS%TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles% 表示C:\Program Files%CommonProgramFiles% 表示C:\Program Files\Common Files关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个或0个字符几个例子*\Windows 匹配C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。

使用组策略限制软件运行示例xx年xx月xx日CATALOGUE目录•介绍•组策略基本概念•使用组策略限制软件运行的方法•实际操作示例•组策略限制软件运行的优缺点01介绍组策略（Group Policy）是Windows操作系统中一套允许管理员修改系统设置和用户配置的技术，用于配置和管理Windows系统中的策略、安全性和资源。

组策略基于Windows管理控制台（MMC）的管理员管理单元，通过使用管理模板文件（.adm）和相关的脚本文件来实现系统设置和用户配置的自定义。

什么是组策略组策略的功能和用途配置安全设置：组策略可以配置安全设置，例如密码策略、账户锁定策略、安全审计策略等。

定制应用程序：管理员可以使用组策略来配置应用程序的运行选项，例如启动位置、数据源、默认打印机等。

控制用户配置：组策略可以控制用户的桌面、开始菜单、网络连接、浏览器设置等，以及定义用户登录和注销的选项。

组策略具有以下功能和用途管理系统设置：管理员可以使用组策略来修改系统设置，例如启动和关机选项、用户权限和访问控制、安全设置等。

为什么需要使用组策略限制软件运行使用组策略限制软件运行可以帮助管理员更好地管理和控制系统的应用程序和资源，确保只有经过授权的应用程序可以在系统中运行，防止恶意软件的侵入和破坏。

通过限制软件的运行，可以降低系统被攻击或感染病毒的风险，提高系统的安全性和稳定性。

组策略还可以帮助管理员对系统进行集中管理和配置，减少了管理员的工作量，提高了管理效率。

02组策略基本概念组策略对象是组织单位（OU）和域（Domain）的集合，用于集中管理计算机或应用程序配置。

可以使用组策略来配置计算机或应用程序的各个方面，如软件设置、安全性和用户权限等。

理解组策略对象组策略配置文件（GPO）是存储组策略设置和链接到特定组织单位或域的容器。

每个GPO都有链接到目标组织单位或域的优先级，并且可以覆盖本地组策略设置。

组策略的配置文件本地组策略适用于单个计算机或应用程序的组策略设置。

多用户环境下活用软件限制策略在多人共用一台计算机的环境下，我们可能需要对每个人可以使用的软件进行限制。

例如，系统中安装了一个游戏，可你不打算让其他使用这台计算机的人玩这个游戏。

或者公司的计算机上安装了很多软件，老板希望员工只能使用与工作相关的程序，其他非必需的程序都不准使用。

为了实现这一目标，我们可以配置Windows中的软件限制策略，Windows XP Pro、Windows Server 2003以及Windows Vista商业版、企业版和旗舰版这些带有组策略功能的操作系统都可以配置软件限制策略（Windows 2000虽然带有组策略，但没有软件限制策略功能）。

本文会介绍单机环境下软件限制策略的使用。

需要注意的一点是，和其他大部分策略一样，软件限制策略在域环境下才能发挥出最大作用，例如通过不同的OU（组织单元），域管理员可以为不同部门或者不同需求的员工创建出不同的策略。

在单机或工作组环境下，我们的策略只能对本地帐户生效。

软件限制策略可以让我们设置允许用户运行哪些程序，不允许运行哪些程序。

同时我们可以通过不同的规则来指定允许或者禁止运行的软件。

在Windows的软件限制策略中，我们可以通过下列条件来创建规则：证书规则通过证书规则，我们可以借助软件可执行程序自带的数字证书来创建策略。

例如，我们可以通过证书规则决定，所有带有来自微软的数字证书的软件都可以运行，或者所有带有某个不被信任的开发商的数字证书的软件都禁止运行。

这样每当我们试图运行一个程序的时候，系统都会查看该程序的数字签名，然后跟软件限制策略中的定义进行比较，并根据策略的设置决定是否允许运行。

哈希规则在使用哈希规则的时候，我们可以指定一个软件的可执行文件，然后由操作系统计算该文件的哈希值，并根据计算出来的哈希值决定是否允许运行该软件。

网络区域规则该规则主要用于使用Windows Installer技术安装的软件，因为通过该规则，我们可以对来自不同Internet区域的软件的安装程序采取不同的限制措施。

