这个理论应该也可以用在域对下设域用户上.

各位不知道有没有这种经历,机子让别人玩了一上午,回来发现,自己干干净净的系统多了一堆某某安全助手,某某杀毒,某某手机助手等等,最可恨的还是不知一系列的,如果360和TX、金山、瑞星之流同时装上,这时候就有好戏看了。。。这时候你只能欲哭无泪,默默地点开系统还原。。什么?没开系统还原?卸载+手动清除残余吧,这些软件一大特点,卸载绝不卸干净,会遗留文件在你的系统目录中,良心的只是留在,由于在注册表里注销过了所以不加载;可恨的仍然以驱动方式开机加载,驻留系统内存,而普通用户毫不知晓。

这时候就想着,能不能防止这类软件的意外安装与运行。Windows有一套限制软件运行的系统,可以利用数字签名信息来来允许或者阻止程序的运行。这套系统自winxp开始就有了,到了win7出现了第二代(第一代没有一个确切的名称,第二代被称为AppLocker)。利用这套系统可以很好的做到阻止这类软件的安装与运行。

接下来就进入正题了,这套系统有两代,因此我们也有两种方法。那么具体该选用哪种呢?

AppLocker是第二代,功能更加强大,更加易用,推荐使用,但是微软做了限制,只有以下系统可以使用:

===================================================

Windows Server 2008 R2 Standard 
Windows Server 2008 R2 企业版 
Windows Server 2008 R2 Datacenter 
面向基于 Itanium 的系统的 Windows Server 2008 R2 
Windows 7 旗舰版和企业版(Win7专业版没有测试)
Windows Server 2012 Standard 
Windows Server 2012 Datacenter 
Windows 8 企业版(Win8专业版没有测试)
Windows 10 专业版本和 企业版

==================================================

因此,如果你的系统在上述列表中,请选用AppLocker的方式,如果不在,请直接看最下面(3、使用第一代的软件限制策略)选用另一种方法。


1、准备工作

以禁止360的软件为例,我们首先需要一个样本,我们可以到360杀毒、360浏览器等360网站上随便下载一个360软件的安装包备用。右击属性,切换到数字签名选项卡,可以看到数字签名信息,如下图所示:

wKioL1ho8xujhJ9BAABhClA_0Bk750.png-wh_50

样本找好了就可以继续了。

2、APPLOCKER方法

按下WIN+R打开运行窗口,输入secpol.msc回车,打开本地安全策略的配置窗口,切换到“应用程序控制策略”-“AppLocker”界面下,如下图:

wKioL1ho9NjgTAvEAAD0p2oWjUs963.png-wh_50

点击“配置强制规则”,"强制"里全打勾,如下图:

wKiom1ho9VTybBSSAABQFlHzfHM670.png-wh_50


接着右击可执行规则,选择“创建默认规则”,系统会先将默认规则添加进去,默认规则保证Windows和已在Program Files文件夹下的软件允许被执行,以及以管理员方式运行时候默认可以执行任何程序。

AppLocker本是白名单规则,而我们希望使用黑名单,只禁止特定程序的执行,因此这里需要先添加一条默认允许的规则。右击可执行规则,选择“创建新规则”,打开新建规则向导,按下图步骤,分别选择“允许”,点击“选择”,填入”Users”并确定,然后点击“下一步”。

wKioL1ho9YOjoLobAADBQRRgGBg707.png-wh_50

选择“路径”,并点击下一步。

wKiom1ho9aDA7d-rAACtxf8oV1E103.png-wh_50

路径中填入” * “,然后连续点击两次“下一步”:

wKioL1ho9ciR-yeFAACnGkybhe0904.png-wh_50

名称改为“默认允许”,点击创建:

wKiom1ho9efhjOaQAACcwuHMdlE851.png-wh_50

接着创建黑名单规则,拒绝360的运行。右击可执行规则,选择“创建新规则”,打开新建规则向导,这一次选择“拒绝”,用户或组保持默认的Everyone,点击“下一步”

wKioL1ho9gfyB0IvAAC5_Q0rTlk330.png-wh_50

选择“发布者”,然后点击下一步,引用文件右侧点击“浏览”,选择刚才的样本文件,然后将滑块往上拉,拉至从上面数第二个。接着点击下一步

wKiom1ho9i2BpHoRAADmn0TL1Ao155.png-wh_50

------------------------------------------------------------------------------------------------------------------------------------------------

说明:滑块从上面数起,第一个表示所有文件,第二个表示发布者与引用文件相同的,第三个表示发布者和产品名均相同,第四个表示发布者、产品名、文件名均相同,第五个表示发布者、产品名、文件名均相同,版本号大于或等于样本文件版本号。

------------------------------------------------------------------------------------------------------------------------------------------------

这一屏是添加例外,如果你想禁止除了360网游加速器之外其他所有360软件,下载360网游加速器的样本后,此处添加360网游加速器的例外即可:

wKioL1ho9oCi9rP7AABOHA-Gyio081.png-wh_50

接着是起名字,如“默认禁止360”,然后点击“创建”:

wKiom1ho9qHT-GQfAACeI1YJa2s299.png-wh_50

可以继续添加其他的规则:

wKioL1ho9r_CbJ0UAAEecZs4I94893.png-wh_50

每个公司的程序都得下载一个样本也挺麻烦的,其实可以在选择样本程序时候随意选择一个,先创建规则,然后再更改规则即可,更改规则时候就可以自己手动输入发布者信息,而不需要非得选择样本文件了:

wKiom1ho9ujhEZNrAABHvqijwos336.png-wh_50

这里提供一些常见的发布者的信息:


1

2

3

4

5

6

7

8

O=ALIPAY.COM CO.,LTD, L=HANGZHOU, S=ZHEJIANG, C=CN

O=TENCENT TECHNOLOGY(SHENZHEN) COMPANY LIMITED, L=SHENZHEN, S=GUANGDONG, C=CN

O=BEIJING RISING INFORMATION TECHNOLOGY CORPORATION LIMITED, L=BEIJING, S=BEIJING, C=CN

O=2345.COM, L=SHANGHAI, S=SHANGHAI, C=CN

O=SOGOU.COM, L=BEIJING, S=BEIJING, C=CN

O=KINGSOFT SECURITY CO.,LTD, L=BEIJING, S=BEIJING, C=CN

O=TAOBAO (CHINA) SOFTWARE CO.,LTD., L=HANGZHOU, S=ZHEJIANG, C=CN

O=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED, L=BEIJING, S=BEIJING, C=CN

最后,我们还需要启动需要的服务。按下WIN+R打开运行命令,输入services.msc回车,找到”Application Identity”服务,双击打开属性窗口,将启动类型改为“自动”,然后点击启动测试一下,保证服务可以正常启动:

wKiom1ho923yXSUVAABr2Brcr6s253.png-wh_50

最后为了保证不会出现没有生效的情况,重启一下电脑当然是最好的。然后就可以试试效果了:

wKioL1ho94bhR87BAABeK2NX4EA469.png-wh_50


3、使用第一代的软件限制策略

此方法从Windows XP开始后的历代Windows中均可以使用。

Win系统组策略全面禁止360等软件-2