應該每個人都深有體會,很多大叔大媽級的用戶,都經不起各種軟件或網頁彈窗的誘導,他們很容易在自己不知道的情況下,安裝了N個瀏覽器,N個播放器,N個安全衛士,N個下載軟件等等,導致電腦卡、慢、死。我弟弟學校老師們就是這個情況,找到我“修電腦”,一開機桌面一堆圖標,我問:怎麼裝這麼多軟件。答:我也不知道怎麼裝上的。花了很長時間卸載那些行功能重複的軟件,我這樣清理一下也只管一時啊...
於是必須有一種辦法禁止隨便安裝軟件:
1、普通賬戶與管理員賬戶分開;
2、策略限制。
備註:
組策略禁止軟件安裝沒用(原因:像360瀏覽器、愛奇藝等都安裝給當前用戶,所以組策略禁止安裝只是針對會影響windows安全的軟件比如說管理員權限軟件等,但是當前用戶權限軟件並未觸發這條限制,所以仍然可暢通無阻在標準用戶下安裝);
第一步:
控制面板\用戶帳戶\用戶帳戶\管理帳戶\添加新賬戶\標準賬戶即可
第二部:
使用windows AppLocker(win7以上可使用);
如下圖微軟給的官方介紹。
簡單的說可以通過策略限制三類:可執行文件(.exe)、windwos安裝程序(.msi)、腳本。
方法三種:
文件哈希:同一個軟件安裝包,不管在哪個盤,都可以被限制(防止熊孩子拿遊戲安裝包挪位置安裝)
路徑:可以指定那個盤或者文件夾、文件;
發佈者規則:軟件發佈時合法簽名、數字證書等。
理論完了,實際操作如下:
1、確保服務Application Identity已經運行,且設爲自動啓動,不然怎麼折騰都沒意義。微軟已經清楚標明,該服務禁用,則功能也無法運行;
2、可執行規則,創建默認規則。3條自動生成。(手動創建規則也可以,需有一定基礎)
以下三條默認規則完全足夠限制軟件安裝了,因爲大部分軟件都是exe。
規則1:標準用戶和管理員用戶都可以打開program file文件夾內exe;(建議軟件安裝此,方便管理)
規則2:標準用戶和管理員用戶都可以打開windwos文件夾內exe;(這個廢話,不然自帶軟件想IE瀏覽器都無法運行了)
規則3:管理員用戶都可以打開所有exe。
看似標準1和2對標準用戶安裝軟件沒限制啊,其實不是,program file和windwos文件夾,標準用戶沒權限複製文件進去,跟談不上打開了,這樣標準用戶自行下載的軟件都無法安裝,提示如下圖二;
常用語法:
?:\AutoRun.inf 防止優盤自動運行病毒
?:\*.exe 任何目錄下的exe
D:\* D盤下的任何文件
一些軟件並不遵循開發規範,比如管理員權限安裝,其它用戶可用,例如360瀏覽器,遇到這類軟件,需在管理員用戶下安裝到C:\Program Files文件夾下,若標準用戶沒有快捷方式可自行去Program Files文件夾下,把快捷方式拷貝發送到桌面;
wps2019還需在標準用戶下,按住shift,其它身份運行,管理員賬戶和密碼輸入,安裝到C:\Program Files文件夾,如果上一次未卸載乾淨,可在設置
挨個重置下,其它選項,廣告,關閉;
多組件啓用和新組件切換兩三次,全OK。