组策略之软件限制策略—完全培训教材

组策略工具是系统自带的一款强大管理软件，却往往被人所忽视，我现在介绍一下它其他用户用你装的QQ，游戏啊之类的，的一个小小的功能，让它来帮我们禁止指定程序的运行。

比如你不想让设置得当，还可以防止病毒呢。

点击“开始”→“运行”输入gpedit.msc 后回车，就打开了“组策略”

点选左边的“windows设置”→“安全设置”→“软件限制策略”→“其他规则”然后在右边的窗口中右击，选择“新路径规则”

[attachment=30628]

[attachment=30629]

把要限制的软件的地址添加进来即可。

知道了原理,破解网吧的限制你也就会了吧?在网吧的电脑上, 只要打开组策略,把里面的限制路径晴空就可以无所限制,任你访问了.

禁用指定的文件类型

2009-08-04 信息来源：瑞安免费信息网

视力保护色：【大中小】【打印本页】【关闭窗口】

在日常工作中，系统中的很多文件都可能给系统带来威胁，比如SHS、MSI、BAT、CMD、COM、EXE 等程序文件类型。其实我们完全可以利用系统的组策略功能，来禁用这些危险的文件类型。

这样操作不但可以保证系统的安全，而且不会影响系统的正常运行。这里假设我们要禁用批处理格式BA T 文件，不让系统运行BAT格式的文件，具体的策略组设置方法如下：

第一步：首先点击开始菜单中的“运行”命令，输入“gpedit.msc”打开组策略。接着点击“计算机配置→Windows设置→安全设置→软件限制策略”，然后在弹出的右键菜单上选择“创建软件限制策略”，即可生成“安全级别”、“其他规则”、“强制”、“指派的文件类型”、“受信任的出版商”等选项。

第二步：双击“指派的文件类型”选项，在弹出的“指派的文件类型属性”窗口，将“指定的文件类型”列表中将其他的文件全部删除，只留下BAT文件类型。如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。

第三步：双击“安全级别”中的“不允许的”选项，在弹出的“不允许的属性”窗口中，点击“设为默认值”按钮。然后注销系统或者重新启动系统，此策略即可生效。以后再运行BAT文件时，系统就会出现提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。

为了避免“软件限制策略”将系统管理员也限制，我们可以双击“强制”选项，在弹出的窗口选择“除本地管理员以外的所有用户”。如果用的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其他用户无权运行。

第四步：如果用户要取消此软件限制策略的话，双击“安全级别”中的“不受限的”选项，在弹出的“不受限的属性”窗口中，点击“设为默认值”按钮即可。

其实用户鼠标右键点击“软件限制策略→其他规则”，就会看到它可以建立新证书规则、新散列规则、新

Internet区域规则、新路径规则等策略，利用这些规则我们可以让系统更加安全。

比如利用“新路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的”，以防止电子邮件病毒。

理论部分：

1.软件限制策略的路径规则的优先级问题

2.在路径规则中如何使用通配符

3.规则的权限继承问题

4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限

规则部分：

5.如何用软件限制策略防毒（也就是如何写规则）

6.规则的示例与下载

其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有

点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。

如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限

理论部分

软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？

一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了

一.环境变量、通配符和优先级

关于环境变量（假定系统盘为 C盘）

%USERPROFILE% 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名

%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users

%ComSpec% 表示 C:\WINDOWS\System32\cmd.exe

%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data

%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data

%SYSTEMDRIVE% 表示 C:

%HOMEDRIVE% 表示 C:

%SYSTEMROOT% 表示 C:\WINDOWS

%WINDIR% 表示 C:\WINDOWS

%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp

%ProgramFiles% 表示 C:\Program Files

%CommonProgramFiles% 表示 C:\Program Files\Common Files

关于通配符：

Windows里面默认

* ：任意个字符（包括0个），但不包括斜杠

? ：1个或0个字符

几个例子

*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。

C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。

*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

C:\Application Files\*.* 匹配特定目录（Application Files）中的应用程序文件，但不包括Application Files的子目录

