减少内存占用率
第一招:关闭多余程序 如果同时打开的文档过多或者运行的程序过多,就没有足够的内存运行其他程序。这时,对于多文档界面程序,如Word、Excel等,请关闭当前文档外的所有文档,并退出当前未使用的程序,或许你就能够继续执行因“内存不足”而被中断的任务。
第二招:清除剪贴板中的内容 1.清除系统剪贴板中的内容(存储Windows复制或剪贴内容的剪贴板) 点击“开始→程序→附件→系统工具→剪贴板查看程序”,在“编辑”菜单上,单击“删除”命令,系统弹出“清除剪贴板”对话框,单击“是”按钮。 2.清除多重剪贴板中的内容(Office程序提供的剪贴板) 在“Office剪贴板”任务窗格(OfficeXP)或工具栏(Office2000)上,单击“全部清空”或“清空…剪贴板?”。当清空“Office剪贴板”时,系统剪贴板也将同时被清空。
第三招:合理设置虚拟内存 如果没有设置Windows虚拟内存,那么很容易收到“内存不足”的消息。 点击“开始→设置→控制面板”,双击“系统”。在“系统属性”对话框中,单击“性能”选项卡,然后单击“虚拟内存”按钮。选中“让Windows管理虚拟内存设置-(推荐)”选项,将计算机中可作为虚拟内存使用的硬盘空间量设置为默认值。
第四招:增加可用磁盘空间 有四种方法可以增加磁盘的使用空间:1.清空回收站。2.删除临时文件。打开%20“我的电脑”,右键单击要释放其空间的磁盘,然后单击“属性”,在“常规”选项卡上,单击“磁盘清理”按钮,选中要删除的不需要的文件前的复选框进行整理。3.从磁盘中删除过期的文件或已存档的文件。4.删除从未使用过的所有文件。
第五招:重新安装已损坏的程序 如果仅仅是使用某个程序时,系统提示内存不足,而其他程序可以正常运行,那么可能的原因是该程序文件被毁坏,从而导致内存不足的问题。请尝试删除并重新安装该程序,然后重新运行该程序。如果系统不再提示内存不足,那么说明原程序文件确实被损坏。
第六招:使用内存优化软件 内存优化软件有很多,比如RAM%20Idle和Memo%20Kit 就比较出色。它们可以设置自动清空剪贴板、释放被关闭程序未释放的内存,从而免除你手工操作的麻烦,达到自动释放内存的目的,不妨一试。
第七招:重新启动计算机 如果只退出程序,并不重新启动计算机,程序可能无法将内存资源归还给系统。在运行重要程序之前,请重新启动计算机以充分释放系统资源。
第八招:减少自动运行的程序 如果在启动Windows时自动运行的程序太多,那么,即使重新启动计算机,也没足够的内存用来运行其他程序。这时就需要清除一些不必要的系统自启动程序。
点击“开始→运行”,输入msconfig,打开“系统配置实用程序”窗口。单击“一般”选项卡,选中“选择性启动”复选框。去掉%20“处理Win.ini文件”和“加载启动项”前的复选框。打开“启动”选项卡,将不需要开机自动启动的程序都勾除掉就好了。
第九招:查杀病毒 系统感染电脑病毒也是导致内存不足的罪魁祸首。当系统出现“内存不足”的错误时,请使用最新的杀毒软件查杀病毒,或许在清除电脑病毒之后,就解决了“内存不足”的问题。
解决“内存不足”的办法9则
一、剪贴板占用了太多的内存
实际上,剪贴板是内存中的一块临时区域,当你在程序中使用了“复制”或“剪切”命令后,Windows将把复制或剪切的内容及其格式等信息暂时存储在剪贴板上,以供“粘贴”使用。如果当前剪贴板中存放的是一幅图画,则剪贴板就占用了不少的内存。这时,请按下述步骤清除剪贴板中的内容,释放其占用的内存资源:
1.单击“开始”,指向“程序”或“所有程序”,指向“附件”,指向“系统工具”,然后单击“剪贴板查看程序”,打开“剪贴板查看程序”窗口。
2.在“编辑”菜单上,单击“删除”命令。
3.关闭“剪贴板查看程序”窗口。
为了与Microsoft Office程序提供的多重剪贴板相区分,上述所说的剪贴板,常被我们称为系统剪贴板。如果你正在使用Micros OftOffice程序,而且使用了其多重剪贴板功能,那么你应清空“Office剪贴板”上的项目,方法是:在“Office剪贴板”任务窗格(OfficeXP)或工具栏(Office2000)上,单击“全部清空”或“清空…剪贴板?”。当清空“Office剪贴板”时,系统剪贴板也将同时被清空
二、打开的程序太多
如果同时打开的文档过多或者运行的程序过多,就没有足够的内存运行其他程序。这时,对于多文档界面(MDl)程序,如Word、Excel等,请关闭当前文档外的所有文档,并退出当前未使用的程序,然后或许你就能够继续执行因“内存不足”而被中断的任务。
三、重新启动计算机
