小弟快要放假了,可近來他迷上了QQ聊天,此外還老愛下載一些黑客類軟體試用,經常給電腦帶來病毒。為了保護電腦和讓小弟收心學習,我決定封鎖QQ和阻止他安裝軟體。電腦安裝的是Windows XP專業版,我利用組策略的“軟體限制策略”輕鬆實現上述目的。
步驟/方法
1.自己動手建策略。開啟組策略編輯器後,依次展開“計算機配置/Windows設定/安全設定/軟體限制策略”,單擊選單欄的“操作/建立新的策略”新建策略。
2.封鎖QQ。展開新建的策略,在“其它規則”上右擊選擇“新雜湊規則”,在彈出的視窗單擊“瀏覽”選擇QQ.exe,這時會生成一個檔案雜湊號碼,系統還會讀取檔案的基本資訊如版本、公司名等,“安全級別”選擇“不允許”(如圖1)。
小提示:該法還可以用於阻止已知病毒的執行,比如防毒軟體提示發現了“c:abc.exe”病毒(但無法查殺),這時可以為abc.exe建立一個雜湊規則阻止其執行並刪除它。
3.下載軟體執行我阻止。本機下載主要使用IE和Flashget,首先要設定下載資料夾,然後建立一個新的路徑規則,這樣就可以阻止小弟安裝下載的軟體。(1)禁止IE下載。執行登錄檔編輯器依次展開[HKEY_USERSS-1-5-21-1202660629-854245398-1060284298-500SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3],然後將右側的“1803”的值更改為“3”(如圖2),這樣就無法使用IE下載檔案了。(2)設定Flashget下載位置。執行後單擊“工具→預設下載屬性”,設定下載儲存的資料夾為d:downloads。(3)建立限制規則。同上在“其它規則”上右擊選擇“新路徑規則”,按提示選擇“d:downloads”,“安全級別”選擇“不允許”。小提示:下載的很多軟體是rar格式,還可以建立winrar.exe及其預設解壓路徑的阻止規則。
4.阻止修改組策略。為了防止小弟知道限制是由組策略引發,可以設定禁止執行組策略。同上在組策略編輯視窗依次展開“本地計算機策略→使用者配置→管理模板→系統”,然後雙擊右側設定視窗的“不要執行指定的Windows應用程式”,在彈出的視窗單擊“設定”,選擇“已啟用”,將“mmc.exe”設定為不允許執行的程式。天空軟體站提醒大家,mmc.exe是系統自帶的策略編輯器,禁止它執行後,其它策略編輯也無法使用。如果要執行mmc.exe,只要將“c:windowsmmc.exe”改名執行,然後單擊“檔案/開啟”,開啟“c:windowssystem32gpedit.msc”即可編輯組策略。OK,經過上述的設定並重啟後,小弟如果要執行QQ.exe則會遭到系統的拒絕,同樣的如果要執行(或安裝)d:downloads下的軟體也會遭到拒絕(如圖3)。此外,對於設定雜湊規則限制的程式,不管是改名還是移動位置,它的限制都不會取消!而“不要執行指定的Windows應用程式”策略是針對檔名生效的,改名即可解除限制。
