1、用組策略徹底禁止客戶端軟件安裝及使用我們企業(yè)網(wǎng)絡(luò)中，經(jīng)常會出現(xiàn)有用戶使用未授權(quán)軟件的情況。比如，有些可以上網(wǎng)的用戶使用QQ等聊天工具；而這往往是BOSS們所不想看到的東西。所以限制用戶使用非授權(quán)軟件的重任就落到我們IT部頭上了。其實(shí)，限制用戶安裝和使用未授權(quán)軟件，對于整個公司的網(wǎng)絡(luò)安全也是有好處的，做了限制以后，有些病毒程序也不能運(yùn)行了。下面我們就來看看怎樣通過組策略來限制用戶安裝和使用軟件： 一、限制用戶使用未授權(quán)軟件方法一：1. 在需要做限制的OU上右擊，點(diǎn)“屬性”，進(jìn)入屬性設(shè)置頁面，新建一個策略，然后點(diǎn)編輯，如下圖：2. 打開“組策略編輯器”，選擇“用戶配置”->“管理模板”-&g

2、t;“系統(tǒng)”，然后雙擊右面板上的“不要運(yùn)行指定的Windows應(yīng)用程序”，如下圖：3. 在“不要運(yùn)行指定的Windows應(yīng)用程序 屬性”對話框中，選擇“已啟用”，然后點(diǎn)擊“顯示”，如下圖：4. 在“顯示內(nèi)容”對話框中，添加要限制的程序，比如，如果我們要限制QQ，那么就添加QQ.exe，如下圖：5. 點(diǎn)擊確定，確定，完成組策略的設(shè)置。然后到客戶端做測試，雙擊QQ.exe，如下圖所示，已經(jīng)被限制了。不過，由于這種方式是根據(jù)程序名的。如果把程序名改一下就會不起作用了，比如我們把QQ.exe改為TT.exe，再登錄，如下圖，又可以了。看來我們的工作還沒有完成，還好Microsoft還給我們提供了其它的

3、方式，接下來我們就用哈希規(guī)則來做限制。6. 打開“組策略編輯器”，選擇“用戶配置”->“Windows設(shè)置”->“安全設(shè)置”->“軟件限制策略”，右擊“軟件限制策略”，選擇“創(chuàng)建軟件限制策略”，如下圖：7. 右擊“軟件限制策略”下的“其他規(guī)則”，選擇“新建哈希規(guī)則”，如下圖：8. 在“新建哈希規(guī)則”對話框中，點(diǎn)擊“瀏覽”，找到要限制的軟件，如下圖：點(diǎn)擊“確定”后，在右面板上就可以看到我們新建的哈希規(guī)則了。9. 關(guān)閉組策略編輯器，哈希規(guī)則限制軟件使用就已經(jīng)建好了。我們到客戶端去測試打開QQ，出現(xiàn)如下提示。OK，現(xiàn)在即使改變名字也不能使用了。不過，這種方式也不是絕對的有效，如果軟

4、件版本更新，那么我們就必須對新的版本做一次哈希規(guī)則，之前做的哈希規(guī)則只能對那一個版本的軟件有效。如果這樣每次有軟件更新都做哈希規(guī)則的話，管理員的任務(wù)是很重的，所以這種方法雖然有用，不過，不能算好的方法。方法二：接下來，我們使用另外一種方法，就是默認(rèn)禁止所有軟件運(yùn)行，然后，開通公司允許使用的軟件。由于每個企業(yè)允許使用的軟件都是有限的，這樣做起來比較方便一些。具體方法如下：1. 打開“組策略編輯器”，選擇“用戶配置”->“管理模板”->“系統(tǒng)”，在右面板上雙擊“只運(yùn)行許可的Windows應(yīng)用程序”，如下圖：2. 在“只運(yùn)行許可的Windows應(yīng)用程序 屬性”對話框中，選擇“已啟用”，然

5、后點(diǎn)擊“顯示”，如下圖：3. 在“顯示內(nèi)容”對話框中，添加公司允許使用的軟件，如下圖：點(diǎn)擊確定，確定關(guān)閉組策略編輯器，完成組策略的設(shè)置。4. 我們到客戶端，隨便找一個非允許的軟件，雙擊都會出現(xiàn)如下所示對話框。OK，現(xiàn)在我們就已經(jīng)做到限制軟件的使用了。這種方法比前一種方法更為實(shí)用。二、限制用戶安裝軟件由于我們域中有些用戶具有Power User權(quán)限，而擁有該權(quán)限的用戶是可以安裝軟件了，為了防止用戶未經(jīng)授權(quán)，自行安裝軟件。我們必須對用戶做安裝軟件的限制。這個設(shè)置很簡單：打開“組策略編輯器”，選擇“用戶配置”->“Windows設(shè)置”->“安全設(shè)置”->“軟件限制策略”->“安全級別”，然后在右面板上將默認(rèn)的安全級別改為“不允許的”。關(guān)閉組策略編輯器，設(shè)置完成。我們到客戶端去測試一下，如下圖，我們測試安裝skype軟件，系統(tǒng)會