如果只退出程序,并不重新启动计算机,程序可能无法将内存资源归还给系统。请重新启动计算机以释放系统资源,然后再次运行程序或执行被中断的任务。
四、自动运行的程序太多
如果在启动Windows时自动运行的程序太多,那么,即使重新启动计算机,也没足够的内存用来运行其它程序。
(一)确定设置为自动运行的程序是否太多
1.单击“开始”,然后单击“运行”。
2.在“打开”框中,键入“Msconfig”,单击“确定”按钮,打开“系统配置实用程序”窗口。
3.单击“常规”选项卡,选中“选择性启动”复选钮,清除“处理Win.ini文件”复选框和“加载启动组项目”复选框。
4.单击“确定”按钮,当系统提示重新启动计算机时,请单击“是”按钮。
重新启动电脑后,如果内存不足的问题已经解决,你就可以将计算机配置为启动时不打开任何程序。
(二)配置计算机不自动打开任何程序
1.恢复在Msconfig中所作的更改,方法是:在“系统配置实用程序”窗口,单击“常规”选项卡,选择“正常启动”,单击“确定”按钮,然后重新启动计算机。
2.删除“启动”文件夹中的所有快捷方式
①单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”,系统弹出“任务栏属性”对话框。
②单击“开始菜单程序”选项卡,单击“删除”按钮。
③单击“启动”文件夹旁的加号,以显示设置为自动运行的程序列表。如果“启动”文件夹旁没有加号“+”,则表明没有设置为自动运行的程序,请单击“关闭”按钮以终止此过程。
④单击“启动”文件夹中的每个快捷方式,然后单击“删除”按钮。此操作将从“开始”菜单中删除快捷方式,但并不从硬盘中删除相应的程序。对于“启动”文件夹中的每个快捷方式,重复该步骤。
⑤单击“关闭”按钮。
⑥单击“确定”按钮。
3.禁用从Win.ini文件加载的所有程序
①如上所述打开“系统配置实用程序”窗口。
②单击“Win.ini”选项卡,双击“[windows]”,然后清除“Load=”和“Run=”复选框。
③单击“确定”按钮,当系统提示重新启动计算机时,请单击“是”按钮。
五、让Windows管理虚拟内存设置
如果没有设置让Windows管理虚拟内存或者禁用虚拟内存,那么计算机可能无法正常工作,也可能收到“内存不足”的消息,或在运行某程序时出现相同的错误消息。
1.单击“开始”,单击“设置”,单击“控制面板”,然后双击“系统”。
2.在“系统属性”对话框中,单击“性能”选项卡,然后单击“虚拟内存”按钮。
3.选中“让Windows管理虚拟内存设置—(推荐)”选项,将计算机中可作为虚拟内存使用的硬盘空间量设置为默认值。此时,虚拟内存分页“win386.swp”能够根据实际内存的使用情况动态缩小和放大,最小容量为0,最大容量为硬盘的全部可用空间。
4.单击“确定”按钮。
六、增加可用磁盘空间
由于Windows以虚拟内存分页文件的格式使用硬盘空间以模拟RAM(),所以,尽管已设置为让Windows管理虚拟内存,但是当虚拟内存分页文件所在的驱动器(默认为Windows系统所在的硬盘分区)没有足够的空间时,仍会出现“内存不足”的错误。此时,请执行以下一项或多项操作,增加Windows虚拟内存分页文件所在驱动器上的可用空间:
1.清空回收站,方法是:在桌面上,右键单击“回收站”,再单击“清空回收站”。
2.从磁盘中删除临时文件,方法是:打开“Windows资源管理器”或“我的电脑”窗口,右键单击要释放其空间的磁盘,然后单击“属性”,在“常规”选项卡上,单击“磁盘清理”按钮,选中要删除的不需要的文件前的复选框(如图3),可以阅读列表下面区域中每个文件类型的说明,单击“确定”按钮。
3.从磁盘中删除过期的文件或已存档的文件。
4.删除从未使用过的所有文件。
七、程序文件被毁坏
如果仅仅是使用某个程序时,系统提示内存不足,而其他程序可以正常运行,那么可能的原因是该程序文件被毁坏,从而导致内存问题。然而Windows并没有确切地提示表明该程序已损坏,所以请尝试删除并重新安装该程序,然后重新运行该程序。如果系统不再提示内存不足,那么说明原程序文件确实被损坏。
八、使用内存优化软件
内存优化软件有很多,比如RAM Idle和Memo Kit就是比较出色的两个。这些软件都可以设置自动清空剪贴板、释放被关闭程序未释放的内存、对Win386.swp文件进行重新组织等,从而免除你手工操作的麻烦,达到自动释放内存的目的,不妨一试!
九、查杀病毒
系统感染电脑病毒也是导致内存不足的罪魁祸首,当系统出现“内存不足”的错误时,请使用最新的防毒软件查杀病毒,或者在清除电脑病毒之后,就解决了“内存不足”的问题。
