经常用电脑的人都会遇到这样的问题:电脑莫名其妙地安装了一大堆根本用不着的软件,通常情况下都是流氓软件惹的祸,如何禁止流氓软件自动安装、防止电脑自动安装软件,一直是广大网友孜孜以求的一个功能。本人也是深受其害,在网上找了一些教程,发现都是东凑西凑,相互抄袭,一顿折腾之后发现依然不能实现。一怒之下,亲自上阵,反复试验,终于发现了如何完全禁止电脑自动安装软件的来龙去脉,特此分享给大家。
主要方法有以下两种:
需要特别注意的是:
设置完毕之后需要重启电脑,否则组策略不能及时生效。
方法一、通过操作系统的applocker禁止电脑自动安装软件、禁止后台自动安装流氓软件。
1、务必确保已经成功启动Application Identity服务。方法如下:
applocker是vista以来操作系统内置的程序锁,通过此锁可以禁止电脑安装软件,但是要使用程序锁,我们先确认系统是否启动Application Identity服务,这是先决条件。方法如下:
打开“运行”输入services.msc,回车。Win10是在左下角开始这里右键点击,然后点击“运行”,如下图所示:
然后这里,我们双击“Application Identity”,然后点击“启动”,为了保证每次电脑开机都自动启动Application Identity,我们可以点击启动类型里面的选型,然后选择“自动”,然后点击“应用”或“确定”,如下图所示:
值得注意的是,如果我们选择“自动”并点击确定时,有时候会提示“拒绝访问”,如下图所示:
这个时候我们可以将Application Identity 脚本(点击下载)加入到组策略的“启动”里面,使其每次开机都自动运行。具体方法如下:
开始-运行-gpedit.msc--回车---计算机配置---Windows设置---脚本(启动/关机)---启动---添加(所解压的目录,比如C:\Application Identity.bat,如下图所示:
这样设置之后,每次开机就自动运行“Application Identity”了,如下图所示:
2、设置要禁止安装软件的磁盘或具体的程序。
1、以管理员级别的帐户登录系统,同样是“开始”-“运行”对话框,输入“gpedit.msc”,进入本地组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker”,如图1所示,在这里选择“可执行规则”,并在右侧点击“创建新规则”,如下图所示:
然后点击“下一步”,如下图:
然后在“操作”里面,选择“拒绝”,在用户那里可以保持默认everyone即可,然后继续点击“下一步”,如下图:
然后这里有两种类型可以选择。其中“发布者”是针对某个软件来进行禁止;而选择“路径”,则不仅可以针对某个软件还可以设置禁止某个文件夹甚至某个磁盘来禁止,相当于打击面更广,一般我们选择“发布者”就可以了,如下图:
然后我们选择相应的程序就可以了。比如“360安全卫士”的安装程序“inst.exe”(在线安装版)和离线安装包“setup.exe”,为了安全起见,我们可以都添加,也就是创建完毕一个之后,再创建另外一个拒绝规则。如下图:
两个规则都创建完毕之后,我们再次点击“applocker”,然后点击右侧的“匹配规则强制”,并在“可执行规则”里面勾选“已配置”,并点击“确定”,如下图:
至此,我们就完成了禁止360安全卫士的安装,点击安装360安全卫士时会有下图提示:
此后,无论修改安装程序的名称,移动位置等任何举措,都无法再次安装360安全卫士,以此实现了禁止电脑安装360安全卫士的功能。
下面再演示一下创建一个“路径”规则的方法,也就是在创建“拒绝”规则的下一步时,选择“路径”,如下图:
然后点击“下一步”,然后就会出现选择文件或文件夹的选项,选择文件方法和上面的“发布者”相同,这里我们选择“浏览文件夹”,然后我们既可以选择某个文件夹,也可以选择某个磁盘,我们这里选择D盘,如下图:
然后点击“创建”,如下图所示:
至此,我们就成功实现了禁止安装D盘的文件了,安装时提示同样为管理员所禁止。
这样我们就成功实现了利用操作系统的AppLocker禁止安装软件、AppLocker阻止后台自动安装软件的行为了。
方法二、通过第三方软件来禁止电脑安装软件、禁止自动安装软件的行为。
虽然通过组策略禁止电脑安装软件、组策略禁止后台捆绑安装软件的功能比较强大,但是相关操作比较复杂。如果你想更快捷高效地禁止电脑安装软件,则也可以通过第三方软件来实现。
大势至USB端口控制软件(下载地址:http://www.grabsun.com/monitorusb.html)是一款专门防止U盘复制电脑文件、禁用USB存储设备的软件,通过本系统可以完全禁止USB存储设备,也可以只让使用特定USB存储设备,只允许从U盘向电脑复制文件而禁止从电脑向U盘拷贝文件,防止U盘泄密。同时,本系统还可以只让登录特定邮箱、只让使用指定邮箱收发邮件、只允许电脑发送邮件正文而禁止发送邮件附件;只允许网盘下载文件而禁止向网盘上传文件;禁止FTP文件下载、只让QQ聊天而禁止发送文件等,全面保护电脑文件安全,防止各种途径泄密的行为。
本系统集成了禁止电脑安装软件、只让电脑运行某些软件、只允许电脑运行一个软件的功能。操作设置也极为简单,具体如下:
勾选软件界面上的“只让打开的软件”,然后点击后面的“+-”,然后这里添加允许打开的软件名称即可。比如,word。这样电脑就只能打开Word了。如下图所示:
图:设置只让电脑运行某个软件
同时,你还可以通过窗口类名、进程描述、文件描述等方式来设置只让电脑安装的软件、只允许电脑运行的程序等。方法也比较简单:拖动放大镜到想要禁止的程序顶部,便会自动出现这些信息,然后只选择其中的一种屏蔽方式,删除其他的。如下图所示:
图:拖动放大镜获取程序相关特征
注意的是:进程名字可以打开程序后,在“任务管理器”里面看到,但看到的进程显示的名称不一定是最精确的进程名字,所以我们需要进一步查看。具体方法:右键点击程序,然后点击“转到详细信息”,然后就可以看到进程名字,如下图所示:
图:转到详细信息
图:进程exe
然后将此进程(名字+exe),添加到进程名后面的框内即可。
通过大势至电脑文件防泄密系统可以禁止电脑安装软件、禁止安装某个软件,也可以只让安装某些软件、只让安装某个软件,从而极大地方便了管理员规范员工文明上网行为,防止随意安装软件,随意浏览网址的行为了,进一步保护电脑文件安全,防止公司商业机密泄露。
网友评论