关于XP禁止安装程序

关于XP禁止安装程序

设置方法： 1、我的电脑右击——管理——本地用户和组——用户——在administrator上右击——设置密码。 2、依次查看其他用户的属性——隶属于标签——如果内有administrator或administrators，删除它——再点添加——在弹出对话框中选高级——立即查找——选择Users——确定 3、添加一个新用户，以便公司人用它登陆电脑正常工作，注意不要给他administrator或administrators权限，即不隶属于这两个就行了。（默认是Users权限） 4、用新用户登陆，把常用软件的快捷方式添加到桌面。 如果今后需要用管理员来安装程序，一般管理员administrator是不显示在欢迎界面上的，需要在欢迎界面按Ctrl+Alt+Del两次来调出登陆窗口，需手动输入用户名administrator及密码方可登陆。

如何禁止安装软件

控制面板——管理工具——本地安全策略——软件限制策略（如果是第一次使用，请在“软件限制策略” 击右健选择创建新的策略）——其它规则，在右侧的窗口中新建“散列规则”，在出现的对话框中的“新的散列”中单击“浏览” ，找到QQ安装 所在的目录，单击“QQ.exe” ，安全级别选择不允许就可以了。 不过稍微懂一点的人就可以破解。

上面有方法可行。

最简单的方法就是创建受限用户,其他的很难,不推荐你使用,象使用GPEDIT.msc

禁用SETUP.EXE等

步骤如下：

1.首先以系统管理员(Administrator)的身份登录到WinXP。

2.点击选择“开始→控制面板”命令，在“控制面板”窗口中双击“用户账户”图标。

3.在弹出的窗口任务列表中点击“创建一个新用户”，然后在向导窗口的文本框内输入一个名称，这个名称将出现在欢迎屏幕或开始菜单中，点击“下一步”按钮。

4.在新出现的画面中提供了“计算机管理员”和“受限”两种权限。用鼠标点选“受限”单选按钮，然后点击“创建账户”即可。

另外，在任务列表窗口中你还可以完成对所建账户进行改名和删除等操作。

第二点是因为你安装软件时可能不小心点了只能是管理员帐户才能使用,其他用户没有权限.

如果是SP2,你可以直接对程序安装文件赋予权限

修改注册表方法：

在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

里面添加两个键

名称DisableUserInstalls 类型REG_DWORD 值0x00000002(2)

名称DisableUserInstalls_Intelset_undo 类型REG_DWORD 值0x062ce6f0(103606000)

这样就可以了

如果要允许安装，只需要把

名称DisableUserInstalls 类型REG_DWORD 值0x00000002(2)的值改成0x00000000(0)就可以了

一、运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”

Windows Installer右边窗口中双击 禁用Windows Installer选中已启用，点确定策略里启用：

禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制

可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以

二、用超级兔子

三、我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止 这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi的肯定不能安装的

四、在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行进管理员帐户：

gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托

五、"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以

六、设置用户权限

给管理员用户名加密 新建一个USER组里的用户 让他们用这个账号登陆 安装目录下的就不能用了 启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序 还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限 禁用Windows Installer服务。。。貌似可以。。 开始-->控制面板-->管理工具-->服务-->Windows Installer-->属性-->禁用。

启用组策略的用法如下：开始-运行-GPEDIT-用户配置-WINDOW组件-终端服务-WINDOWS INSTALL 有四个选项，楼主可以根据需要选择其中的若干项，如果权限足够的话，可以选择第一项“永远以高特权进行安装，这样的话你要注意: 这个设置出现在“计算机配置”和“用户配置”两个文件夹中。要使这个设置生效，您必须在两个文件夹中都将其启用。

 第二项：搜索顺序，其中意义是：指定 Windows Installer 搜索安装文件的顺序。 按默认值，Windows Installer 先搜索网络，然后搜索可移动媒体(软盘、CD-ROM 或 DVD)，最后再搜索 Internet (URL)。 要改变搜索顺序，启用该设置，然后按您要 Windows Installer 搜索的顺序输入代表每个文件来源的字母。:

