如何限制使⽤电脑中已安装的软件
限制使⽤电脑中软件的⽅法
1、在该软件的安装⽬录下新建⼀个⽂件名为“ws2_32.dll”的⽂件,这样系统就会以⽂件出错误⽽禁⽌运⾏(可以新建⼀个内容为空的⽂本⽂件,然后改名为“ws2_32.dll”),本⽅法适⽤基于NT系统的WinXP、Win2000、Win2003,⽐较险恶!你要⽤的时候再删除该⽂件就是。想在⾃⼰电脑上禁⽌他⼈玩游戏,⼜不能让⼈家看出来是故意的⽽伤害了彼此的感情,这招就够绝的!⽐如:把其放在QQ的安装⽂件夹下⾯,就OK了,不过,要记得⾃⼰⽤的时候把它删除。
2、如果你的客户端是Windows XP Professional,那么就可以使⽤其中⾃带的软件限制策略
简单来说,软件限制策略是⼀种技术,通过这种技术,管理员可以决定哪些程序(虽然这⾥⽤了“程序”这个字眼,不过不单
指“.exe”⽂件,其实,我们可以通过该技术,限制任何类型扩展名的⽂件被执⾏)是可信赖的,⽽哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执⾏。通常,管理员可以让系统使⽤以下⼏种⽅式鉴别软件是否可信赖:1)⽂件的路径;
2)⽂件的哈希(Hash)值;
3)⽂件的证书;
4)⽂件被下载的⽹站在Internet选项中的区域;
5)⽂件的发⾏商;
6)特定扩展名的所有⽂件;
7)其它强制属性。
软件限制策略不仅可以在单机的Windows XP操作系统中设置,仅影响当前⽤户或⽤户组,或者影响所有本地登录到这台计算机上的所有⽤户;也可以通过域,对所有加⼊该域的客户端计算机进⾏设置,同样可以设置影响某个特定的⽤户或⽤户组,或者所有⽤户。
我们这⾥仅就单机的形式进⾏说明,并设置影响所有⽤户。单机和⼯作组环境下的设置和这个是类似的。另⼀⽅⾯,有时我们可能因为错误的设置⽽导致某些系统组件⽆法运⾏(例如:禁⽌运⾏所有“msc”后缀的⽂件时,⽽⽆法打开“组策略编辑器”),出现这种情况时,我们只要重新启动系统到“安全模式”,然后使⽤Administrator账号登录并删除或修改这⼀策略即可。因为,“安全模式”下使⽤Administrator账号登录是不受这些策略影响的。无法打开文件
3、实例:假设这样的应⽤:员⼯的计算机仅可运⾏操作系统⾃带的所有程序(C盘),以及⼯作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员⼯电脑的操作系统为Windows XP Professional 1)运⾏“Gpedit.msc”打开“组策略编辑器”
我们发现,在“计算机配置”和“⽤户设置”下都各有⼀个“软件限制策略”的条⽬,到底使⽤哪个呢?如果你希望这个策略仅对某个特定⽤户或⽤户组⽣效,则使⽤“⽤户配置”下的策略;如果你希望对本地登录到计算机的所有⽤户⽣效,则使⽤“计算机配置”下的策略。由于这⾥我们需要对所有⽤户⽣效,因此选择使⽤“计算机配置”下的策略。
2)开始配置前,⾸先需要考虑⼀个问题:所允许的软件都有哪些特征,⽽禁⽤的软件⼜有哪些特征?
针对软件的特征,采⽤⼀种最佳的策略,使所有需要的软件正确运⾏,限制使⽤的软件都⽆法运⾏。
在本例中,我们所允许的⼤部分程序都位于系统盘(C盘)的“Program Files”以及“Windows”⽂件夹下,因此可以通过⽂件所在路径的⽅法决定哪些程序是被信任的。⽽对于安装在D盘的“Office”程序,也可选择是通过路径或是⽂件哈希的⽅法来决定。
3)打开“计算机配置”下的“软件限制策略”条⽬,接着在“操作”菜单下点击“创建软件限制策略”(⽬前,在仅安装了SP1的XP 上,默认是没有任何策略的,但是对于安装了SP2的系统,已经有建好的默认策
略),系统将会创建两个新的条⽬:“安全级别”和“其它规则”。其中,在“安全级别”条⽬下⼜有两条规则,“不允许的”和“不受限的”,其中,前者的意思是,默认情况下,所有软件都不允许运⾏,只有特别配置过的少数软件才可以运⾏;⽽后者的意思是,默认情况下,
所有软件都可以运⾏,只有特别配置过的少数软件才被禁⽌运⾏。
因为本例中需要运⾏的软件都已经定下来了,所以我们需要使⽤“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
4)接着打开“其他规则”条⽬,可以看到,默认情况下这⾥已经有四个规则,都是根据注册表路径设置的,⽽且默认都设置
为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运⾏将会遇到很⼤⿇烦,因为这四个路径都涉及到了重要系统程序及⽂件所在的位置。同时,我们前⾯说过的,位于系统盘下“Program Files”⽂件夹以及“Windows”⽂件夹下的⽂件是允许运⾏的,⽽这四条默认的规则已经包含了这个路径,因此我们后⾯要做的只是为“Office”程序添加⼀个规则。在右侧⾯板的空⽩处点击⿏标右键,选择“新建哈希规则”,然后可以看到下图的界⾯。
接着点击“浏览”按钮,然后定位所有允许使⽤的Office程序的可执⾏⽂件(还记得分别是什么吗?、、、),并双击加⼊。并在“安全级别”下拉菜单下选
择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执⾏⽂件都添加进来,并设置为不受限的。
5)到这⾥⼤家可能会问:为什么我们选择为每个程序的可执⾏⽂件建⽴“哈希规则”?统⼀为Office应⽤程序建⽴⼀个路径规则不是更简单?
其实,这样才可以避免可执⾏⽂件被替换,或者⽤户把⼀些不需要安装的绿⾊软件复制到这个⽬录下运⾏。因为如果建⽴的是⽬录规则,那么所有保存在允许⽬录下的⽂件都将可以被执⾏,包括允许程序本⾝的⽂件,也包括⽤户复制进来的任何其他⽂件。⽽哈希规则就不同了,⼀个特定⽂件的哈希值是固定的,只要⽂件内容不发⽣变化,那么它的哈希值就永远不会变。这样也就避免了的可能。不过同时也存在⼀个问题,虽然⽂件的哈希值可以不变化,但是⽂件本⾝可能会需要某些改变。例如:你安装了⼀个Word的补丁程序,那么⽂件的哈希值可能就会变化。因此,如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新⼀下相应的规则。否则正常程序的运⾏也会被影响。
6)除此之外,还有⼏条策略也可以被我们利⽤
(1)强制
可以限定软件限制策略应⽤到哪些⽂件,以及是否应⽤到Administrator账户。
(2)指派的⽂件类型
⽤于指定具有哪些扩展名的⽂件可以被系统认为是可执⾏⽂件,我们可以添加或删除某种类型扩展名的⽂件。
(3)受信任的出版商
可以⽤来决定哪些⽤户可以选择受信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据⾃⼰的实际情况来选择。
当软件限制策略设置好之后,⼀旦被限制的⽤户试图运⾏被禁⽌的程序,那么系统将会⽴刻发出警告并拒绝执。