关于优先级:

总的原则是:规则越匹配越优先

1.绝对路径 > 通配符全路径

如 C:\Windows\explorer.exe > *\Windows\explorer.exe

2.文件名规则 > 目录型规则

如若a.exe在Windows目录中，那么 a.exe > C:\Windows

3.环境变量 = 相应的实际路径 = 注册表键值路径

如 %ProgramFiles% = C:\Program Files

= %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.对于同是目录规则，则能匹配的目录级数越多的规则越优先

对于同是文件名规则，优先级均相同

5.散列规则比任何路径规则优先级都高

6.若规则的优先级相同，按最受限制的规则为准

举例说明，例如cmd的全路径是 C:\Windows\system32\cmd.exe

那么，优先级顺序是：

绝对路径(如C:\Windows\system32\cmd.exe) >通配符全路径(如*\Windows\*\cmd.exe) >文件名规则(如cmd.exe) = 通配符文件名规则(如*.*) >部分绝对路径(不包含文件名，如

C:\Windows\system32 ) =部分通配符路径（不包含文件名，如C:\*\system32）>

C:\Windows=*\*

注：

1. 通配符 * 并不包括斜杠 \。例如*\WINDOWS 匹配 C:\Windows，但不匹配 C:\Sandbox\WINDOWS

2. * 和 ** 是完全等效的，例如 **\**\abc = *\*\abc

3. C:\abc\* 可以直接写为 C:\abc\ 或者 C:\abc，最后的* 是可以省去的，因为软件限制策略的规则可以

直接匹配到目录。

4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如 *.txt 不允许的，这样的规则实际上无效，除非你把TXT格式也加入“指派的文件类型”列表中。而且默认不对加载dll进行限制，除非在“强制”选项中指定：

5. * 和 *.* 是有区别的，后者要求文件名或路径必须含有“.”，而前者没有此限制，因此，*.* 的优先级比* 的高

6. ?:\* 与 ?:\*.* 是截然不同的，前者是指所有分区下的每个目录下的所有子文件夹，简单说，就是整个硬盘；而 ?:\*.* 仅包括所有分区下的带“.”的文件或目录，一般情况

下，指的就是各盘根目录下的文件。那非一般情况是什么呢？请参考第7点

7. ?:\*.* 中的“.” 可能使规则范围不限于根目录。这里需要注意的是：有“.”的不一定是文件，可以是文件夹。例如 F:\ab.c，一样符合 ?:\*.*，所以规则对F:\ab.c下的所有文件及子目录都生效。

8.这是很多人写规则时的误区。首先引用《组策略软件限制策略规则包编写之菜鸟入门（修正版）》里的一段：4、如何保护上网的安全

在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵

%SYSTEMROOT%\tasks\**\*.* 不允许的（这个是计划任务，病毒藏身地之一）

%SYSTEMROOT%\Temp\**\*.* 不允许的

%USERPROFILE%\Cookies\*.* 不允许的

%USERPROFILE%\Local Settings\**\*.* 不允许的（这个是IE缓存、历史记录、临时文件所在位置）

说实话，上面引用的部分不少地方都是错误的

先不谈这样的规则能否保护上网安全，实际上这几条规则在设置时就犯了一些错误

例如：%USERPROFILE%\Local Settings\**\*.* 不允许的

可以看出，规则的原意是阻止程序从Local Settings（包括所有子目录）中启动

现在大家不妨想想这规则的实际作用是什么？

先参考注1和注2，** 和* 是等同的，而且不包含字符“\”。所以，这里规则的实际效果是“禁止程序从Local Settings文件夹的一级子目录中启动”，不包括Local Settings根目录，也不包括二级和以下的子目录。

现在我们再来看看Local Settings的一级子目录有哪些：Temp、Temporary Internet Files、Application Data、History。

阻止程序从Temp根目录启动，直接的后果就是很多软件不能成功安装

那么，阻止程序从Temporary Internet Files根目录启动又如何呢？

实际上，由于IE的缓存并不是存放Temporary Internet Files根目录中，而是存于Temporary Internet Files 的子目录Content.IE5的子目录里（-_-||），所以这种写法根本不能阻止程序从IE缓存中启动，是没有意义的规则

若要阻止程序从某个文件夹及所有子目录中启动，正确的写法应该是：

某目录\**

某目录\*

某目录\

某目录

9.