Windows本身是内存消耗大户,会占用大量的系统资源,如果物理内存不多,经常会因为占用物理内存过多导致提示内存不足。但有时,Windows中的内存不足提示并不一定能准确反映出导致问题的原因。一般来说,Windows系统会在以下几种情况下提示“内存不足”:第一,用Windows附带的记事本程序拷贝一些网络上的信息,准备汇总后编辑——但是当粘贴了几次后,经常会跳出一个对话框,说“内存不足,***文件无法被保存”。这一提示容易让人误认为是内存出了问题,如果按此提示去查找原因,费时费力也解决不了问题。其实这是记事本程序本身的功能限制和设计的问题,超过64K字节的内容就不能再编辑了。
第二,在浏览网页的时候经常跳出“内存不足”的提示。由于Windows没有详细描述内存、虚拟内存和临时文件缓冲区的不同,所以经常使人误以为是物理内存出现问题。其实在很多时候,这是由于IE属性设置中分配给internet临时文件的磁盘空间的大小不够造成,从而导致脱机浏览的内容无法被保存。要解决这一问题,只要在IE的右键菜单中选择属性,单击“设置”按钮,将Internet临时文件夹中的“使用的磁盘空间”调大一些即可。
第三,在某些情况下,P4机器上安装了主板驱动和其他驱动程序后再安装office2000,在使用office2000时也有一定几率会提示内存不足。这是由于P4主板驱动和office2000存在一些兼容性问题,可以尝试备份数据后重新安装操作系统,然后先安装office2000,再安装主板驱动等其他驱动程序,便可以较好的解决该问题。
第四,很常见的导致“内存不足”提示的原因是因为感染病毒。由于病毒在内存中大量复制,所以造成报错提示。一般杀毒后即可解决该问题。
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.doczj.com/doc/c69814514.html, 这样的目录(如C:\Program Files\https://www.doczj.com/doc/c69814514.html,\Site Map https://www.doczj.com/doc/c69814514.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
通过组策略可以实现禁止安装软件,当然通过注册表也是可以实现的,现发2个注册表文件来实现软件的禁止安装与否,有兴趣的可以下载,不需要钱的,放心好了。不想下载的话,也可以自己做一个REG文件。方法如下,新建一个TXT文档,把这些:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头,最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源:自由天空技术论坛,原文链接:https://www.doczj.com/doc/c69814514.html,/thread-14291-1-1.html 使用方法:将下述代码保存为:*.bat ,*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
关于软件限制策略以及权限的研究 说是研究,其实也就是对相关方面内容的一个汇总,并加入细节方面的实践性分析。 首先,我们打开组策略中一个隐藏开关,开启“基本用户”和“受限的”权限类型。 具体做法:打开注册表编辑器,展开至 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 新建一个DOWRD,命名为Levels,其值可以为 0x10000 //增加受限的 0x20000 //增加基本用户 0x30000 //增加受限的,基本用户 0x31000 //增加受限的,基本用户,不信任的(不信任和不允许差不了多少) 建议设成0x30000或0x31000。 或者有人抱怨软件限制策略不够灵活,其实打开受限的、基本用户之后,情况就会大大的不同。 在建立策略之前,我们先要了解一下软件限制策略的权限类型和规则的优先级。 1.权限类型:不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的(以权限的高低排序,与优先级无关) 2.绝对路径 > 通配符相对路径(以优先级高低排序,下同) 如 C:\Windows\explorer.exe > *\Windows\explorer.exe 3.文件规则 > 目录规则 如若a.exe在Windows目录中,那么 a.exe > C:\Windows 4.环境变量 = 相应的实际路径 = 注册表键值路径 如%ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir %
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名 %HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
Windows Server 2003 中使用软件限制策略 本文说明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略可以标识并指定允许运行的软件,以便保护您的计算机环境不会受到不可信代码的攻击。使用软件限制策略时,可以为组策略对象 (GPO) 定义两种默认安全级别(分别是无限制和不允许)中的一种,使得在默认情况下或者允许软件运行,或者不允许软件运行。要创建此默认安全级别的特例,可以创建针对特定软件的规则。可以创建以下几种规则: ?哈希规则 ?证书规则 ?路径规则 ?Internet 区域规则 一个策略由默认安全级别和所有应用于 GPO 的规则组成。此策略可以应用于所有的计算机或者个别用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否可以运行的决定。有了软件限制策略,用户在运行程序时必须遵守管理员设置的规则。 通过软件限制策略,可以执行以下任务: ?控制可以在计算机上运行的程序。例如,如果担心用户通过电子邮件收到病毒,可以应用一个策略,不允许一些文件类型在电子邮件程序的电子邮 件附件文件夹中运行。 ?在多用户计算机上,仅允许用户运行特定的文件。例如,如果您的计算机上有多个用户,您可以设置软件限制策略,使用户除了可以访问必须在工 作中使用的特定文件外,不能访问其他任何软件。 ?确定谁可以向计算机中添加受信任的发布服务器。 ?控制软件限制策略是影响计算机上的所有用户,还是只影响一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,如果存在已知病毒,就可以使用软件限制策略阻止计算机打开包含该病毒的文 件。重要说明:Microsoft 建议不要用软件限制策略代替防病毒软件。如何启动软件限制策略 仅对于本地计算机 1.单击开始,指向程序,指向管理工具,然后单击本地安全策略。 2.在控制台树中,展开安全设置,然后展开软件限制策略。 对于成员服务器上的域、站点或组织单元或者已经加入域的工作站 1.打开 Microsoft 管理控制台 (MMC)。要执行此操作,请单击开始,单击
组策略限制程序运行 路径规则和Internet区域规则。它们标识文件以及制定规则的方法如下: 散列规则:利用散列算法计算出指定文件的散列,这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后,用户访问或运行文件时,软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名,不会影响文件的散列,软件限制策略对该文件依然有效。制定方法如下: (1)、点击“软件限制策略”下的“其它规则”,在“其他规则”上单击右键,或在右侧窗格的空白区域单击右键,选择“新散列规则”。 (2)、点击“浏览”,指定要标识的文件或程序,例如cmd.exe,确认后,在文件散列中可以看到计算出来的散列,在“安全级别”中选择“不允许的”或“不受限的”,点击“确定”,在“其它规则”中可以看到新增了一条类型为散列的规则。证书规则:利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构(CA)颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件,它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后,运行该文件时,软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件,证书文件的扩展名为.CER。创建方法同散列规则。 路径规则:利用文件或程序的路径进行标识,该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的,当文件移动或重命名时,路径规则会失去作用。在路径规则中,根据路径范围的大小,优先级别各有高低,范围越大,优先级越低。通常路径的优先级从高到低为:指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。 Internet区域规则:利用应用程序下载的Internet区域进行标识。