--“n”代表网络；

--“m”代表媒体；

--“u”代表 URL 或 Internet。

要排除某个文件来源，省略或删除代表那个来源类型的字母

第三项：禁用回滚，意义是防止 Windows Installer 生成或保存在扭转中断或不成功的安装时所需的文件。

这个设置防止 Windows Installer 对系统的状态以及在安装期间所作改动的顺序做记录。同时，它还阻止 Windows Installer 保留以后要删除的文件。这样做的结果是，如果安装没有完成，Windows Installer 就无法将计算机还原到原始状态。

这个设置是为了减少安装程序所需的临时磁盘空间量而设计的。同时，这项设置还防止居心叵测的用户利用中断安装来收集计算机内部状态的数据或搜索安全系统文件。但是，由于安装不完整可能会导致系统或程序无法运行，除非很有必要，不要使用这个设置。

这个设置出现在“计算机配置”和“用户配置”文件夹中。无论这个设置在两个文件夹中的哪一个里被启用(即使在另一个文件夹中已明显地被停用)，这个设置即处于启用状态。

第四项：阻止从可移动媒体进行任何安装，其直观意义是不能用软驱或者光驱来安装，防止用户从可移动媒体安装程序。

如果用户试图从可移动媒体，如 CD-ROM、软盘和 DVD 安装程序，消息会出现，声称找不到这个功能。

即使安装是在用户的安全上下文中运行的，这个设置依然适用。

如果停用或不配置这个设置，当安装是在用户自身的安全上下文中运行时，用户才能从可移动媒体安装；但当安装是用高系统特权运行时(如在桌面上提供的或“添加/删除程序”中显示的安装)，只有系统管理员可以使用可移动媒体。

怎样保持网络畅通？---禁止旋风、快车等P2P下载软件

现代网络技术的不断发展，极大地方便了信息共享，人们利用网上下载共享资源来学习；企业用户利用网络办公，如视频会议，在线会议。

有了丰富的网络共享资源，下载工具应运而生。当前，国内主流的下载软件有网际快车，QQ旋风，迅雷。这些P2P 工具下载的时候占用了大量的带宽，造成了局域网网速减慢，断网现象时有发生。严重影响了在线会议，视频会议等网络的正常使用。由于有些网络资源含有病毒代码，下载下来之后，病毒***局域网，给局域网用户带来巨大危害。与此同时，在上班时间使用P2P 下载工具，降低了员工的工作效率和工作质量，影响了企业整体的效益。

在企事业单位的局域网中，有效控制迅雷，网际快车，QQ旋风等P2P软件成为当前网络管理的一个重要方面。由于这些P2P软件采用大量开源的P2P协议、并且支持可变端口；同时，这些P2P工具服务器IP众多，并且去中心化的趋势明显；在传输的过程中，还对内容进行了加密及进行模糊算法来掩盖其特征。从而使得怎样有效管理P2P软件成为一个难题。

为此，笔者特意撰写此文，告诉大家一些基本的防止局域网下载的知识和方法。也欢迎大家参与讨论，把你了解的新技术、新方法共享出来，让大家有个更好的选择。

硬件管理：

硬件方面就是通过网络出口的路由器来控制局域网中的电脑对互联网的访问，由于它是基于硬件设备进行控制的，所以是目前最彻底和最有效的方法。

硬件管理需要管理员账号登录到路由器后编辑转发规则，来对指点的主机进行限制。其原理就是通过路由器的IP 过滤功能限制某个IP或IP段的计算机的某些端口连接到互联网。

优点：安全，高效，不会对整体网速产生严重影响。

缺点：不灵活，参数设置复杂。其复杂性就在于条目的编辑，它需要用户对网络基础和端口规则有一定的了解，使用不当会造成网络的瘫痪。有些时候为了限制一个IP地址的上网行为需要编辑好几个条目，对用户的知识水平要求较高。