?:\autorun.inf 不允许的

这是流传的所谓防U盘病毒规则，事实上这条规则是没有作用的，关于这点在关于各种策略防范U盘病毒的讨论已经作了分析

二.软件限制策略的3D的实现：

“软件限制策略通过降权实现AD，并通过NTFS权限实现FD，同时通过注册表权限实现RD，从而完成3D的部署”

对于软件限制策略的AD限制，是由权限指派来完成的，而这个权限的指派，用的是微软内置的规则，即使我们修改“用户权限指派”项的内容（这个是对登陆用户的权限而言），也无法对软件限制策略中的安全等级进行提权。所以，只要选择好安全等级，AD部分就已经部署好了，不能再作干预

而软件件限制策略的FD和RD限制，分别由NTFS权限、注册表权限来完成。而与AD部分不同的是，这样限制是可以干预的，也就是说，我们可以通过调整NTFS和注册表权限来配置FD和RD，这就比AD部分要灵活得多。

小结一下，就是

AD——用户权利指派（内置的安全等级）

FD——NTFS权限

RD——注册表权限

先说AD部分，我们能选择的就是采用哪种权限等级，微软提供了五种等级：不受限的、基本用户、受限的、不信任的、不允许的。

不受限的，最高的权限等级，但其意义并不是完全的不受限，而是“软件访问权由用户的访问权来决定”，即继承父进程的权限。

基本用户，基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。

受限的，比基本用户限制更多，也仅享有“跳过遍历检查”的特权。

不信任的，不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。

不允许的，无条件地阻止程序执行或文件被打开

很容易看出，按权限大小排序为不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的

其中，基本用户、受限的、不信任的这三个安全等级是要手动打开的

具体做法：

打开注册表编辑器，展开至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一个DWORD值，命名为Levels，其值可以为

0x10000 //增加受限的

0x20000 //增加基本用户

0x30000 //增加受限的，基本用户

0x31000 //增加受限的，基本用户，不信任的

设成0x31000（即4131000）即可

如图：

或者将下面附件中的reg双击导入注册表即可

再强调两点：

1.“不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作，组策略不会阻止，前提当然是你的用户级别拥有修改该文件的权限

2.“不受限的”级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限字，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。

权限的分配与继承:

这里的讲解默认了一个前提：假设你的用户类型是管理员。

在没有软件限制策略的情况下，

很简单，如果程序a启动程序b，那么a是b的父进程，b继承a的权限

现在把a设为基本用户，b不做限制（把b设为不受限或者不对b设置规则效果是一样的）

然后由a启动b，那么b的权限继承于a，也是基本用户，即:

a（基本用户）-> b（不受限的） = b（基本用户）

若把b设为基本用户，a不做限制，那么a启动b后，b仍然为基本用户权限，即

a（不受限的）-> b（基本用户） = b（基本用户）

可以看到，一个程序所能获得的最终权限取决于：父进程权限和规则限定的权限的最低等级，也就是我们所说的最低权限原则

举一个例：

若我们把IE设成基本用户等级启动，那么由IE执行的任何程序的权限都将不高于基本用户级别，只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了，病毒由于权限的限制，无法对系统进行有害的更改，如果重启一下，那么病毒就只剩下尸体了。