区域主要包括:Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。创建方法同散列规则。 6、维护可执行代码的文件类型 不论是那种规则,它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型,这些类型是所有规则共享的。某些情况下,管理员可能需要删除或添加某种类型的文件,以便规则能够对这类文件失去或产生作用,这就需要我们来维护“指派的文件类型”属性。方法如下: (1)、单击“软件限制策略”,双击右侧窗格中的“指派的文件类型”属性项目; (2)、如果新增一种文件类型,在“文件扩展名”处输入添加的扩展名,点击“添加”;如果要删除一种文件类型,单击列表中的制定类型,点击“删除”。 7、利用规则的优先级灵活控制程序的运行 四种规则的优先级从高到依次为:散列规则、证书规则、路径规则、Internet区域规则。如果有超过一条以上的规则同时作用于同一个程序,那么优先级最高的规则设定的安全级别将决定该程序是否能运行。如果多于一条的同类规则作用于同一个程序,那么同类规则中最具限制力的规则将起作用。这为我们提供了一条对程序的运行进行灵活控制的途径。单一规则的作用效果虽然全面,但是也限制了我们所需要的那些部分,复合规则的综合作用将产生诸如“除了我们需要的/不需要的以外,其他全部不允许/不受限制”这样的效果,这也许才是
提示:这样做会减慢系统的关闭速度,如果不是非常必要,不建议您启用这个策略。 6. 防止菜单泄漏隐私 在「开始」菜单中有一个“我最近的文档”菜单项,可以记录您曾经访问过的文件。这个功能可以方便用户再次打开该文件,但别人也可通过此菜单访问您最近打开的文档,为安全起见,可屏蔽此项功能。具体操作步骤如下: (1)打开「开始」菜单,在“搜索程序和文件”搜索框中输 入“gpedit.msc”并回车,打开组策略对象编辑器。 (2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→「开始」菜单和任务栏”,分别在右侧窗格中双 击“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”(如图11所示),打开目标策略属性设置对话框。 图11 双击“退出时清除最近打开的文档的历史” (3)分别在“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”属性对话框中勾选“已启用”,按“确定”即可。 如果启用“退出时清除最近打开的文档的历史”设置,系统就会在用户注销时删除最近使用的文档文件的快捷方式。因此,用户登录时,「开始」菜单上的“最近的项目”菜单总是空的。如果禁用或不配置此设置,系统就会保留文档快捷方式,这样用户登录时,“最近的项目”菜单中的内容与用户注销时一样。 提示:系统在“系统驱动器\Documents and Settings\用户名\我最近的文档”文件夹中的用户配置文件中保存文档快捷方式。 当没有选择“从开始菜单删除最近的项目菜单”和“不要保留最近打开的文档的历史”策略任何一个相关设置时,此项设置才能使用。 7. 别让搜索泄露隐私 快捷搜索框是Windows 7的一大特色,尤其在执行文件夹搜索时非常方便。不过这一功能有时也特别令人尴尬,那就是会自动保存下所有历史搜索,而且并没有提供清除功能,其中一些隐私内容就会挥之不去。 使用组策略随时清空搜索历史是一个很好的补救措施,具体步骤如下: (1)打开「开始」菜单,在“搜索程序和文件”搜索框中输 入“gpedit.msc”并回车,打开组策略对象编辑器。
软件的限制和其破解方法 图/文蒋寿盈 [本文中涉及的一些知识可能会对计算机的正常操作产生影响,请做好注册表和组策略的备份,谨慎使用。] [本文仅供学习交流之用切勿用于非法途径!] 大学生活丰富多彩,打游戏自然也是寝室娱乐项目中必不可少的。前些天临近考试,寝室长为了让大家安心复习迎考,在网上搜了半天竟然把游戏给封了,当室友们打开游戏时提示“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”在紧张的学习生活中,稍微打打游戏还是需要的,于是他们找到了我。经过我的一番打量和尝试,我终于知道了其中的奥秘。在下文中,笔者将用具体事例带您了解Windows XP客户端的软件限制策略和映像劫持(Image File Execution Options),当然在开始之前,先让我们来了解一些相关知识。 一、映像劫持以及其基本原理 所谓的IFEO就是Image File Execution Options,位于注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options。 Windows XP系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是,IFEO才会检查格式,然后再检查该可执行文件是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。 二、散列的含义及其算法 Hash,一般翻译作"散列",也有直接音译为"哈希"的,就是把任意长度的输入(又叫
