2012软件限制方法.docVIP

XP软件限制方法 XP软件限制组策略、注册表限制攻与防 及如何禁止别的用户在自己电脑上安装... 如“不要运行指定的windows应用程序”，但总有个别用户在网上能找到破解的……这段话使我想起了关于网络安全一条名言：没有绝对的安全。我个人也觉得在计算机网络世界里，永远是高手在蒙低手。若水平都很高，那么最终的安全又回到了物理安全设置上(术语叫：社会工程)。下面以“不要运行指定的windows应用程序”这条组策略设置的攻防转换，来阐明这个问题 第一回合： 　　管理员：通过本地策略限制某用户运行某些用户程序，如QQ、反恐、realplay等。操作：开始/运行，键入gpedit.msc，用户配置/管理模板/系统/不要运行指定的windows应用程序，启用/显示/添加：上述应用的.exe文件名即可。 　　用　户：用户如果知道管理员怎么设置的限制，同样的办法取消限制即可。 第二回合： 　　管理员：将mmc.exe也加入到上述禁止运行列表中，使用户无法打开任何MMC管理控制台。 　　用　户：开始/运行：cmd，键入mmc，将会打开控制台下，文件/添加删除管理单元，添加：组策略对象编辑器/本地计算机策略，取消限制。 　　说明：用户在CMD方式下，直接键入gpedit.msc仍不能运行。此解法的知识点来自这条策略的说明标签。 第三回合： 　　管理员：将cmd.exe也禁止运行 　　用　户：重新启动计算机，按F8，选择带命令行的安全模式。登录进来后，在CMD方式下，键入mmc，将会打开控制台下，文件/添加删除管理单元，添加：组策略对象编辑器/本地计算机策略，取消限制。 第四回合： 　　管理员：一看不行了，还是借助于基于域的组策略吧。将用户计算机加入到域，不给用户本地管理员的口令，要求用户使用一个域用户帐号(为不影响用户的其它正常应用，可将其加入到客户机的Power Uers组)，并将此域用户帐号放到一个OU中，链接组策略，设置上述限制。 　　用　户：手动删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\ 　　CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。 第五回合： 　　管理员：因为默认情况下，若用户手动修改注册表中的组策略设置值，若策略未变，组策略不负责强制改回。管理员可利用组策略/计算机配置/管理模板/系统/组策略/注册表策略处理，设置成“即使尚未更改组策略对象也进行处理”，执行强制性的、周期性刷新策略。 　　用　户：用户修改程序文件名，以避开策略的限制(尤其是对非MS的应用程序)。 第六回合： 　　管理员：设置权限，让用户无权修改文件名。 　　用 户：利用用凤凰启动盘重设本地管理员密码，以本地管理员登录进来后，不受上述限制，也可以干脆脱离域第七回合： 　　管理员：在BIOS中禁用光驱并设上BIOS密码，或物理断开光驱。 　　用　户：打开机箱，跳线清除BIOS密码，或物理连接上光驱。 ? 让电脑“只运行指定的Windows程序” 1、组策略（实时生效）开始--运行，输入“gpedit.msc”，然后依次展开“用户配置”--“管理模板”--“系统”在右边找到“只运行许可的Windows应用程序”，然后将其选择为“已启用”，再点击“允许的应用程序列表”的“显示”；在这里添加允许运行的程序，如cmd.exe、regedit.exe、mmc.exe（一定写上后缀，如.exe、.bat等）。2、注册表（注销或者重启之后生效）添加许可的程序，格式如1=cmd.exe2=iexplore.exe3=sndrec32.exe...删除许可的程序，格式如1=-2=-3=-...将下面的代码保存为 *.reg 的文件，如1.reg；然后双击之后选择“导入”即可Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]NoDriveTypeAutoRun=dwordRestrictRun=dword[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]1=cmd.exe2=iexplore.exe3、批处理（注销或者重启之后生效）将下面的代码保存为 *.bat 的文件，如1.bat；然后双击即可@echo offset regpath=HKCU\So