甚至，我们还可以通过NTFS权限的设置，让IE无法下载和运行病毒，不给病毒任何的机会。

FD：NTFS权限

* 要求磁盘分区为NTFS格式 *

其实Microsoft Windows 的每个新版本都对 NTFS 文件系统进行了改进。NTFS 的默认权限对大多数组织而言都已够用。

注：设置前请先在“文件夹选项”中取消选中“使用简单文件共享（推荐）”

NTFS权限的分配

1.如果一个用户属于多个组，那么该用户所获得的权限是各个组的叠加

2.“拒绝”的优先级比“允许”要高

例如：用户A 同时属于Administrators和Everyone组，若Administrators组具有完全访问权，但Everyone 组拒绝对目录的写入，那么用户A的实际权限是：不能对目录写入，但可以进行除此之外的任何操作

高级权限名称描述（包括了完整的FD和部分AD）

遍历文件夹/运行文件（遍历文件夹可以不管，主要是“运行文件”，若无此权限则不能启动文件，相当于AD的运行应用程序）

允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求，即使用户没有遍历文件夹的权限（仅适用于文件夹）。

列出文件夹/读取数据

允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容，而不影响您对其设置权限的文件夹是否会列出（仅适用于文件夹）。

读取属性（FD的读取）

允许或拒绝查看文件中数据的能力（仅适用于文件）。

读取扩展属性

允许或拒绝用户查看文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。

创建文件/写入数据（FD的创建）

“创建文件”允许或拒绝在文件夹中创建文件（仅适用于文件夹）。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力（仅适用于文件）。

创建文件夹/追加数据

“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求（仅适用于文件夹）。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力（仅适用于文件）。

写入属性（即改写操作了，FD的写）

允许或拒绝用户对文件末尾进行更改，而不更改、删除或覆盖现有数据的请求（仅适用于文件）。即写操作

写入扩展属性

允许或拒绝用户更改文件或文件夹属性（例如只读和隐藏）的请求。属性由 NTFS 定义。

删除子文件夹和文件（FD的删除）

允许或拒绝删除子文件夹和文件的能力，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。

删除（与上面的区别是，这里除了子目录及其文件，还包括了目录本身）

允许或拒绝用户删除子文件夹和文件的请求，即使子文件夹或文件上没有分配“删除”权限（适用于文件夹）。

读取权限（NTFS权限的查看）

允许或拒绝用户读取文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。

更改权限（NTFS权限的修改）

允许或拒绝用户更改文件或文件夹权限（例如“完全控制”、“读取”和“写入”）的请求。

取得所有权

允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，而不论用于保护该文件或文件夹的现有权限如何。

以基本用户为例，基本用户能做什么？

在系统默认的NTFS权限下，基本用户对系统变量和用户变量有完全访问权，对系统文件夹只读，对Program Files的公共文件夹只读，Document and Setting下，仅对当前用户目录有完全访问权，其余不能访问

关于基本用户的相关详细介绍，请看这里：

https://www.wendangku.net/doc/8d10042159.html,/viewthread.php?tid=282171&highlight=

如果觉得以上的限制严格了或者宽松了，可以自行调整各个目录和文件的NTFS权限。

如果发现浏览器在基本用户下无法使用某些功能的，很多都是由NTFS权限造成的，可以尝试调整对应文件或文件夹的NTFS权限

NTFS权限的调整

基本用户、受限用户属于以下组

Users

Authenticated Users

Everyone

INTERACTIVE

调整权限时，主要利用到的组为 Users

为什么是Users组？因为调整Users的权限可以限制基本用户、受限用户，但却不会影响到管理员，这样就既保证了使用基本用户的安全性和管理员帐户下的操作的方便性

例：对用户变量Temp目录进行设置，禁止基本用户从该目录运行程序，可以这样做：

首先进入“高级”选项，取消勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目(I)”