做预映射,pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。了解了hash基本定义,就不能不提到一些著名的hash算法,MD5 和SHA1 可以说是目前应用最广泛的Hash算法,而它们都是以MD4 为基础设计的。MD5(RFC 1321)是Ronald Rivest于1991年对MD4的改进版本。而SHA-1基于MD5,MD5又基于MD4。MD5 Hash 算法的"数字指纹"特性,使它成为目前应用最广泛的一种文件完整性校验和(Checksum)算法,不少Unix系统有提供计算md5 checksum的命令。 三、Windows XP客户端的软件限制策略 Microsoft Windows XP Professional 和Microsoft Windows Server 2003 提供了“软件限制策略”功能,管理员可用来控制软件在本地计算机上运行的能力。通过此功能,管理员可以防止用户运行未经授权的软件,并提供了其他保护措施以防病毒和特洛伊木马程序的攻击。 在了解完一些相关知识后,让我们开始具体了解一下如何使用软件限制策略和映像劫持来限制指定程序的运行和其破解方法。 [限制方法] 接着上面所说的,笔者经过一番打量和尝试后终于知道了限制原理。限制分三部分进行: 1、组策略中的“软件限制策略” 2、组策略中的“不要运行指定的windows应用程序” 3、注册表中的映像劫持 让我们一次来看看究竟是怎样限制一个应用程序的运行的。
Windows组策略之软件限制策略 对于Windows的组策略,也许大家使用的更多的只是管理模板里的各项功能。对于软件限制策略相信用过的筒子们不是很多:)。软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 1、概述 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Internet区域规则,就用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则,而路径规则呢则是这些规则中使用最为灵活的,所以后文中如果没有特别说明,所有规则指的都是路径规则。 2、附加规则和安全级别 附加规则 在使用软件限制策略时,使用以下规则来对软件进行标识: 证书规则 软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有.exe或.dll扩展名的文件。它们可以应用到脚本和Windows安装程序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。 路径规则 路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以程序发生移动后路径规则将失效。路径规则中可以使用诸如%programfiles%或%systemroot%之类环境变量。路径规则也支持通配符,所支持的通配符为*和?。 散列规则 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用SHA-1(安全散列算法)和MD5散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。 例如,可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是,对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。 Internet区域规则 区域规则只适用于Windows安装程序包。区域规则可以标识那些来自InternetExplorer指定区域的软件。这些区域是Internet、本地计算机、本地Intranet、受限站点和可信站点。
组策略应用技巧-禁止小孩玩游戏程序禁止、访问控制面板 目录 (一)禁止小孩玩某些游戏程序 (1) (二)禁止Windows用户修改Windows的时间和日期。 (3) (三)禁止Windows用户访问控制面板。 (5) (四)关闭自动播放 (7) 进入组策略 运行gpedit.msc命令,进入“组策略”窗口。 (一)禁止小孩玩某些游戏程序 提示:小孩在家里玩电脑就不断地玩游戏,很不放心吧。有些家长想让电脑禁止运行小孩所玩的游戏程序。如果小孩发现Windows这个功能,就会想办法开启被禁的程序,有这种想法的小孩,最少也就不会只沉边于用电脑玩游戏了。 1.选择“系统”,双击“不要运行指定的Windows应用程序”选项,如图所示。
2.选择“已启用”,单击“显示”按钮,添加程序命令,如图所示。 3.完成后,单击“应用”按钮即可,如图所示。
4.运行Photoshop,如图所示。 5.得到被禁止运行的提示,如图所示。(说明Photoshop已被禁止执行) 如果添加的是游戏程序的命令,游戏程序就被禁止执行。 (二)禁止Windows用户修改Windows的时间和日期。 不允许用户修改Windows的时间,有时是很有必要的,如何实现呢? 1.在组策略,选计算机配置\Windows设置\安全设置\用户权利指派,双击“更改系统时间”,
如图所示。 2.系统显示原来是所有用户都可以更改Windows的系统时间的,如图所示。 3.把用户全删除,如图所示。
提示:重启计算机之后,你会发现Windows的系统时间不允许被修改。 (三)禁止Windows用户访问控制面板。 能进入控制面板,就可以更改Windows中的很多设置,有时需要禁止用户进入控制面板。1.在组策略,选“用户配置\管理模板\控制面板\,双击“禁止访问控制面板”,如图所示。
组策略工具是系统自带的一款强大管理软件,却往往被人所忽视,我现在介绍一下它其他用户用你装的QQ,游戏啊之类的,的一个小小的功能,让它来帮我们禁止指定程序的运行。 比如你不想让设置得当,还可以防止病毒呢。 点击“开始”→“运行”输入gpedit.msc 后回车,就打开了“组策略” 点选左边的“windows设置”→“安全设置”→“软件限制策略”→“其他规则”然后在右边的窗口中右击,选择“新路径规则” [attachment=30628] [attachment=30629] 把要限制的软件的地址添加进来即可。 知道了原理,破解网吧的限制你也就会了吧?在网吧的电脑上, 只要打开组策略,把里面的限制路径晴空就可以无所限制,任你访问了. 禁用指定的文件类型 2009-08-04 信息来源:瑞安免费信息网 视力保护色:【大中小】【打印本页】【关闭窗口】 在日常工作中,系统中的很多文件都可能给系统带来威胁,比如SHS、MSI、BAT、CMD、COM、EXE 等程序文件类型。其实我们完全可以利用系统的组策略功能,来禁用这些危险的文件类型。 这样操作不但可以保证系统的安全,而且不会影响系统的正常运行。这里假设我们要禁用批处理格式BAT 文件,不让系统运行BAT格式的文件,具体的策略组设置方法如下: 第一步:首先点击开始菜单中的“运行”命令,输入“gpedit.msc”打开组策略。接着点击“计算机配置→Windows设置→安全设置→软件限制策略”,然后在弹出的右键菜单上选择“创建软件限制策略”,即可生成“安全级别”、“其他规则”、“强制”、“指派的文件类型”、“受信任的出版商”等选项。 第二步:双击“指派的文件类型”选项,在弹出的“指派的文件类型属性”窗口,将“指定的文件类型”列表中将其他的文件全部删除,只留下BAT文件类型。如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。 第三步:双击“安全级别”中的“不允许的”选项,在弹出的“不允许的属性”窗口中,点击“设为默认值”按钮。然后注销系统或者重新启动系统,此策略即可生效。以后再运行BAT文件时,系统就会出现提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。 为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”选项,在弹出的窗口选择“除本地管理员以外的所有用户”。如果用的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。 第四步:如果用户要取消此软件限制策略的话,双击“安全级别”中的“不受限的”选项,在弹出的“不受限的属性”窗口中,点击“设为默认值”按钮即可。 其实用户鼠标右键点击“软件限制策略→其他规则”,就会看到它可以建立新证书规则、新散列规则、新
