USB迷 | 专注于互联网分享

    最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。
    你的位置: 首页 > 业界 > 关于win7禁止标准用户安装软件 AppLocker使用

    关于win7禁止标准用户安装软件 AppLocker使用

    业界 admin 3浏览 0评论

           应该每个人都深有体会,很多大叔大妈级的用户,都经不起各种软件或网页弹窗的诱导,他们很容易在自己不知道的情况下,安装了N个浏览器,N个播放器,N个安全卫士,N个下载软件等等,导致电脑卡、慢、死。我弟弟学校老师们就是这个情况,找到我“修电脑”,一开机桌面一堆图标,我问:怎么装这么多软件。答:我也不知道怎么装上的。花了很长时间卸载那些行功能重复的软件,我这样清理一下也只管一时啊...

    于是必须有一种办法禁止随便安装软件:

    1、普通账户与管理员账户分开;

    2、策略限制。

    备注:

    组策略禁止软件安装没用(原因:像360浏览器、爱奇艺等都安装给当前用户,所以组策略禁止安装只是针对会影响windows安全的软件比如说管理员权限软件等,但是当前用户权限软件并未触发这条限制,所以仍然可畅通无阻在标准用户下安装);

    第一步:

    控制面板\用户帐户\用户帐户\管理帐户\添加新账户\标准账户即可

    第二部:

    使用windows AppLocker(win7以上可使用);

    如下图微软给的官方介绍。

    简单的说可以通过策略限制三类:可执行文件(.exe)、windwos安装程序(.msi)、脚本。

    方法三种:

    文件哈希:同一个软件安装包,不管在哪个盘,都可以被限制(防止熊孩子拿游戏安装包挪位置安装)

    路径:可以指定那个盘或者文件夹、文件;

    发布者规则:软件发布时合法签名、数字证书等。

    理论完了,实际操作如下:

    1、确保服务Application Identity已经运行,且设为自动启动,不然怎么折腾都没意义。微软已经清楚标明,该服务禁用,则功能也无法运行;

    2、可执行规则,创建默认规则。3条自动生成。(手动创建规则也可以,需有一定基础)

    以下三条默认规则完全足够限制软件安装了,因为大部分软件都是exe。

    规则1:标准用户和管理员用户都可以打开program file文件夹内exe;(建议软件安装此,方便管理)

    规则2:标准用户和管理员用户都可以打开windwos文件夹内exe;(这个废话,不然自带软件想IE浏览器都无法运行了)

    规则3:管理员用户都可以打开所有exe。

    看似标准1和2对标准用户安装软件没限制啊,其实不是,program file和windwos文件夹,标准用户没权限复制文件进去,跟谈不上打开了,这样标准用户自行下载的软件都无法安装,提示如下图二;

    常用语法:

    ?:\AutoRun.inf        防止优盘自动运行病毒

    ?:\*.exe                  任何目录下的exe

    D:\*                        D盘下的任何文件

    一些软件并不遵循开发规范,比如管理员权限安装,其它用户可用,例如360浏览器,遇到这类软件,需在管理员用户下安装到C:\Program Files文件夹下,若标准用户没有快捷方式可自行去Program Files文件夹下,把快捷方式拷贝发送到桌面;

    wps2019还需在标准用户下,按住shift,其它身份运行,管理员账户和密码输入,安装到C:\Program Files文件夹,如果上一次未卸载干净,可在设置

    挨个重置下,其它选项,广告,关闭;

    多组件启用和新组件切换两三次,全OK。

           应该每个人都深有体会,很多大叔大妈级的用户,都经不起各种软件或网页弹窗的诱导,他们很容易在自己不知道的情况下,安装了N个浏览器,N个播放器,N个安全卫士,N个下载软件等等,导致电脑卡、慢、死。我弟弟学校老师们就是这个情况,找到我“修电脑”,一开机桌面一堆图标,我问:怎么装这么多软件。答:我也不知道怎么装上的。花了很长时间卸载那些行功能重复的软件,我这样清理一下也只管一时啊...

    于是必须有一种办法禁止随便安装软件:

    1、普通账户与管理员账户分开;

    2、策略限制。

    备注:

    组策略禁止软件安装没用(原因:像360浏览器、爱奇艺等都安装给当前用户,所以组策略禁止安装只是针对会影响windows安全的软件比如说管理员权限软件等,但是当前用户权限软件并未触发这条限制,所以仍然可畅通无阻在标准用户下安装);

    第一步:

    控制面板\用户帐户\用户帐户\管理帐户\添加新账户\标准账户即可

    第二部:

    使用windows AppLocker(win7以上可使用);

    如下图微软给的官方介绍。

    简单的说可以通过策略限制三类:可执行文件(.exe)、windwos安装程序(.msi)、脚本。

    方法三种:

    文件哈希:同一个软件安装包,不管在哪个盘,都可以被限制(防止熊孩子拿游戏安装包挪位置安装)

    路径:可以指定那个盘或者文件夹、文件;

    发布者规则:软件发布时合法签名、数字证书等。

    理论完了,实际操作如下:

    1、确保服务Application Identity已经运行,且设为自动启动,不然怎么折腾都没意义。微软已经清楚标明,该服务禁用,则功能也无法运行;

    2、可执行规则,创建默认规则。3条自动生成。(手动创建规则也可以,需有一定基础)

    以下三条默认规则完全足够限制软件安装了,因为大部分软件都是exe。

    规则1:标准用户和管理员用户都可以打开program file文件夹内exe;(建议软件安装此,方便管理)

    规则2:标准用户和管理员用户都可以打开windwos文件夹内exe;(这个废话,不然自带软件想IE浏览器都无法运行了)

    规则3:管理员用户都可以打开所有exe。

    看似标准1和2对标准用户安装软件没限制啊,其实不是,program file和windwos文件夹,标准用户没权限复制文件进去,跟谈不上打开了,这样标准用户自行下载的软件都无法安装,提示如下图二;

    常用语法:

    ?:\AutoRun.inf        防止优盘自动运行病毒

    ?:\*.exe                  任何目录下的exe

    D:\*                        D盘下的任何文件

    一些软件并不遵循开发规范,比如管理员权限安装,其它用户可用,例如360浏览器,遇到这类软件,需在管理员用户下安装到C:\Program Files文件夹下,若标准用户没有快捷方式可自行去Program Files文件夹下,把快捷方式拷贝发送到桌面;

    wps2019还需在标准用户下,按住shift,其它身份运行,管理员账户和密码输入,安装到C:\Program Files文件夹,如果上一次未卸载干净,可在设置

    挨个重置下,其它选项,广告,关闭;

    多组件启用和新组件切换两三次,全OK。

    继续浏览有关 的文章

    与本文相关的文章

    发布评论

    评论列表 (0)

    1. 暂无评论