然后设置Users的权限如图

然后把除Administrators、Users、SYSTEM之外的所有组都删除之

这样基本用户下的程序就无法从Temp启动文件了

注意：

1. 不要使用“拒绝”，不然管理员权限下的程序也会受影响

2. everyone组的权限适用于任何人、任何程序，故everyone组的权限不能太高，至少要低于Users组

其实利用NTFS权限还可以实现很多功能

又例如，如果想保护某些文件不被修改或删除，可以取消Users的删除和写入权限，从而限制基本用户，达到保护重要文件的效果

当然，也可以防止基本用户运行指定的程序

以下为微软建议进行限制的程序：

regedit.exe

arp.exe

at.exe

attrib.exe

cacls.exe

debug.exe

edlin.exe eventcreate.exe eventtriggers.exe ftp.exe

nbtstat.exe

net.exe

net1.exe

netsh.exe netstat.exe nslookup.exe ntbackup.exe rcp.exe

reg.exe

regedt32.exe regini.exe

regsvr32.exe rexec.exe

route.exe

rsh.exe

sc.exe

secedit.exe subst.exe

systeminfo.exe

telnet.exe

tftp.exe

tlntsvr.exe

RD部分：注册表权限。由于微软默认的注册表权限分配已经做得很好了，不需要作什么改动，所以这里就直接略过了

三.关于组策略规则的设置：

规则要顾及方便性，因此不能对自己有过多的限制，或者最低限度地，即使出现限制的情况，也能方便地进行排除

规则要顾及安全性，首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的威胁。没有这种防外能力的规则都是不完整或者不合格的

基于文件名防病毒、防流氓的规则不宜多设，甚至可以舍弃。

一是容易误阻，二是病毒名字可以随便改，特征库式的黑名单只会跟杀软的病毒库一样滞后。

于是，我们有两种方案：

如果想限制少一点的，可以只设防“入口”规则，主要面向U盘和浏览器

如果想安全系数更高、全面一点的，可以考虑全局规则+白名单

具体内容见二楼

待续.....

最后布置几道作业，看看大家对上面的内容消化得如何

1.在规则“F:\**\*\*.* 不允许”下，下面那些文件不能被打开？

A:F:\a.exe

B.F:\Folder.1\b.exe

C.F:\Folder1\Folder.2\C.txt

D.F:\Folder1\Folder.2\Folder.3\d.exe

2.在以管理员身份登陆的情况下，建立规则如下：

%Temp%

受限的

%USERPROFILE%\Local Settings\Temporary Internet Files 不允许的

%ProgramFiles%\Internet

Explorer\iexplore.exe

基本用户

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

Folders\Desktop% 不受限的

在这四条规则下，假设这样的情况：

iexplore.exe 下载一个test.exe到Temporary Internet Files目录，然后复制到Temp目录，再从Temp目录（复制和运行的操作都是IE在做），然后由text.exe释放test2.exe到桌面，并运行test2.exe。中运行test.exe，

那么test2.exe的访问令牌为：

A.不受限的

B.不允许的

C.基本用户

D.受限的

3.试说出 F:\win* 和 F:\win*\ 的区别

4.若想限制QQ的行为，例如右下方弹出的广告，并不允许QQ调用浏览器，可以怎么做？

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

利用组策略部署软件分发

【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容，可以使用隐藏共享文件夹，即在共享名字后加$符号。 三、创建组策略对象

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

组策略分发Adobe Reader 10教程

组策略分发Adobe Reader 10教程 1，实验环境 域控：Windows Server 2008 R2 客户端：Windows XP SP3 32位 Adobe Reader版本：10.1.4 2，获取分发Adobe Reader的许可协议 按照Adobe公司的要求，分发Adobe Reader需要取得许可，仅为形式上的东西，申请网址为https://www.wendangku.net/doc/8d10042159.html,/cn/products/reader/distribution.html?readstep，申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader，免费的。 3，下载Adobe Reader msi包 官方下载地址：ftp://https://www.wendangku.net/doc/8d10042159.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载，所以我们需先下载Adobe Reader 10.1.0的msi包，下载目录ftp://https://www.wendangku.net/doc/8d10042159.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/，对于网内有中英文电脑的酒店，都可下载此中文安装包，只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示，单语言安装包只有66.8M，而多语言安装包有140多M，安装单语言安装包将快得多。然后在目录 ftp://https://www.wendangku.net/doc/8d10042159.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4，下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址：https://www.wendangku.net/doc/8d10042159.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等，后面将详细介绍。 5，安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package，打开之前下载的Adobe Reader 10.1.0的msi包，请勿在msi包上单击右键选择Adobe Customization Wizard X用打开，这样打开将报错，弄得我还以为是电脑有问题。 6，生成MST文件 可参考如下文档 https://www.wendangku.net/doc/8d10042159.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf，接下来我将简单介绍几个实用的修改。

