Win7系统组策略禁止安装软件、组策略限制软件安装、软件安装控制策略禁止的方法（汇总）

  
  经常用电脑的人都会遇到这样的问题：电脑莫名其妙、不知不觉安装了一大堆的软件，很多都是后台捆绑安装的，不仅占用了电脑资源，而且还导致电脑运行变慢，让人很烦恼。有没有一种办法可以禁止电脑偷偷安装软件、禁止后台自动安装软件呢？答案是肯定的。下面就介绍两种禁止电脑安装软件的方法：

  方法一、通过操作系统的AppLocker来禁止电脑安装软件，禁止偷偷安装软件的行为。
  

　　操作步骤：
 

　　1、以管理员级别的帐户登录系统，打开运行对话框，输入“gpedit.msc”，进入本地组策略编辑器，依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker”，如图1所示，在这里选择“Windows安装程序规则”。

　　2、在右侧窗格任意空白处右击，从快捷菜单中选择“创建新规则”，此时会打开“创建Windows安装程序规则”创建向导对话框，这里主要是显示相关的介绍信息，单击“下一步”按钮继续，如图2。

图2-1

图2-2

　　3、进入下一界面之后，可以看到默认的操作是“允许”，由于是希望禁止未授权用户私自安装程序，因此这里是在“操作”小节下选择“拒绝”，接下来单击右下角的“选择”按钮，指定需要禁止安装程序的系统用户:Administrator（见图3），单击“下一步”按钮继续。

　　4、这里需要选择条件类型，选择“路径”，指定需要禁止安装程序的磁盘盘符或文件夹，例如“D:\*”。进入下一界面之后，可以创建例外项目，例如允许用户访问某些特定的文件夹，至于描述信息可以根据需要进行设置，完成之后单击“创建”按钮即可完成规则的创建工作。（图4）

图4

　　5、此时，会有一个创建默认规则的确认对话框，选择“是（Y）”，确认之后刚才所创建的规则会出现在“Windows安装程序规则”的右侧窗格中（见图5）。

　　6、返回主界面选择左侧窗格的“AppLocker”，单击右侧窗格的“配置规则强制”项目，此时会弹出“AppLocker属性”对话框，请将“Windows Instaler规则”参考下图所示进行设置。（图6）

　　7、完成上述步骤之后，当指定用户登录系统之后，所有Windows Install程序将无法完成安装（见图7），这样老周自然是放心多了。

至此，我们就成功利用AppLocker禁止电脑了电脑安装软件的行为。　


方法二、通过软件签名来禁止程序安装。
 

经常用电脑的人都遇到这样的问题，电脑经常莫名其妙安装了很多软件，这些软件往往是一些杀毒软件、安全软件附带安装或者偷偷安装的，不仅毫无用处，而且还占用了大量的电脑资源，导致电脑运行速度变慢，电脑性能下降。为此，我们要禁止电脑随意安装软件、禁止电脑安装程序。

禁止电脑安装软件的方法主要有以下两种：

方法一、通过组策略禁止电脑安装软件、禁止计算机安装任何软件。

注：下文教程介绍的是组策略中的证书规则，可以阻止某一系列软件的安装（对已安装的某个系列软件有影响。）

注：下文将以软件安装包“百度卫士”为例子。

如何禁止安装某个软件？

1、下载百度卫士一个（准备提取数字证书用的）。

2、鼠标右键百度卫士→ 属性→ 数字签名→点击唯一一个证书签名，再点击 详细信息→ 查看证书→ 详细信息→ 复制到文件→ 下一步→ 下一步。

　　3、此处命名随便，证书存储路径随便，只要你记得。

　　4、保存后直接下一步，下一步，较终得到一个证书文件。

　　5、win+r 调出运行框，输入gpedit.msc 回车，打开组策略。

　　6、如上图（呵呵，我限制了不少东西）， 依次 计算机配置 windows设置 安全设置 软件限制策略（较早次弄是没有的，右键点击新建策略就是了）。

　　7、如上图，点强制，强制证书规则，确定。

　　8、完成后，先点左边的 其他规则，再在右边 右键点击空白处，新建证书规则，点浏览找到刚才导出的证书文件，应用。

　　9、这是完成后的结果，双击安装程序的结果，对百度的其他产品一样有效，如百度卫士，百度浏览器等。

以上内容经过测验，对Win7以上的操作系统都有效，另外，规则限制还有其他诸如：哈希规则、路径规则等有同样的效果，具体过程不再赘述。

 

方法二、借助第三方软件来禁止电脑安装软件、禁止后台自动安装软件。

目前有很多软件都可以禁止电脑安装软件，例如有一款“安企神电脑文件防泄密系统”（下载地址：http://www.wgj7.com/monitorusb.html）。本系统是一款完全禁用U盘、屏蔽USB存储设备的软件，同时还可以禁止网盘上传电脑文件、禁止邮件附件上传、禁止微信发送文件、禁止QQ发送文件、禁止FTP文件上传以及禁止QQ发送文件的行为等。同时，本系统集成了禁止电脑安装软件、禁止随意运行程序的功能。具体如下：

1、点击界面上的“禁止打开的程序”，然后点击后面的“+-”，即可出现添加禁止运行程序的窗口，在这里添加即可。如下图所示：





本系统支持多种方式禁止程序安装或运行。

窗口名称：是指程序窗口左上角的程序名称（或者在任务管理器看到的程序的进程名字），如QQ在任务管理器的名称为“腾讯qq”，所以只需要添加“qq”就可以禁止QQ程序的运行（程序基于模糊识别，只要含有关键词就可以禁止）。



窗口类名：是程序的类名，也即程序在操作系统的中的标识名称。获取方法：鼠标点击放大镜，然后拖动到要识别的程序上面（靠近程序主窗口顶部），然后就可以识别程序的类名，同时也可以识别其窗口名称、进程名称和文件描述，并且会自动填充到相应的框框内，然后点击“确定”即可将其加入到禁止打开的程序列表。如下图所示：






添加完毕之后，点击“保存”即可，如下图所示：




同时，你也可以在进程里面自行查看程序的进程名字和文件描述（即进程描述），既可以在进程里面查看，又可以转到详细信息进行查看。如下图所示：



在进程的“详细信息”中进行查看。如下图所示：



然后再把程序的相关特征加入到程序里面即可。

至此，我们就成功禁止了电脑安装软件、禁止随意安装程序的行为。相对于操作系统的AppLocker来说，通过第三方软件禁止后台自动安装软件的设置更为便捷，同时还可以防止一些懂技术的员工通过反向设置组策略的方式重新获得安装软件的权限，从而真正防止了员工随意安装软件的行为。