下面以TP-LINK为例介绍下硬件管理配置中的主要参数：

要使用IP地址过滤功能，首先要开启防火墙，再开启IP地址过滤功能。在这里可以添加指定的IP地址或一个地址段。

局域网端口：这个参数是指本机向互联网发送数据时使用的端口地址。如要禁止快车、QQ旋风禁止UDP端口：8000，10002， 10022-10024.只是禁止这些端口并不能完全禁止快车的下载，因为快车会通过服务器下载，所以在下面广域网的配置中还要禁止快车的服务器地址。

生效时间：这个参数由四位数字组成，前两位代表小时，后两位代表分钟。如0900为早晨9点。

广域网IP地址：可以指定禁止连接的广域网IP地址或地址段。如QQ服务器地址202.104.128.233.

广域网端口：此参数可禁止连接广域网IP地址的端口。

协议：有TCP、UDP和ALL，一般选择ALL。

通过：有允许通过和禁止通过两个选项，可根据需要自己设定。

状态：有生效和实效两个选项，设定此条目是否生效。

其中，局域网IP地址、局域网端口、广域网IP地址、广域网端口如果不填写数值则代表所有的IP地址和所有的端口。

软件管理：

软件就是采用流量控制软件监视与控制局域网内电脑的下载行为，这种方法的成功率取决于软件的完善度、执行效率。

现今网上有很多限制下载的软件，它们都可以单独控制某台电脑的上网行为，如阻止登录QQ、阻止访问指定网站，限制BT、HTTP下载、流量控制等。

但是不同之处在于有的是旁路监听的模式，有的是ARP欺骗的方式。

ARP欺骗方式：

优点是采用ARP欺骗技术局域网中任何一台机器都可以作为监控端，不需要特别的配置，使用起来比较简单。

缺点容易导致网速变慢，如果局域网内同时有两个人使用ARP欺骗的方式，就会导致局域网崩溃。

旁路监听模式：

笔者用超级嗅探狗（官网：www.imfirewall.com）为例，展示一下其控制电脑的过程和方法。首先我们先来了解一下超级嗅探狗的监控原理。超级嗅探狗采用的是旁路监听方式。旁路监听方式就是利用端口镜像进行监控。端口镜像是将指定端口（源端口）的报文复制一份到其他端口（目的端口），目的端口会与数据监测设备相连，用户利用这些数据检测设备来分析复制到目的端口的报文，进行网络监控和故障排除。

优点：不会对网速造成影响。

缺点：需要安装有镜像功能的交换机或路由器；需要使用人员会对镜像端口进行配置。

知道了原理，接下来演示一下怎样用超级嗅探狗进行网络监控。

第一步是安装软件，安装工作完成后，启动超级嗅探狗。

进行监控之前，需要对相关参数进行配置，选择需要监控的IP地址，选择禁止P2P下载、禁止快车，QQ旋风选项。如果没有进行任何配置，只能对某个IP流量进行实时监控。

配置工作完成后，被监控电脑不能使用旋风、快车等P2P软件进行下载。

这款软件还可以控制QQ登录、禁止访问指定网站等功能，但本文的重点是防P2P下载，所以其他功能就不做详细的介绍了。

综上所述，软硬件管理各有优缺点。需要根据具体情况需要使用不同的管理方式。

如何禁止下载

方法如下：

1）、在“开始——运行”中键入“gpedit.msc”打开“组策略”，依次展开：用户配置——管理模版——系统（鼠标点击选中“系统”）——右边窗口中找到“不要运行指定的windows应用程序”，并用鼠标双击，在弹出的窗口中点选“已启动”，然后单击“显示”——点击“添加”按钮——在弹出的添加项目对话框中输入禁止运行的程序（下载软件的程序），点击“确定”再“确定”，点击“应用”按钮，杜额定推出即可。