导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
? 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘)? %USERPROFILE%??表示C:\Documents and Settings\当前用户名? %HOMEPATH%? ? 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%??表示C:\Documents and Settings\All Users %ComSpec%??表示C:\WINDOWS\System32\? %APPDATA%??表示C:\Documents and Settings\当前用户名\Application Data? %ALLAPPDATA%??表示C:\Documents and Settings\All Users\Application Data? %SYSTEMDRIVE% 表示C: %HOMEDRIVE%? ?表示C: %SYSTEMROOT%??表示C:\WINDOWS? %WINDIR%? ?? ?表示C:\WINDOWS? %TEMP% 和%TMP%??表示C:\Documents and Settings\当前用户名\Local Settings\Temp? %ProgramFiles%??表示C:\Program Files? %CommonProgramFiles%??表示C:\Program Files\Common Files? 关于通配符: Windows里面默认
1.限制使用应用程序(Windows 2000/XP/2003) 顺次点击“组策略控制台”→“用户配置”→“管理模板”→“系统”中的“只运行许可的Windows应用程序”,双击之后启用此策略,然后点击下面的“允许的应用程序列表”中的“显示”按钮。会弹出一个“显示内容”的对话框,在这里单击“添加”按钮,然后添加你允许运行的应用程序即可。以后一般用户就只能运行“允许的应用程序列表”中的程序,其他程序就无法运行了! 2.禁用注册表编辑器(Windows 2000/XP/2003) 为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法:打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策。 此策略被启用后,用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。 如何解决上面谈到的利用组策略限制应用程序运行和禁用注册表编辑器的问题。 基于具体步骤差不多,就二为一解决这两个问题。 首先,开机时按F8键进入安全模式选项,选择其中的“带命令行提示的安全模式”,进入后打开命令提示符窗口,输入“mmc”(Microsoft管理控制台),按Enter键就打开了该程序。接下来,点击“文件”菜单下的“添加/删除管理单元”(或直接用快捷键“Ctrl+M”),在出现的对话框中点击“添加”按钮,选定其中的“组策略”,点击“添加”,会出现“欢迎使用组策略向导”窗口,点“下一步”直到最后单击“完成”按钮即可,关闭可添加的管理单元列表,然后在“添加/删除管理单元”对话框中点击“确定”按钮,在“控制台根节点”窗口的左侧“控制台根节点”项目中会多了一个“本地计算机”,把它给展开,接下来的操作就跟你启用“限制使用应用程序”和“禁用注册表编辑器”时一样了。具体步骤就不多说了,大家可以参考文章开头相关内容进行操作。注意,您只需把“只运行许可的Windows应用程序”和“阻止访问注册表编辑工具”里的“启用”改为“未配置”就行了。最后,关闭“Microsoft管理控制台”,此时会弹出一个对话框,提示你是否要保存,点“确定”即可。如果提示无法保存,不要管它,单击“否”,然后关闭即可。回到命令提示符窗口,同时按下“Ctrl+Alt+Del”组合键,选择“关机”中的“重新启动”选项,重启电脑到正常状态下,所有的应用程序(包括注册表编辑器)就又都可以使用,完! 组策略设置就是在修改注册表中的配置。组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 组策略及其工具,则是对当前注册表进行直接修改。 在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策。打开的组策略对象是当前的计算机。 在打开的组策略窗口中可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键