组策略编辑器可实现禁止安装新软件与禁止运行指定程序的双重管控:一、禁用windows installer服务;二、启用“不运行指定的windows应用程序”策略;三、创建软件限制策略;四、启用applocker可执行文件规则。
如果您希望在Windows电脑上同时实现禁止安装新软件与禁止运行指定程序,组策略编辑器提供了系统级、无需第三方工具的双重管控能力。以下是针对该目标的具体操作步骤:
一、禁用Windows Installer服务以阻止软件安装
Windows Installer是绝大多数.msi格式安装包的执行引擎,禁用该服务可从根本上拦截依赖此机制的软件安装行为,包括Office、Adobe系列、企业级应用等。
1、按下Win + R组合键,输入gpedit.msc并回车,打开本地组策略编辑器。
2、依次展开计算机配置 → 管理模板 → Windows组件 → Windows Installer。
3、在右侧窗格中双击“禁用Windows Installer”。
4、选择“已启用”,并在下方选项中勾选“始终禁用”。
5、点击“确定”保存设置,重启电脑使策略生效。
二、配置“不运行指定的Windows应用程序”策略
该策略作用于用户登录后阶段,通过白名单式限制直接拦截指定.exe文件的启动,不依赖路径或哈希,适用于快速封禁已知程序如游戏、聊天工具或下载器。
1、在已打开的组策略编辑器中,依次展开用户配置 → 管理模板 → 系统。
2、在右侧找到并双击“不运行指定的Windows应用程序”。
3、选择“已启用”,然后点击“显示”按钮。
4、在弹出的列表框中,逐行输入需禁止运行的程序名称(含.exe扩展名),例如:qq.exe、weixin.exe、thunder.exe,多个条目间用英文分号分隔。
5、点击“确定”两次,关闭编辑器,注销当前用户后重新登录即可生效。
三、创建软件限制策略实现路径级精准拦截
软件限制策略基于路径、哈希或证书识别程序,支持通配符和用户级控制,可对下载目录、临时文件夹等高风险位置实施批量拦截,弥补前两种方法的覆盖盲区。
1、按下Win + R,输入secpol.msc回车,打开本地安全策略。
2、右键左侧树状菜单中的“软件限制策略”,选择“新建软件限制策略”。
3、展开该项,右键“其他规则”,选择“新建路径规则”。
4、在“路径”栏中输入目标路径,例如:C:\Users\*\Downloads\*.exe 或 %USERPROFILE%\Desktop\*.exe。
5、将“安全级别”设为“不允许”,点击“确定”完成。
四、启用AppLocker可执行文件规则构建白名单体系
AppLocker提供比传统软件限制策略更精细的控制粒度,支持按发布者、路径、文件哈希创建允许规则,仅放行IT部门审核通过的程序,其余全部拒绝,适用于高安全要求环境。
1、在组策略编辑器中,依次展开计算机配置 → Windows设置 → 安全设置 → 应用程序控制策略 → AppLocker。
2、右键“可执行规则”,选择“创建新规则”。
3、在向导第一页选择“拒绝”,点击“下一步”。
4、在“条件”页选择“发布者”,点击“浏览”选取一个已签名的受信软件(如Microsoft Office),再点击“高级”修改为“所有发布者”。
5、在“用户或组”页保留默认设置,点击“创建”完成基础拒绝规则。
6、再次创建规则,但本次选择“允许”,并为每个必需软件(如chrome.exe、winword.exe)单独添加路径或哈希规则。