2）、禁止使用IE下载文件：

打开注册表编辑器，找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\Zone\3，然后再右边找到1803这个Dword值，双击修改为3即可。重新启动IE看看还能不能够下载。如果要取消限制的话，只需要还原Dword值为0即可。

3）、禁止IE下载的可执行文件运行：

1、临时文件夹文件运行

在本地安全设置——软件限制策略——其它设置里，添加了禁止：

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\*.com

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\*.exe

这两种类型的文件运行，目的就是防止IE后台下载的可执行文件运行。

2、禁止缓存区文件运行

把下面的代码保存为reg文件，然后双击导入，重启机器即可：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Miscosoft\Windows\CurrentVersion\Group Policy Objects\{29B60F5B-FCAB-4B27-B3A5-F420FF2B0F81}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{f5c7901a-3e81-444b-850e-74d60ca3f6d8}]

”LastModified”=hex(b):76,04,95,5f,35,96,c8,01

”Description”=” ”

” SaferFlags”=dword:00000000

” ItemData” =”C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\**\*.exe”

这样可以防止exe文件从IE的缓存目录里运行，以达到免疫大部分网页***的功能。

四种防止下载软件的方法

方法一：

要禁止下载当然要先把下载工具从电脑全部卸载。

方法二：

禁止IE下载文件步骤：在开始——运行里输入“regedit.msc”打开注册表，然后依次展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3，然后在右边找到1803这个DWord值，将其键值改为3即可。重新启动IE看看能不能下载。

方法三：

固然禁止IE下载是通过[开始——运行里输入“gpedit.msc”]里修改，那也可通过同样的方法修改回。这样的话也是禁止不了的，那当然会想到禁止打开“运行”。

如何禁用运行：

1、在开始——运行里输入“gpetid.msc”，打开组策略——本地计算机策略——用户配置——管理模版——任务栏和开始菜单，在右侧找到“从开始菜单中删除运行菜单”，双击选择“已启动”。

2、在开始——运行里输入“regedit”打开注册表，然后依次展开找到HKEY_CURRENT_USER\Software_Microsoft\Windows\CurrentVersion\Policies\Exporer，在右边找到NoRun，双击打开，修改NoRun为1.如果没有找到NoRun，在右边空白处单击鼠标右键，选择新建——“DWORD”，然后输入名字为“NoRun”，在双击它再修改为1。

如何隐藏运行：

右键单击开始菜单——属性——经典开始菜单——自定义（右边），把高级[开始]菜单选项——显示运行前面的勾去掉即可。这种方法可以用快捷键Windows+R弹出运行窗口。

可不可以在需要安装的程序完毕后控制整个注册表的权限，只读取不能写入？这样是否可行？

1、运行组策略---gpedit.msc---管理模板---Windows组件----Windows Installer---禁止用户安装--属性---已启用---禁止用户安装

2、右击我的电脑--管理（或者打开管理工具里的服务也行）---服务---Windows Instaaler--改成禁用---就行了。

我试了以上两种都没用，在组策略中除了运行指定程序外，再怎么设置都可以安装软件。网络上说的根本不可信。我的系统是XP的。

不知可否提供一个可行的方法。同一个用户(administrator)，但需要的效果是除了自己解开限制，就不能安装任一软件。

运行里打secpol.msc直接跳出windows软件安全策略窗口.....不是命令行哦...是窗口化设置..

secpol.msc--->右键软件限制策略---->添加新的软件策略---->右键其它规则--->新路径规则--->选择目录--->比如你要限制IE中直接打开exe文件可以设置IE目录不允许,还有你不允许安装软件的话也可以设置系统的临时目录不允许....

如果要禁止固定名字的exe运行也可以这样做...

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f 

保存为bat后导入qq就打不开了...但如果把qq.exe改个名字就又能运行了。

转载于:https://blog.51cto.com/gswxr/715682