如“不要运行指定的windows应用程序”,但总有个别用户在网上能找到破解的……这段话使我想起了关于网络安全一条名言:没有绝对的安全。我个人也觉得在计算机网络世界里,永远是高手在蒙低手。若水平都很高,那么最终的安全又回到了物理安全设置上(术语叫:社会工程)。下面以“不要运行指定的windows应用程序”这条组策略设置的攻防转换,来阐明这个问题
第一回合:
管理员:通过本地策略限制某用户运行某些用户程序,如QQ、反恐、realplay等。操作:开始/运行,键入gpedit.msc,用户配置/管理模板/系统/不要运行指定的windows应用程序,启用/显示/添加:上述应用的.exe文件名即可。
用 户:用户如果知道管理员怎么设置的限制,同样的办法取消限制即可。
第二回合:
管理员:将mmc.exe也加入到上述禁止运行列表中,使用户无法打开任何MMC管理控制台。
用 户:开始/运行:cmd,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制。
说明:用户在CMD方式下,直接键入gpedit.msc仍不能运行。此解法的知识点来自这条策略的说明标签。
第三回合:
管理员:将cmd.exe也禁止运行
用 户:重新启动计算机,按F8,选择带命令行的安全模式。登录进来后,在CMD方式下,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制。
第四回合:
管理员:一看不行了,还是借助于基于域的组策略吧。将用户计算机加入到域,不给用户本地管理员的口令,要求用户使用一个域用户帐号(为不影响用户的其它正常应用,可将其加入到客户机的Power Uers组),并将此域用户帐号放到一个OU中,链接组策略,设置上述限制。
用 户:手动删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。
第五回合:
管理员:因为默认情况下,若用户手动修改注册表中的组策略设置值,若策略未变,组策略不负责强制改回。管理员可利用组策略/计算机配置/管理模板/系统/组策略/注册表策略处理,设置成“即使尚未更改组策略对象也进行处理”,执行强制性的、周期性刷新策略。
用 户:用户修改程序文件名,以避开策略的限制(尤其是对非MS的应用程序)。
第六回合:
管理员:设置权限,让用户无权修改文件名。
用 户:利用用凤凰启动盘重设本地管理员密码,以本地管理员登录进来后,不受上述限制,也可以干脆
脱离域
第七回合:
管理员:在BIOS中禁用光驱并设上BIOS密码,或物理断开光驱。
用 户:打开机箱,跳线清除BIOS密码,或物理连接上光驱。
让电脑“只运行指定的Windows程序”
1、组策略(实时生效)
开始--运行,输入“gpedit.msc”,然后依次展开“用户配置”--“管理模板”--“系统”
在右边找到“只运行许可的Windows应用程序”,然后将其选择为“已启用”,再点击“允许的应用程序列表”的“显示”;
在这里添加允许运行的程序,如cmd.exe、regedit.exe、mmc.exe(一定写上后缀,如.exe、.bat等)。
2、注册表(注销或者重启之后生效)
添加许可的程序,格式如
"1"="cmd.exe"
"2"="iexplore.exe"
"3"="sndrec32.exe"
...
删除许可的程序,格式如
"1"="-"
"2"="-"
"3"="-"
...
将下面的代码保存为 *.reg 的文件,如1.reg;然后双击之后选择“导入”即可
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"RestrictRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="cmd.exe"
"2"="iexplore.exe"
3、批处理(注销或者重启之后生效)
将下面的代码保存为 *.bat 的文件,如1.bat;然后双击即可
@echo off
set regpath="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
reg add %regpath% /v "NoDriveTypeAutoRun" /t reg_dword /d "145" /f
reg add %regpath% /v "RestrictRun" /t reg_dword /d "1" /f
reg add %regpath%\RestrictRun /v "1" /t reg_sz /d "cmd.exe" /f
reg add %regpath%\RestrictRun /v "2" /t reg_sz /d "iexplorer.exe" /f
恢复方法:
1、打开注册表,将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下的
RestrictRun 这个REG_DWORD键值 以及 RestrictRun项
删除即可
2、打开组策略,然后依次展开“用户配置”--“管理模板”--“系统”
在右边找到“只运行许可的Windows应用程序”,然后将其选择为“未配置”即可
如何禁止别的用户在自己电脑上安装软件程序
其实很简单的一个设置就基本上禁止了所有软件的安装和卸载,就是设置 C:\Documents and Settings\(用户名)\Local Settings\Temp 文件夹的属性里的"安全"选项卡,点 "高级" 弹出 "Temp的高级安全设置" 对话框一一选择并编辑对应的用户名或用户组,勾选权限里的 拒绝 "遍历文件夹/运行文件" 然后点确定。这样一来 几乎所有的程序都无法安装了,因为安装程序一般情况下都需要在Temp里执行文件,一旦禁止了,安装便无法进行!
补充:"遍历文件夹/运行文件" 意思是,对于文件夹,“遍历文件夹”允许或拒绝通过移动文件夹以到达其他文件
或文件夹,即使用户没有禁止文件夹的权限(仅适用于文件夹)。只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时(本地安全策略(secpol.msc)安全设置\本地策略\用户权利指派\跳过遍历检查),禁止文件夹才起作用(在默认情况下,授予Everyone组“忽略通过检查”用户权限)。对于文件,“运行文件”允许或拒绝运行程序文件(仅适用于文件)。设置文件夹的“遍历文件夹”权限不会自动设置该文件夹中所有文件的“运行文件”权限。
A、读取:此权限可以查看文件夹内的文件名称,子文件夹的属性。
B、写入:可以在文件夹里写入文件与文件夹。更改文件的属性。
C、列出文件夹目录:除了“读取”权限外,还有“列出子文件夹”的权限。即使用户对此文件夹没有访问权限。
D、读取与运行:它与“列出文件夹目录”几乎相同的权限。但在权限的继承方面有所不同,“读取与运行”是文件与文件夹同时继承,而“列出子文件夹目录”只具有文件夹的继承性。
E、修改:它除了具有“写入”与“读取与运行”权限,还具有删除,重命名子文件夹的权限。
F、完全控制:它具有所有的NTFS文件夹权限。