用户未授权 甭想私装软件

王志军2014-10-13 11:49应用 标签:用户 软件

老周办公室的公用计算机安装了最高等级的Windows 7旗舰版,使用起来十分的方便,不过一位同事老是喜欢在系统中安装安装各种各样的新奇软件,搞的系统臃肿不堪,甚至还会导致系统出现一些不大不小的问题……

设置访问密码显然不是可行之策,毕竟大家都是同事,虽然可以通过加密工具或用户权限控制不让这位同事安装软件,但操作相当繁琐。其实,我们可以利用Windows 7的“AppLocker”策略实现这一要求,操作也是相当的简单。

按照下面的步骤,老周可以让办公室的计算机拒绝这位同事私自安装软件,而且不会造成什么尴尬:

第1步:以管理员级别的帐户登录系统,打开运行对话框,输入“gpedit.msc”,进入本地组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker”,如图1所示,在这里选择“Windows安装程序规则”。

图1

图1

第2步:在右侧窗格任意空白处右击,从快捷菜单中选择“创建新规则”,此时会打开“创建Windows安装程序规则”创建向导对话框,这里主要是显示相关的介绍信息,单击“下一步”按钮继续。

第3步:进入下一界面之后,可以看到默认的操作是“允许”,由于是希望禁止未授权用户私自安装程序,因此这里是在“操作”小节下选择“拒绝”,接下来单击右下角的“选择”按钮,指定需要禁止安装程序的系统用户(见图2),单击“下一步”按钮继续。

图2

图2

第4步:这里需要选择条件类型,选择“路径”,指定需要禁止安装程序的磁盘盘符或文件夹,例如“G:\”。进入下一界面之后,可以创建例外项目,例如允许用户访问某些特定的文件夹,至于描述信息可以根据需要进行设置,完成之后单击“创建”按钮即可完成规则的创建工作。

第5步:此时,会有一个创建默认规则的确认对话框,选择“是(Y)”,确认之后刚才所创建的规则会出现在“Windows安装程序规则”的右侧窗格中(见图3)。

图3

图3

第6步:返回主界面选择左侧窗格的“AppLocker”,单击右侧窗格的“配置规则强制”项目,此时会弹出“AppLocker属性”对话框,请将“Windows Instaler规则”参考图4所示进行设置。

图4

图4

完成上述步骤之后,当指定用户登录系统之后,所有Windows Install程序将无法完成安装(见图5),这样老周自然是放心多了。

图5

图5

小知识:什么是AppLocker?

AppLocker是Windows 7引入的一项安全功能,Windows Server 2008 R2取代了软件限制策略功能。AppLocker包含减少管理开销的新功能和扩展,例如可执行文件、脚本、Windows Installer文件和DLL,可以帮助管理员控制用户如何访问和使用文件。使用规则和文件属性来提供对应用程序的访问控制,如果规则在规则集合中,将只允许运行这些规则中包含的文件,这些功能必须在企业版本和旗舰版本中才可以使用。

使用AppLocker,可以完成下列任务:

基于从数字签名派生的文件属性定义规则,包括发布者、产品名称、文件名和文件版本,例如可以根据更新过程中持续存在的发布者属性创建规则,或者为特定版本的文件创建规则;

向安全组或单个用户分配规则;

创建规则的例外,例如可以创建一个规则,允许除注册表编辑器之外的所有Windows进程运行;

使用仅审核模式部署策略并了解其影响,然后再强制该策略;

导入和导出规则,导入和导出影响整个策略。如果导出策略,则会导出所有规则集合中的所有规则,包括规则集合的强制设置;如果导入策略,则会覆盖现有策略;

使用AppLocker PowerShell cmdlet简化AppLocker规则的创建和管理。