妙用组策略限制非法软件超限运行【百科全说】

1.自己动手建策略。打开组策略编辑器后，依次展开“计算机配置/Windows设置/安全设置/软件限制策略”，单击菜单栏的“操作/创建新的策略”新建策略。

2.封锁QQ。展开新建的策略，在“其它规则”上右击选择“新散列规则”，在弹出的窗口单击“浏览”选择QQ.exe，这时会生成一个文件散列号码，系统还会读取文件的基本信息如版本、公司名等，“安全级别”选择“不允许”（如图1）。

小提示：该法还可以用于阻止已知病毒的运行，比如杀毒软件提示发现了“c:abc.exe”病毒（但无法查杀），这时可以为abc.exe建立一个散列规则阻止其运行并删除它。

3.下载软件运行我阻止。本机下载主要使用IE和Flashget，首先要设定下载文件夹，然后建立一个新的路径规则，这样就可以阻止小弟安装下载的软件。

（1）禁止IE下载。运行注册表编辑器依次展开[HKEY_USERSS- 1-5-21-1202660629-854245398-1060284298-500SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3]，然后将右侧的“1803”的值更改为“3”（如图2），这样就无法使用IE下载文件了。

（2）设置Flashget下载位置。运行后单击“工具→默认下载属性”，设定下载保存的文件夹为d:downloads。

（3）建立限制规则。同上在“其它规则”上右击选择“新路径规则”，按提示选择“d:downloads”，“安全级别”选择“不允许”。

小提示：下载的很多软件是rar格式，还可以建立winrar.exe及其默认解压路径的阻止规则。

4.阻止修改组策略。为了防止小弟知道限制是由组策略引发，可以设置禁止运行组策略。同上在组策略编辑窗口依次展开“本地计算机策略→用户配置→管理模板→系统”，然后双击右侧设置窗口的“不要运行指定的Windows应用程序”，在弹出的窗口单击“设置”，选择“已启用”，将“mmc.exe”设置为不允许运行的程序。

mmc.exe是系统自带的策略编辑器，禁止它运行后，其它策略编辑也无法使用。如果要运行mmc.exe，只要将 “c:windowsmmc.exe”改名运行，然后单击“文件/打开”，打开“c:windowssystem32gpedit.msc”即可编辑组策略。

经过上述的设置并重启后，小弟如果要运行QQ.exe则会遭到系统的拒绝，同样的如果要运行（或安装）d:downloads下的软件也会遭到拒绝（如图3）。此外，对于设置散列规则限制的程序，不管是改名还是移动位置，它的限制都不会取消！而“不要运行指定的Windows应用程序”策略是针对文件名生效的，改名即可解除限制。

妙用组策略限制非法软件超限运行

相关推荐