组策略应用规则示例在AD中创建两个OU，上层为OU1，下层为OU2，在OU2中有一个用户USERA。

1，在OU1中做组策略设置为从桌面删除回收站，OU2为禁止访问控制面板。

因为策略没有冲突，这时USERA为OU1和OU2的策略累加，即从桌面删除回收站，又禁止访问控制面板。

2，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板和从桌面删除回收站（已禁用）。

这时OU1和OU2的策略产生冲突，因为没有强制的设置，所以以后执行的OU2为准，那么USER为阻止访问命令提示符，禁止访问控制面板和从桌面删除回收站（已禁用）。

3，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板，而OU2选择了阻止继承。

这时的USERA为禁止访问控制面板。

4，在OU1中做组策略设置为从桌面删除回收站和阻止访问命令提示符，OU2为禁止访问控制面板和从桌面删除回收站（已禁用），而这时的OU1设置了强制，OU2设置了阻止继承。

这时的USERA为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。

因为OU1选择了强制，并且OU1和OU2还有冲突，这时强制为最高级，它会替换下层OU2中和它相冲突的策略。

在AD中创建一个OU为OU1，并在OU1中创建一个USERB。

在OU1中创建两个组策略分别为GP1和GP2，并GP1排列在GP2的上边。

1，这时GP1的策略为从桌面删除回收站和阻止访问命令提示符，而GP2的策略为禁止访问控制面板，那么USERB为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。

无冲突策略累加。

2，这时GP1的策略为从桌面删除回收站和阻止访问命令提示符，而GP2的策略为禁止访问控制面板和从桌面删除回收站（已禁用）时。

因为GP1排列GP2的上边，那么最后USERB 为从桌面删除回收站和阻止访问命令提示符，禁止访问控制面板。

因为GP1在GP2上边，下边的策略先执行，上边的策略后执行，还是后执行的为准原则，所以当GP1和GP2发生冲突时，以后执行的GP1为准！⏹计算机策略覆盖用户策略⏹不同层次的策略产生冲突时，子容器上的GPO优先级高⏹同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高⏹总体原则：后执行的优先级高。

对于Windows的组策略，也许⼤家使⽤的更多的只是“管理模板”⾥的各项功能。

对于“软件限制策略”相信⽤过的筒⼦们不是很多。

软件限制策略如果⽤的好的话，相信可以和某些HIPS类软件相类⽐了。

如果再结合NTFS权限和注册表权限，完全可以实现系统的全⽅位的安全配置，同时由于这是系统内置的功能，与系统⽆缝结合，不会占⽤额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能⼒也是其它软件所⽆法⽐拟的，不⾜之处则是其设置不够灵活和智能，不会询问⽤户。

下⾯我们就来全⾯的了解⼀下软件限制策略。

本系列⽂章将从以下⼏⽅⾯为重点来进⾏讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·⽰例规则 今天我们先介绍Windows组策略中的软件限制策略的概述、附加规则和安全级别。

1、概述 使⽤“软件限制策略”，通过标识并指定允许哪些应⽤程序运⾏，可以保护您的计算机环境免受不可信任的代码的侵扰。

通过散列规则、证书规则、路径规则和Internet 区域规则，就⽤程序可以在策略中得到标识。

默认情况下，软件可以运⾏在两个级别上：“不受限制的”与“不允许的”。

在本⽂中我们主要⽤到的是路径规则和散列规则，⽽路径规则呢则是这些规则中使⽤最为灵活的，所以后⽂中如果没有特别说明，所有规则指的都是路径规则。

2、附加规则和安全级别 ·附加规则 在使⽤软件限制策略时，使⽤以下规则来对软件进⾏标识： ·证书规则 软件限制策略可以通过其签名证书来标识⽂件。

证书规则不能应⽤到带有 .exe 或 .dll 扩展名的⽂件。

它们可以应⽤到脚本和 Windows 安装程序包。

可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运⾏。

·路径规则 路径规则通过程序的⽂件路径对其进⾏标识。