妙用组策略限制非法软件超限运行

小弟快要放假了，可近来他迷上了QQ聊天，此外还老爱下载一些黑客类软件试用，经常给电脑带来病毒。为了保护电脑和让小弟收心学习，我决定封锁QQ和阻止他安装软件。电脑安装的是WindowsXP专业版，我利用组策略的“软件限制策略”轻松实现上述目的。

1。自己动手建策略。打开组策略编辑器后，依次展开“计算机配置/Windows设置/安全设置/软件限制策略”，单击菜单栏的“操作/创建新的策略”新建策略。

2。封锁QQ。展开新建的策略，在“其它规则”上右击选择“新散列规则”，在弹出的窗口单击“浏览”选择QQ。

exe，这时会生成一个文件散列号码，系统还会读取文件的基本信息如版本、公司名等，“安全级别”选择“不允许”（如图1）。

小提示：该法还可以用于阻止已知病毒的运行，比如杀毒软件提示发现了“c:abc。exe”病毒（但无法查杀），这时可以为abc。

exe建立一个散列规则阻止其运行并删除它。

3。下载软件运行我阻止。本机下载主要使用IE和Flashget，首先要设定下载文件夹，然后建立一个新的路径规则，这样就可以阻止小弟安装下载的软件。

（1）禁止IE下载。

运行注册表编辑器依次展开[HKEY_USERSS-1-5-21-1202660629-854245398-1060284298-500SoftwareMicrosoftWindowsCurrentVersionInternetSettingsZones3]，然后将右侧的“1803”的值更改为“3”（如图2），这样就无法使用IE下载文件了。

（2）设置Flashget下载位置。运行后单击“工具→默认下载属性”，设定下载保存的文件夹为d:downloads。

（3）建立限制规则。同上在“其它规则”上右击选择“新路径规则”，按提示选择“d:downloads”，“安全级别”选择“不允许”。

小提示：下载的很多软件是rar格式，还可以建立winrar。exe及其默认解压路径的阻止规则。

4。阻止修改组策略。为了防止小弟知道限制是由组策略引发，可以设置禁止运行组策略。同上在组策略编辑窗口依次展开“本地计算机策略→用户配置→管理模板→系统”，然后双击右侧设置窗口的“不要运行指定的Windows应用程序”，在弹出的窗口单击“设置”，选择“已启用”，将“mmc。

exe”设置为不允许运行的程序。

天空软件站提醒大家，mmc。exe是系统自带的策略编辑器，禁止它运行后，其它策略编辑也无法使用。如果要运行mmc。exe，只要将“c:windowsmmc。exe”改名运行，然后单击“文件/打开”，打开“c:windowssystem32gpedit。

msc”即可编辑组策略。

OK，经过上述的设置并重启后，小弟如果要运行QQ。exe则会遭到系统的拒绝，同样的如果要运行（或安装）d:downloads下的软件也会遭到拒绝（如图3）。此外，对于设置散列规则限制的程序，不管是改名还是移动位置，它的限制都不会取消！而“不要运行指定的Windows应用程序”策略是针对文件名生效的，改名即可解除限制。

组策略（Group Policy）是Windows操作系统中用于集中管理计算机和用户设置的强大工具。通过合理配置组策略，可以有效地限制非法软件的运行，保护系统安全。

首先，打开“本地组策略编辑器”。可以通过在开始菜单搜索“gpedit.msc”来找到并打开它。

接下来，在组策略编辑器中，依次展开“计算机配置”或“用户配置”（根据需要选择） -> “管理模板” -> “Windows 组件” -> “Windows Defender”。

找到“禁用Windows Defender”策略，并确保它没有被启用，以确保防病毒软件正常运行。

然后，返回到“管理模板”，依次展开“Windows 组件” -> “附件” -> “可选组件”。

在这里，可以禁用一些不必要的组件，如“Windows自带的媒体播放器”，虽然这不能直接限制非法软件，但可以减少潜在的攻击入口。

为了更精确地限制特定软件，可以使用“软件限制策略”（Software Restriction Policies）。在组策略编辑器中，依次展开“计算机配置”或“用户配置” -> “Windows 设置” -> “安全设置”。

右键点击“软件限制策略”，选择“创建软件限制策略”，然后按照提示创建规则。可以在“其他规则”中添加一个哈希规则，输入非法软件的哈希值（可以通过防病毒软件获取），将此软件设置为不允许运行。

对于文件路径或文件夹路径的限制，可以选择“路径规则”。添加想要限制的软件路径，并设置为不允许运行。

最后，应用组策略更改。可以通过点击“编辑”菜单中的“应用”选项来使更改生效。

请注意，组策略的具体路径和选项可能会因Windows版本的不同而有所差异。