利用本地安全策略全面禁止360等特定厂商软件的安装与运行

2019独角兽企业重金招聘Python工程师标准>>>

各位不知道有没有这种经历，机子让别人玩了一上午，回来发现，自己干干净净的系统多了一堆某某安全助手，某某杀毒，某某手机助手等等，最可恨的还是不知一系列的，如果360和TX、金山、瑞星之流同时装上，这时候就有好戏看了。。。这时候你只能欲哭无泪，默默地点开系统还原。。什么？没开系统还原？卸载+手动清除残余吧，这些软件一大特点，卸载绝不卸干净，会遗留文件在你的系统目录中，良心的只是留在，由于在注册表里注销过了所以不加载；可恨的仍然以驱动方式开机加载，驻留系统内存，而普通用户毫不知晓。

这时候就想着，能不能防止这类软件的意外安装与运行。Windows有一套限制软件运行的系统，可以利用数字签名信息来来允许或者阻止程序的运行。这套系统自winxp开始就有了，到了win7出现了第二代（第一代没有一个确切的名称，第二代被称为AppLocker）。利用这套系统可以很好的做到阻止这类软件的安装与运行。

接下来就进入正题了，这套系统有两代，因此我们也有两种方法。那么具体该选用哪种呢？

AppLocker是第二代，功能更加强大，更加易用，推荐使用，但是微软做了限制，只有以下系统可以使用：

Windows Server 2008 R2 Standard
Windows Server 2008 R2 企业版
Windows Server 2008 R2 Datacenter
面向基于 Itanium 的系统的 Windows Server 2008 R2
Windows 7 旗舰版
Windows 7 企业版
Windows Server 2012 Standard
Windows Server 2012 Datacenter
Windows 8 企业版
Windows 10 企业版

因此，如果你的系统在上述列表中，请选用AppLocker的方式，如果不在，请选用另一种。

1、准备工作

以禁止360的软件为例，我们首先需要一个样本，我们可以到360杀毒、360浏览器等360网站上随便下载一个360软件的安装包备用。右击属性，切换到数字签名选项卡，可以看到数字签名信息，如下图所示：

样本找好了就可以继续了。

2、APPLOCKER方法

按下WIN+R打开运行窗口，输入secpol.msc回车，打开本地安全策略的配置窗口，切换到“应用程序控制策略”-“AppLocker”界面下，如下图：

点击“配置强制规则”，按下图配置：

接着右击可执行规则，选择“创建默认规则”，系统会先将默认规则添加进去，默认规则保证Windows和已在Program Files文件夹下的软件允许被执行，以及以管理员方式运行时候默认可以执行任何程序。

AppLocker本是白名单规则，而我们希望使用黑名单，只禁止特定程序的执行，因此这里需要先添加一条默认允许的规则。右击可执行规则，选择“创建新规则”，打开新建规则向导，按下图步骤，分别选择“允许”，点击“选择”，填入”Users”并确定，然后点击“下一步”。

选择“路径”，并点击下一步。

路径中填入” * “，然后连续点击两次“下一步”：

名称改为“默认允许”，点击创建：

接着创建黑名单规则，拒绝360的运行。右击可执行规则，选择“创建新规则”，打开新建规则向导，这一次选择“拒绝”，用户或组保持默认的Everyone，点击“下一步”

选择“发布者”，然后点击下一步，引用文件右侧点击“浏览”，选择刚才的样本文件，然后将滑块往上拉，拉至从上面数第二个。接着点击下一步

说明：滑块从上面数起，第一个表示所有文件，第二个表示发布者与引用文件相同的，第三个表示发布者和产品名均相同，第四个表示发布者、产品名、文件名均相同，第五个表示发布者、产品名、文件名均相同，版本号大于或等于样本文件版本号。

这一屏是添加例外，如果你想禁止除了360网游加速器之外其他所有360软件，下载360网游加速器的样本后，此处添加360网游加速器的例外即可：

接着是起名字，如“默认禁止360”，然后点击“创建”：

可以继续添加其他的规则：

每个公司的程序都得下载一个样本也挺麻烦的，其实可以在选择样本程序时候随意选择一个，先创建规则，然后再更改规则即可，更改规则时候就可以自己手动输入发布者信息，而不需要非得选择样本文件了：

这里提供一些常见的发布者的信息：

O = ALIPAY . COM CO . , LTD , L = HANGZHOU , S = ZHEJIANG , C = CN

O = TENCENT TECHNOLOGY ( SHENZHEN ) COMPANY LIMITED , L = SHENZHEN , S = GUANGDONG , C = CN

O = BEIJING RISING INFORMATION TECHNOLOGY CORPORATION LIMITED , L = BEIJING , S = BEIJING , C = CN

O = 2345.COM , L = SHANGHAI , S = SHANGHAI , C = CN

O = SOGOU . COM , L = BEIJING , S = BEIJING , C = CN

O = KINGSOFT SECURITY CO . , LTD , L = BEIJING , S = BEIJING , C = CN

O = TAOBAO ( CHINA ) SOFTWARE CO . , LTD . , L = HANGZHOU , S = ZHEJIANG , C = CN

O = QIHOO 360 SOFTWARE ( BEIJING ) COMPANY LIMITED , L = BEIJING , S = BEIJING , C = CN

最后，我们还需要启动需要的服务。按下WIN+R打开运行命令，输入services.msc回车，找到”Application Identity”服务，双击打开属性窗口，将启动类型改为“自动”，然后点击启动测试一下，保证服务可以正常启动：

最后为了保证不会出现没有生效的情况，重启一下电脑当然是最好的。然后就可以试试效果了：

3、使用第一代的软件限制策略

此方法从Windows XP开始后的历代Windows中均可以使用。

我比较懒，贴个现成的吧：http://jingyan.baidu.com/article/e75057f2bfb0b3ebc91a892f.html

转载于:https://my.oschina.net/CasparLi/blog/488229