利用组策略来发布和指派软件

利用组策略来发布和指派软件 1、分发具备的条件： A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展：软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤： A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO（组策略容器） 注意：默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有：发布和指派注意区别 1、指派方式有两种：指派给计算机和指派给用户； （1）指派给计算机：计算机启动时软件会自动安装在计算机里； 安装目录：Documents and setting\All User （2）指派给用户：不会自动安装软件本身 只安装软件相关部分信息，如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能（document activation） 2、发布方式：只有发布给用户，不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装（注意：要有权限，是域的管理员可以安装，本地的管理员不行，或者设置策略来进行软件的安装） 下面就开始做实验：

1、打开域控制器，我就用callcenter.21cn.local来举例。如图：1-1 1-1 2、新建一个组织，命名为“callcneter”，如图：1-2 1-2

3、点击“callcenter”属性，然后点击“组策略”选项卡，点击“新建”>>，创建一个“组策略对象链接”命名为“deng”如图：1-3 1-3 4、点击“编辑”，如图：1-4 1-4

谈在windows server 中使用软件限制策略

在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件，以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时，能够为组策略对象 (GPO) 定义两种默认安全级不（分不是无限制和不同意）中的一种，使得在默认情况下或者同意软件运行，或者不同意软件运行。要创建此默认安全级不的特例，能够创建针对特定软件的规则。能够创建以下几种规则：?哈希规则 ?证书规则 ?路径规则

? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法，它们还提供了基于策略的基础结构，以便强制执行关于软件是否能够运行的决定。有了软件限制策略，用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略，能够执行以下任务： ?操纵能够在计算机上运行的程序。例如，假如担心用户通过电子邮件收到病毒，能够应用一个策略，不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上，仅同意用户运行特定的文件。例如，假如您的计算机上有多个用户，您能够设置软件限制策略，使用户除了能够访问必须在工作中使用的特定文件外，不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户，依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如，假如存在已知病毒，就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明：Microsoft 建议不要用软件限制策略代替防病毒软件。

软件分发功能简易说明

软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组：用来选择需要控制的群组，最多可以控制80个群组。 2.电脑：用来选择群组中需要控制的计算机，一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表：列出所有收集到的安装Max-User 计算机相关信息及状态；包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输：列出正在进行文件传输的计算机及状态。 5.网络唤醒排程：设定（新增、删除、修改）控制排程和设定（新增、删除、 修改）触发事件，主要用于在保护系统的系统保护。 6.帮助：提供电子版本的帮助文件。 7.关于：公司服务电话及Email。 8.离开：退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘

1.输入被控端管理员密码： 需要输入正确的密码才能对安装MaxUser的计算机进行控制，该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘： 此处显示的操作系统为当前用户使用的操作系统的名称，同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID，用于读取安装网络客户端程序的计算机状态，同时在主窗口界面中显示出来，用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下，请选择按保护系统信息收集；若被控机已经进入Windows 操作系统状态下，请选择按操作系统信息收集。 2.网络唤醒： 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开，并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒：公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启： 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框： 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出，由于以上功能均需要使被控端计算机重启或关机，因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息，同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。

