在研究如何更好效的管理公司电脑,限制客户端安装和运行各种公司列入黑名单的软件时,了解了一下XP以上系统的组策略里新加入的软件限制策略,发现运用此策略也能实现一些其它功能哦~~~~~

上网的朋友都知道,有时候不小心打开了带病毒的网页,那网页上的可执行文件就会自动下载到电脑上运行。即使是我认为杀毒能力最强,带主动防御的KIS 6.0也不能完全抵挡这些东东。
最近了解了一下XP系统组策略里的软件限制策略,发现用这个策略大有作为。
网页挂的***或病毒的可执行文件一般都是直接在电脑的浏览缓存里(路径:%Documents and Settings%\%username%\Local Settings\Temporary Internet Files)运行,要么就是把自己复制到%Documents and Settings%\%username%\Local Settings\Temp\这个目录里运行,所以我们只要限制这两个目录里的软件的运行,那这些病毒即使已经进到我的电脑,也只能在那里干瞪眼了。HOHO,马上来试试

在运行里打gpedit.msc打开组策略编辑器
依次点击<计算机配置>-<windows设置>-<安全设置>-<软件限制策略>
第一次运行要自己先开启这个功能,点击一下右键就能看到启动这个功能的选项了,之后不用改动什么东西,直接在<其它规则>里新建路径规则,给大家看一下我的截图就明白了


在这里说明一下,如果规则里指明的是路径,那么这个路径下的所有可执行文件都将被限制执行(包括子目录),因为%Documents and Settings%\%username%\Local Settings\Temp这个目录是临时目录,有些软件安装会使用到这个目录,所以我在建立规则时是指明了这个目录下的EXE文件和VBS脚本文件不能运行,不影响子目录,而网页缓存这个目录我就明确禁止任何的可执行文件执行。因为这个目录是放我们浏览的网页的内容的,如果有什么可执行文件,那肯定就是病毒或***了,嘿嘿。这里所说的可执行文件范围是windows所有包括的所有可执行文件,具体包括哪些,大家自己去查了....

最后让大家看看这个策略运行后的结果




配置此策略后有可能使某些大型软件无法正常安装,敬请留意!!