這個理論應該也可以用在域對下設域用戶上.
各位不知道有沒有這種經歷,機子讓別人玩了一上午,回來發現,自己干干凈凈的系統多了一堆某某安全助手,某某殺毒,某某手機助手等等,最可恨的還是不知一系列的,如果360和TX、金山、瑞星之流同時裝上,這時候就有好戲看了。。。這時候你只能欲哭無淚,默默地點開系統還原。。什么?沒開系統還原?卸載+手動清除殘余吧,這些軟件一大特點,卸載絕不卸干凈,會遺留文件在你的系統目錄中,良心的只是留在,由于在注冊表里注銷過了所以不加載;可恨的仍然以驅動方式開機加載,駐留系統內存,而普通用戶毫不知曉。
這時候就想著,能不能防止這類軟件的意外安裝與運行。Windows有一套限制軟件運行的系統,可以利用數字簽名信息來來允許或者阻止程序的運行。這套系統自winxp開始就有了,到了win7出現了第二代(第一代沒有一個確切的名稱,第二代被稱為AppLocker)。利用這套系統可以很好的做到阻止這類軟件的安裝與運行。
接下來就進入正題了,這套系統有兩代,因此我們也有兩種方法。那么具體該選用哪種呢?
AppLocker是第二代,功能更加強大,更加易用,推薦使用,但是微軟做了限制,只有以下系統可以使用:
===================================================
Windows Server 2008 R2 Standard?
Windows Server 2008 R2 企業版?
Windows Server 2008 R2 Datacenter?
面向基于 Itanium 的系統的 Windows Server 2008 R2?
Windows 7 旗艦版和企業版(Win7專業版沒有測試)
Windows Server 2012 Standard?
Windows Server 2012 Datacenter?
Windows 8 企業版(Win8專業版沒有測試)
Windows 10 專業版本和 企業版
==================================================
因此,如果你的系統在上述列表中,請選用AppLocker的方式,如果不在,請直接看最下面(3、使用第一代的軟件限制策略)選用另一種方法。
1、準備工作
以禁止360的軟件為例,我們首先需要一個樣本,我們可以到360殺毒、360瀏覽器等360網站上隨便下載一個360軟件的安裝包備用。右擊屬性,切換到數字簽名選項卡,可以看到數字簽名信息,如下圖所示:
樣本找好了就可以繼續了。
2、APPLOCKER方法
按下WIN+R打開運行窗口,輸入secpol.msc回車,打開本地安全策略的配置窗口,切換到“應用程序控制策略”-“AppLocker”界面下,如下圖:
點擊“配置強制規則”,"強制"里全打勾,如下圖:
接著右擊可執行規則,選擇“創建默認規則”,系統會先將默認規則添加進去,默認規則保證Windows和已在Program Files文件夾下的軟件允許被執行,以及以管理員方式運行時候默認可以執行任何程序。
AppLocker本是白名單規則,而我們希望使用黑名單,只禁止特定程序的執行,因此這里需要先添加一條默認允許的規則。右擊可執行規則,選擇“創建新規則”,打開新建規則向導,按下圖步驟,分別選擇“允許”,點擊“選擇”,填入”Users”并確定,然后點擊“下一步”。
選擇“路徑”,并點擊下一步。
路徑中填入” * “,然后連續點擊兩次“下一步”:
名稱改為“默認允許”,點擊創建:
接著創建黑名單規則,拒絕360的運行。右擊可執行規則,選擇“創建新規則”,打開新建規則向導,這一次選擇“拒絕”,用戶或組保持默認的Everyone,點擊“下一步”
選擇“發布者”,然后點擊下一步,引用文件右側點擊“瀏覽”,選擇剛才的樣本文件,然后將滑塊往上拉,拉至從上面數第二個。接著點擊下一步
------------------------------------------------------------------------------------------------------------------------------------------------
說明:滑塊從上面數起,第一個表示所有文件,第二個表示發布者與引用文件相同的,第三個表示發布者和產品名均相同,第四個表示發布者、產品名、文件名均相同,第五個表示發布者、產品名、文件名均相同,版本號大于或等于樣本文件版本號。
------------------------------------------------------------------------------------------------------------------------------------------------
這一屏是添加例外,如果你想禁止除了360網游加速器之外其他所有360軟件,下載360網游加速器的樣本后,此處添加360網游加速器的例外即可:
接著是起名字,如“默認禁止360”,然后點擊“創建”:
可以繼續添加其他的規則:
每個公司的程序都得下載一個樣本也挺麻煩的,其實可以在選擇樣本程序時候隨意選擇一個,先創建規則,然后再更改規則即可,更改規則時候就可以自己手動輸入發布者信息,而不需要非得選擇樣本文件了:
這里提供一些常見的發布者的信息:
1 2 3 4 5 6 7 8 | O=ALIPAY.COM CO.,LTD, L=HANGZHOU, S=ZHEJIANG, C=CN O=TENCENT TECHNOLOGY(SHENZHEN) COMPANY LIMITED, L=SHENZHEN, S=GUANGDONG, C=CN O=BEIJING RISING INFORMATION TECHNOLOGY CORPORATION LIMITED, L=BEIJING, S=BEIJING, C=CN O=2345.COM, L=SHANGHAI, S=SHANGHAI, C=CN O=SOGOU.COM, L=BEIJING, S=BEIJING, C=CN O=KINGSOFT SECURITY CO.,LTD, L=BEIJING, S=BEIJING, C=CN O=TAOBAO (CHINA) SOFTWARE CO.,LTD., L=HANGZHOU, S=ZHEJIANG, C=CN O=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED, L=BEIJING, S=BEIJING, C=CN |
最后,我們還需要啟動需要的服務。按下WIN+R打開運行命令,輸入services.msc回車,找到”Application Identity”服務,雙擊打開屬性窗口,將啟動類型改為“自動”,然后點擊啟動測試一下,保證服務可以正常啟動:
最后為了保證不會出現沒有生效的情況,重啟一下電腦當然是最好的。然后就可以試試效果了:
3、使用第一代的軟件限制策略
此方法從Windows XP開始后的歷代Windows中均可以使用。
Win系統組策略全面禁止360等軟件-2
轉載于:https://blog.51cto.com/46562434/1888128
)
)
