阻止非法软件的安装

阻止非法软件的安装
2009-12-13 信息来源：孔老二电脑基础网
视力保护色： 【大 中 小】【打印本页】【关闭窗口】 寒假开始了，中小学生都放了假。为了保护电脑和让小弟收心学习，我决定封锁QQ和阻止他安装软件。电脑安装的是Windows XP专业版，我利用组策略的“软件限制策略”轻松实现上述目的。

1.自己动手建策略。打开组策略编辑器后，依次展开“计算机配置/Windows设置/安全设置/软件限制策略”，单击菜单栏的“操作/创建新的策略”新建策略。

2.封锁QQ。展开新建的策略，在“其它规则”上右击选择“新散列规则”，在弹出的窗口单击“浏览”选择QQ.exe，这时会生成一个文件散列号码，系统还会读取文件的基本信息如版本、公司名等，“安全级别”选择“不允许”。

小提示：该法还可以用于阻止已知病毒的运行，比如杀毒软件提示发现了“c:\abc.exe”病毒（但无法查杀），这时可以为abc.exe建立一个散列规则阻止其运行并删除它。

3.下载软件运行我阻止。本机下载主要使用IE和Flashget，首先要设定下载文件夹，然后建立一个新的路径规则，这样就可以阻止小弟安装下载的软件。

（1）禁止IE下载。运行注册表编辑器依次展开[HKEY_USERS\S-1-5-21-1202660629-854245398-1060284298-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]，然后将右侧的“1803”的值更改为“3”，这样就无法使用IE下载文件了。

（2）设置Flashget下载位置。运行后单击“工具→默认下载属性”，设定下载保存的文件夹为d:\downloads。

（3）建立限制规则。同上在“其它规则”上右击选择“新路径规则”，按提示选择“d:\downloads”，“安全级别”选择“不允许”。

小提示：下载的很多软件是rar格式，还可以建立winrar.exe及其默认解压路径的阻止规则。

4.阻止修改组策略。为了防止小弟知道限制是由组策略引发，可以设置禁止运行组策略。同上在组策略编辑窗口依次展开“本地计算机策略→用户配置→管理模板→系统”，然后双击右侧设置窗口的“不要运行指定的Windows应用程序”，在弹出的窗口单击“设置”，选择“已启用”，将“mmc.exe”设置为不允许运行的程序。

提醒mmc.exe是系统自带的策略编辑器，禁止它运行后，其它策略编辑也无法使用。如果要运行mmc.exe，只要将“c:\windows\mmc.exe”改名运行，然后单击“文件/打开”，打开“c:\windows\system32\gpedit.msc”即可编辑组策略。

OK，经过上述的设置并重启后，小弟如果要运行QQ.exe则会遭到系统的拒绝，同样的如果要运行（或安装）d

:\downloads下的软件也会遭到拒绝。此外，对于设置散列规则限制的程序，不管是改名还是移动位置，它的限制都不会取消！而“不要运行指定的Windows应用程序”策略是针对文件名生效的，改名即可解除限制。






>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>.
教你如何限制安装软件！
一运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”


Windows Installer右边窗口中双击 禁用Windows Installer选中已启用，点确定

策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制

可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以

二用超级兔子

三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止
这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi的肯定不能安装的


四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行

进管理员帐户：
　gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托

五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以

六设置用户权限

给管理员用户名加密 新建一个USER组里的用户 让他们用这个账号登陆 安装目录下的就不能用了

启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序

还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限


利用组策略禁止QQ等软件运行
先点开始---运行---输入（gpedit.msc)---确定---组策略---“本地计算机”策略---用户配置---管理模板--windows 组件---系统---（右边的 ）不要运行指定的windows应用程序---属性---（改成）已启用---显示（里面添加你需要屏蔽的软件。比如QQ 输入 QQ.EXE）就OK了