组策略禁止客户端软件安装和使用2.docVIP

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”-“管理模板”-“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图： 3. 在“不要运行指定的Windows应用程序 属性”对话框中，选择“已启用”，然后点击“显示”，如下图： 4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。 不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”-“Windows设置”-“安全设置”-“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图： 7. 右击“软件限制策略”下的“其他规则”，选择“新建哈希规则”，如下图： 8. 在“新建哈希规则”对话框中，点击“浏览”，找到要限制的软件，如下图： 点击“确定”后，在右面板上就可以看到我们新建的哈希规则了。 9. 关闭组策略编辑器，哈希规则限制软件使用就已经建好了。我们到客户端去测试打开QQ，出现如下提示。OK，现在即使改变名字也不能使用了。 不过，这种方式也不是绝对的有效，如果软件版本更新，那么我们就必须对新的版本做一次哈希规则，之前做的哈希规则只能对那一个版本的软件有效。如果这样每次有软件更新都做哈希规则的话，管理员的任务是很重的，所以这种方法虽然有用，不过，不能算好的方法。 方法二： 接下来，我们使用另外一种方法，就是默认禁止所有软件运行，然后，开通公司允许使用的软件。由于每个企业允许使用的软件都是有限的，这样做起来比较方便一些。具体方法如下： 1. 打开“组策略编辑器”，选择“用户配置”-“管理模板”-“系统”，在右面板上双击“只运行许可的Windows应用程序”，如下图： 2. 在“只运行许可的Windows应用程序 属性”对话框中，选择“已启用”，然后点击“显示”，如下图： 3. 在“显示内容”对话框中，添加公司允许使用的软件，如下图：点击确定，确定…关闭组策略编辑器，完成组策略的设置。 4. 我们到客户端，随便找一个非允许的软件，双击都会出现如下所示对话框。OK，现在我们就已经做到限制软件的使用了。这种方法比前一种方法更为实用。 二、限制用户安装软件 由于我们域中有些用户具有Power User权限，而拥有该权限的用户是可以安装软件了，为了防止用户未经授权，自行安装软件。我们必须对用户做安装软件的限制。这个设置很简单： 打开“组策略编辑器”，选择“用户配置”-“Windows设置”-“安全设置”-“软件限制策略”-“安全级别”，然后在右面板上将默认的安全级别改为“不允许的”。关闭组策略编辑器，设置完成。 我们到客户端去测试一下，如下图，我们测试安装skype软件，系统会提示已经受到限制。 ? 使用组策略限制软件的使用和安装，到这里就已经介绍完了。其实组策略是一个很强大的工具，用好了组策略，可以给我们的域管理工作带来很多方便。