应该每个人都深有体会,很多大叔大妈级的用户,都经不起各种软件或网页弹窗的诱导,他们很容易在自己不知道的情况下,安装了N个浏览器,N个播放器,N个安全卫士,N个下载软件等等,导致电脑卡、慢、死。我弟弟学校老师们就是这个情况,找到我“修电脑”,一开机桌面一堆图标,我问:怎么装这么多软件。答:我也不知道怎么装上的。花了很长时间卸载那些行功能重复的软件,我这样清理一下也只管一时啊...
于是必须有一种办法禁止随便安装软件:
1、普通账户与管理员账户分开;
2、策略限制。
备注:
组策略禁止软件安装没用(原因:像360浏览器、爱奇艺等都安装给当前用户,所以组策略禁止安装只是针对会影响windows安全的软件比如说管理员权限软件等,但是当前用户权限软件并未触发这条限制,所以仍然可畅通无阻在标准用户下安装);
第一步:
控制面板\用户帐户\用户帐户\管理帐户\添加新账户\标准账户即可
第二部:
使用windows AppLocker(win7以上可使用);
如下图微软给的官方介绍。
简单的说可以通过策略限制三类:可执行文件(.exe)、windwos安装程序(.msi)、脚本。
方法三种:
文件哈希:同一个软件安装包,不管在哪个盘,都可以被限制(防止熊孩子拿游戏安装包挪位置安装)
路径:可以指定那个盘或者文件夹、文件;
发布者规则:软件发布时合法签名、数字证书等。
理论完了,实际操作如下:
1、确保服务Application Identity已经运行,且设为自动启动,不然怎么折腾都没意义。微软已经清楚标明,该服务禁用,则功能也无法运行;
2、可执行规则,创建默认规则。3条自动生成。(手动创建规则也可以,需有一定基础)
以下三条默认规则完全足够限制软件安装了,因为大部分软件都是exe。
规则1:标准用户和管理员用户都可以打开program file文件夹内exe;(建议软件安装此,方便管理)
规则2:标准用户和管理员用户都可以打开windwos文件夹内exe;(这个废话,不然自带软件想IE浏览器都无法运行了)
规则3:管理员用户都可以打开所有exe。
看似标准1和2对标准用户安装软件没限制啊,其实不是,program file和windwos文件夹,标准用户没权限复制文件进去,跟谈不上打开了,这样标准用户自行下载的软件都无法安装,提示如下图二;
常用语法:
?:\AutoRun.inf 防止优盘自动运行病毒
?:\*.exe 任何目录下的exe
D:\* D盘下的任何文件
一些软件并不遵循开发规范,比如管理员权限安装,其它用户可用,例如360浏览器,遇到这类软件,需在管理员用户下安装到C:\Program Files文件夹下,若标准用户没有快捷方式可自行去Program Files文件夹下,把快捷方式拷贝发送到桌面;
wps2019还需在标准用户下,按住shift,其它身份运行,管理员账户和密码输入,安装到C:\Program Files文件夹,如果上一次未卸载干净,可在设置
挨个重置下,其它选项,广告,关闭;
多组件启用和新组件切换两三次,全OK。