Windows组策略中软件限制策略规则编写示例

Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略，也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行，一般是创建诸如： C:\Program Files\*.* 不允许 这样的规则，看起来是没有问题的，但在特殊情况下则可能引起误伤，因为通配符即可以匹配到文件，也可以匹配到文件夹。如果此目录 下存在如https://www.wendangku.net/doc/8d10042159.html, 这样的目录（如C:\Program Files\https://www.wendangku.net/doc/8d10042159.html,\Site Map https://www.wendangku.net/doc/8d10042159.html,），同样可以和规则匹配，从而造成误伤，解决方法是对规则进行修改：C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录，从而不会造成误伤。 上网安全的规则 我们很多时候中毒，都是在浏览网页时中的毒，在我们浏览网页时，病毒会通过浏览器漏洞自动下载到网页缓存文件夹中，然后再将自身 复制到系统敏感位置，比如windows system32 program files等等目录下，然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件，基于此，我们可以创建如下规则： %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器，同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法： U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高，也不会对U盘的正常操作有什么限制。 CMD限制策略

AD域中如何布置软件自动分发

AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序： ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户，在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时，安装过程最终完成。如果将程序分配给一台计算机，在计算机启动时就会安装此程序，所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时，安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时，发布的程序会显示在“添加或删除程序”对话框中，并且可以从这里安装。 注意：Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序，必须在发布服务器上创建一个分发点： 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹，将您要分发的 Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如，要分发 Microsoft Office XP，请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO)，请执行以下操作： 1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。 2. 在控制台树中，右键单击您的域，然后单击“属性”。 3. 单击“组策略”选项卡，然后单击“新建”。 4. 为此新策略键入名称（例如，Office XP 分发），然后按 Enter。

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

组策略 软件分发

用组策略部署软件，省心又省力！ 责任编辑：李鹏作者：姜磊福 2006-06-20 【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.wendangku.net/doc/8d10042159.html,/下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

Win10操作系统配置软件限制策略

龙源期刊网 https://www.wendangku.net/doc/8d10042159.html, Win10操作系统配置软件限制策略 作者：张志浩 来源：《科学与财富》2017年第28期 摘要：随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多，用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面，有人曾说，如果把 HIPS （Host-based Intrusion Prevention System ，基于主机的入侵防御系统）用的很好，就可以告别杀毒软件了。其实，在Windows中，如果能将组策略中的“软件限制策略”使用的很好，再结合NTFS权限和注册表权限限制，依然可以很淡定的告别杀毒软件。另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述：软件限制策略，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户：除本地管理员以外的所有用户。 启用限制策略在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它： 1. 打开组策略编辑器：gpedit.msc 2.将树目录定位至：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键，点选“创建软件限制策略”创建成功之后，组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则，应用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

域环境通过组策略分发软件给客户端讲课稿

域环境通过组策略分发软件给客户端

域环境通过组策略分发软件给客户端 通常情况下，我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦）。通过在组策略的“计算机配置”中的“软件安装中，点击右键，如何选择程序包，通过UNC路径（注意了哦：这个是网络路径，所以，管理员必须把此软件共享出去）找到程序位置。如何，选择"已指派"就可以了。当然，在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有？在发布好软件后，选择软件里面的属性，查看“部署”，可以看见“指派”与“发行”两个选项（计算机配置中，发行为灰色）。所以，这里有就有三种软件部署的方法了： 1、发行给用户 2、指派给用户 3、指派给计算机 下面，来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时，软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式，用户再任何一台电脑登陆域，都可以在开始菜单与桌面上看到软件的快捷方式。同时，计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时，计算机就会自动下载安装次软件。但与发行给用户不同的是，用户可以删除此软件，但是，下次登陆时，它还是会出现，意思是说，它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式，用户不用手动执行，计算机会在启动时，自动下载并安装此软件。用户不能删除此软件，只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员

使用组策略限制软件运行示例

组策略之软件限制策略——完全教程与规则示例 导读 注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有 点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。 如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？ 一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了

一.环境变量、通配符和优先级 关于环境变量（假定系统盘为C盘） %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符： Windows里面默认

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：