限制方法一
在运行中打入:gpedit.msc
打开组策略编辑器,定位到 用户配置->管理模板->系统:
在右侧窗口中,有两个选项分别是:不运行指定的Windows应用程序、只运行指定的Windows应用程序
很容易理解,一个黑名单模式,一个白名单模式。使用方法也很简单,以“不运行指定的Windows应用程序”为例,双击打开,选择“已启用”:
点击下方的“显示…”,然后输入不允许运行的程序名即可限制运行:
这种方式功能太弱,仅仅只是针对程序名称,稍微懂点电脑的改一下文件名就绕过了限制。很多时候难以满足需求
限制方法二
同样是通过组策略编辑器来设置,但是位置不一样,定位到:计算机配置->Windows设置->安全设置->软件限制策略:
如果之前没有创建过策略,默认是什么都没有的,在“软件限制策略”上点击右键,选择“创建软件限制策略:
点击之后,会创建出一些默认策略:
如上图所示,可以根据程序的证书、哈希值、网络区域、路径等来创建限制规则!
这样大大加强了限制的效果,不是简单改名就能破除限制!随机命名的程序也可以轻松限制!
这里不做详解,就以新建路径规则为例,稍微演示一下功能的使用:
路径支持使用%temp%这样的环境变量,也支持*.exe这样的通配符!
如果要连同所有子目录下的程序一起限制,可以这样写: