只允许运行指定的程序
只允许运行指定的程序
所属分类:IT科技 | 2007-05-06 14:20:26
只允许运行指定的程序
为了限制用户运行程序,我们可以指定用户只能运行某些必须的程序。这种方式可以避免用户运行自己携带来的程序,有效地防范病毒地传播。这可以通过注册表来实现。
首先在注册表项HKEY_CURRENT_USER\Software\Microsoft \Windows\Current Version\Policies\Explorer下新建一个双字节值项RestrictRun ,修改其值为1,以允许我们指定可以运行的程序。
然后新建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun,在其下新建两个字符串值项。第一个值项的名称为1,值为notepad.exe,第二个值项为2,值为calc.exe。如果想允许更多的程序,可以依次建立名称为3、4等顺序往下排列的值项。修改注册表后立即生效。这时想通过"开始"菜单和资源管理器运行其他的程序,系统会提示不能进行此操作。
提示:如果你没有允许注册表编辑器运行,你会发现你将无法恢复此方法所做的修改,因为无法用注册表编辑器来修改注册表了。在这种情况下,你可以将注册表编辑器程序的名称改变为你允许运行的某个程序的名称,这样你就可以运行起来注册表编辑器了。
注意:由于此方法的限制性非常大,所以请小心使用,尤其是避免没有允许任何程序运行这种情况。如果出现了这种情况,你将无法将此方法做的设定改变回来,因为你无法修改注册表。惟一的方法就是恢复修改前的注册表备份。
----------------------------------------------------------
win2k下只允许运行指定的程序
环境:win2k professional
说明:为了防止员工把电脑作为他用,所以要限制电脑的使用,只让它运行指定的程序.
方法:1.在"开始"菜单或"程序"或快速启动栏上放置要允许运行的程序的快捷方式,去掉其它的快捷方式,并去掉"运行","查找","收藏夹","文档","设置"和"帮助":在"HCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"下新建"NoRun"(DWORD:1),"NoFind"(DWORD:1),"NoFavoritesMenu"(DWORD:1),"NoRecentdocsMenu"(DWORD:1),"NoSetFolders"(DWORD:1).顺便隐藏掉任务栏的右键菜单吧:在上述的注册表项下新建"NoTrayContextMenu"(DWORD:1).2.隐藏桌面上所有图标:在"HCU\software\Microsoft\Windows\CurrentVersion\Policies\Explorer"注册表项下新建名为"NoDesktop"的DWORD值并设为1.3.禁用所有系统热键:在"HCU\software\Microsoft\Windows\CurrentVersion\Policies\Explorer"注册表项下新建名为"NoWinKeys"的DWORD值并设为1.4.打开用户管理界面吧,因为指定了只允许可运行的程序之后就打不开它了,而打开它是为了完成所有操作后降低当前用户的权限.6.在组策略(gpedit.msc)中禁用所有驱
动器,和只允许运行指定的程序(具体位置慢慢找吧,懒得打字~~~).7.重启,大功行成.
另外:如果想去掉这些限制的话,进"命令行的安全模式",用管理员登录之后,在命令行下输入
"mmc"来打开控制台,并添加"组策略",去掉禁用所有驱动器,和只允许运行指定的程序这些限制,然后在注册表中操作.
==============================================================
怎样通过组策略禁止程序运行?
怎样通过组策略禁止程序运行?
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口; 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“只运行许可Windows
应用程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮。
另:这样很危险,可能会让组策略编辑器自锁。
如果万一被锁,请按以下方法解决:
依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击“确定”按钮后,打开系统的注册表编辑窗口; 在该窗口中,依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3},在随后弹出的窗口右侧区域中,你将看到一个“Restrict_Run”键值; 用鼠标双击该键值,打开一个数值设置窗口,在其中输入数字“0”,最后单击“确定”按钮;此后,当你再次打开系统运行对话框,并在其中执行“gpedit.msc”命令时,你会发现自锁的组策略编辑窗口,现在可以被轻松打开了。
=========
再单击其后窗口中的“独立”标签,然后在标签页面中,单击“添加”按钮; 下面,再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮,这样就能成功添加一个新的组策略控制台;
重新将服务器系统启动一下,在启动的过程中不停地按下F8功能键,直到出现系统的启动菜单,然后执行其中的“带命令行提示的安全模式”命令,将服务器系统切换到命令行提示符状态; 接下来在命令提示符下直接执行mmc.exe字符串命令,在弹出的系统控制台界面中,单击“文件”菜单项,并从弹出的下拉菜单中单击“添加/删除管理单元”选项,
==========================
在组策略中禁止任何程序运行的解决办法。
刚才收到一个网友消息,述说故障如下:
进入组策略后不小心,不小心更改了
一些设置。造成任何程序无法打开,显示“你不具有权限,请与管理员联系”,任何程序,任何文件(不管是文本,还是网页,图片等等)。
分析:一出现这个提示框,大家应该能确定是组策略中的一些项被更改了。这个故障明显是更改了组策略\用户配置\管理模板\系统右边的窗口的“只允许运行指定的程序” 而导致其他程序无法运行。
解决过程:
1,模拟情况。为真正了解情况,我自己也进入组策略,按上面的方法,在“指定程序中”随便写了个S。关闭组策略。点击任何程序果然都无法运行,但已打开的可以正常使用。但一关闭,就无法再使用了。
2。解决方法。重启,按F8,选择进入“带命令行的安全模式。”,进入就可以打开CMD窗口(直接进入,或进普通安全模式无法打开CMD).这种模式下是最干净的,不会调用任何程序,连EXEPLORER.EXE都没有加载(大家以后手动杀病毒,建议进入这个模式)。
3。在CMD窗口下输入MMC.exe,调用控制台程序。如图:依次添加组策略,
组策略可以正常打开。进入\用户配置\管理模板\系统右边的窗口的“只允许运行指定的程序“把他改为 禁用。
4。重启,正常进入系统,一切回复正常。
收获:1。命令行安全模式是最纯净的系统。大家遇到病毒及各种限制可以进入这里
解决。
2。组策略其实也只是一个更改的界面,真正改的值存在C:\WINDOWS\system3
2\GroupPolicy\Adm下,你会发现许多.ADM的文件,这就是储存各项组策略
的值。如果删除了他们就会使组策略中的用户配置下的设置界面变灰。至于这些文件大家可以自己去研究,明天我可以把自己研究心得传
上来。
另:(建议大家把C:\WINDOWS\system32\GroupPolicy\Adm的各个文件保存
起来,以后遇到组策略被改了,特别是一些初级用户不知道哪里被更改了,可以用备份的文件恢复到这里就可以了。复制回来后一切回到未设置状态。
3。注册表相关键值.