利用本地安全策略全面禁止360等特定厂商软件的安装与运行

各位不知道有没有这种经历,机子让别人玩了一上午,回来发现,自己干干净净的系统多了一堆某某安全助手,某某杀毒,某某手机助手等等,最可恨的还是不知一系列的,如果360和TX、金山、瑞星之流同时装上,这时候就有好戏看了。。。这时候你只能欲哭无泪,默默地点开系统还原。。什么?没开系统还原?卸载+手动清除残余吧,这些软件一大特点,卸载绝不卸干净,会遗留文件在你的系统目录中,良心的只是留在,由于在注册表里注销过了所以不加载;可恨的仍然以驱动方式开机加载,驻留系统内存,而普通用户毫不知晓。

这时候就想着,能不能防止这类软件的意外安装与运行。Windows有一套限制软件运行的系统,可以利用数字签名信息来来允许或者阻止程序的运行。这套系统自winxp开始就有了,到了win7出现了第二代(第一代没有一个确切的名称,第二代被称为AppLocker)。利用这套系统可以很好的做到阻止这类软件的安装与运行。

接下来就进入正题了,这套系统有两代,因此我们也有两种方法。那么具体该选用哪种呢?

AppLocker是第二代,功能更加强大,更加易用,推荐使用,但是微软做了限制,只有以下系统可以使用:

Windows Server 2008 R2 Standard
Windows Server 2008 R2 企业版
Windows Server 2008 R2 Datacenter
面向基于 Itanium 的系统的 Windows Server 2008 R2
Windows 7 旗舰版
Windows 7 企业版
Windows Server 2012 Standard
Windows Server 2012 Datacenter
Windows 8 企业版
Windows 10 企业版

因此,如果你的系统在上述列表中,请选用AppLocker的方式,如果不在,请选用另一种。


1、准备工作

以禁止360的软件为例,我们首先需要一个样本,我们可以到360杀毒、360浏览器等360网站上随便下载一个360软件的安装包备用。右击属性,切换到数字签名选项卡,可以看到数字签名信息,如下图所示:

digital signature

样本找好了就可以继续了。

2、APPLOCKER方法

按下WIN+R打开运行窗口,输入secpol.msc回车,打开本地安全策略的配置窗口,切换到“应用程序控制策略”-“AppLocker”界面下,如下图:

secpol

点击“配置强制规则”,按下图配置:

applocker1

接着右击可执行规则,选择“创建默认规则”,系统会先将默认规则添加进去,默认规则保证Windows和已在Program Files文件夹下的软件允许被执行,以及以管理员方式运行时候默认可以执行任何程序。

AppLocker本是白名单规则,而我们希望使用黑名单,只禁止特定程序的执行,因此这里需要先添加一条默认允许的规则。右击可执行规则,选择“创建新规则”,打开新建规则向导,按下图步骤,分别选择“允许”,点击“选择”,填入”Users”并确定,然后点击“下一步”。

applocker2

选择“路径”,并点击下一步。

applocker2_1

路径中填入” * “,然后连续点击两次“下一步”:

applocker3

名称改为“默认允许”,点击创建:

applocker4

接着创建黑名单规则,拒绝360的运行。右击可执行规则,选择“创建新规则”,打开新建规则向导,这一次选择“拒绝”,用户或组保持默认的Everyone,点击“下一步”

applocker5

选择“发布者”,然后点击下一步,引用文件右侧点击“浏览”,选择刚才的样本文件,然后将滑块往上拉,拉至从上面数第二个。接着点击下一步

applocker5_1

说明:滑块从上面数起,第一个表示所有文件,第二个表示发布者与引用文件相同的,第三个表示发布者和产品名均相同,第四个表示发布者、产品名、文件名均相同,第五个表示发布者、产品名、文件名均相同,版本号大于或等于样本文件版本号。

这一屏是添加例外,如果你想禁止除了360网游加速器之外其他所有360软件,下载360网游加速器的样本后,此处添加360网游加速器的例外即可:

applocker6

接着是起名字,如“默认禁止360”,然后点击“创建”:

applocker7

可以继续添加其他的规则:

applocker8

每个公司的程序都得下载一个样本也挺麻烦的,其实可以在选择样本程序时候随意选择一个,先创建规则,然后再更改规则即可,更改规则时候就可以自己手动输入发布者信息,而不需要非得选择样本文件了:

applocker9

这里提供一些常见的发布者的信息:

最后,我们还需要启动需要的服务。按下WIN+R打开运行命令,输入services.msc回车,找到”Application Identity”服务,双击打开属性窗口,将启动类型改为“自动”,然后点击启动测试一下,保证服务可以正常启动:

applocker10

最后为了保证不会出现没有生效的情况,重启一下电脑当然是最好的。然后就可以试试效果了:

applocker11


3、使用第一代的软件限制策略

此方法从Windows XP开始后的历代Windows中均可以使用。

我比较懒,贴个现成的吧:http://jingyan.baidu.com/article/e75057f2bfb0b3ebc91a892f.html

 

2 条评论

  1. hello 回复

    国内流氓软件还是太多了。

  2. ITGeeker 回复

    谢谢分享,如果遇到Application Identity拒绝访问,有好的方法解决吗?

发表评论

电子邮件地址不会被公开。 必填项已用*标注

请输入验证码 * Time limit is exhausted. Please reload CAPTCHA.