Win系统利用本地安全策略全面禁止360等软件的安装与运行

这个理论应该也可以用在域对下设域用户上.

各位不知道有没有这种经历，机子让别人玩了一上午，回来发现，自己干干净净的系统多了一堆某某安全助手，某某杀毒，某某手机助手等等，最可恨的还是不知一系列的，如果360和TX、金山、瑞星之流同时装上，这时候就有好戏看了。。。这时候你只能欲哭无泪，默默地点开系统还原。。什么？没开系统还原？卸载+手动清除残余吧，这些软件一大特点，卸载绝不卸干净，会遗留文件在你的系统目录中，良心的只是留在，由于在注册表里注销过了所以不加载；可恨的仍然以驱动方式开机加载，驻留系统内存，而普通用户毫不知晓。

这时候就想着，能不能防止这类软件的意外安装与运行。Windows有一套限制软件运行的系统，可以利用数字签名信息来来允许或者阻止程序的运行。这套系统自winxp开始就有了，到了win7出现了第二代（第一代没有一个确切的名称，第二代被称为AppLocker）。利用这套系统可以很好的做到阻止这类软件的安装与运行。

接下来就进入正题了，这套系统有两代，因此我们也有两种方法。那么具体该选用哪种呢？

AppLocker是第二代，功能更加强大，更加易用，推荐使用，但是微软做了限制，只有以下系统可以使用：

===================================================

Windows Server 2008 R2 Standard Windows Server 2008 R2 企业版 Windows Server 2008 R2 Datacenter 面向基于 Itanium 的系统的 Windows Server 2008 R2 Windows 7 旗舰版和企业版(Win7专业版没有测试)Windows Server 2012 Standard Windows Server 2012 Datacenter Windows 8 企业版(Win8专业版没有测试)Windows 10 专业版本和 企业版

==================================================

因此，如果你的系统在上述列表中，请选用AppLocker的方式，如果不在，请直接看最下面(3、使用第一代的软件限制策略)选用另一种方法。

1、准备工作

以禁止360的软件为例，我们首先需要一个样本，我们可以到360杀毒、360浏览器等360网站上随便下载一个360软件的安装包备用。右击属性，切换到数字签名选项卡，可以看到数字签名信息，如下图所示：

样本找好了就可以继续了。

按下WIN+R打开运行窗口，输入secpol.msc回车，打开本地安全策略的配置窗口，切换到“应用程序控制策略”-“AppLocker”界面下，如下图：

点击“配置强制规则”，"强制"里全打勾,如下图：

接着右击可执行规则，选择“创建默认规则”，系统会先将默认规则添加进去，默认规则保证Windows和已在Program Files文件夹下的软件允许被执行，以及以管理员方式运行时候默认可以执行任何程序。

AppLocker本是白名单规则，而我们希望使用黑名单，只禁止特定程序的执行，因此这里需要先添加一条默认允许的规则。右击可执行规则，选择“创建新规则”，打开新建规则向导，按下图步骤，分别选择“允许”，点击“选择”，填入”Users”并确定，然后点击“下一步”。

选择“路径”，并点击下一步。

路径中填入” * “，然后连续点击两次“下一步”：

名称改为“默认允许”，点击创建：

接着创建黑名单规则，拒绝360的运行。右击可执行规则，选择“创建新规则”，打开新建规则向导，这一次选择“拒绝”，用户或组保持默认的Everyone，点击“下一步”

选择“发布者”，然后点击下一步，引用文件右侧点击“浏览”，选择刚才的样本文件，然后将滑块往上拉，拉至从上面数第二个。接着点击下一步

------------------------------------------------------------------------------------------------------------------------------------------------

说明：滑块从上面数起，第一个表示所有文件，第二个表示发布者与引用文件相同的，第三个表示发布者和产品名均相同，第四个表示发布者、产品名、文件名均相同，第五个表示发布者、产品名、文件名均相同，版本号大于或等于样本文件版本号。

------------------------------------------------------------------------------------------------------------------------------------------------

这一屏是添加例外，如果你想禁止除了360网游加速器之外其他所有360软件，下载360网游加速器的样本后，此处添加360网游加速器的例外即可：

接着是起名字，如“默认禁止360”，然后点击“创建”：

可以继续添加其他的规则：

每个公司的程序都得下载一个样本也挺麻烦的，其实可以在选择样本程序时候随意选择一个，先创建规则，然后再更改规则即可，更改规则时候就可以自己手动输入发布者信息，而不需要非得选择样本文件了：

这里提供一些常见的发布者的信息：

1

2

3

4

5

6

7

8

O=ALIPAY.COM CO.,LTD, L=HANGZHOU, S=ZHEJIANG, C=CN

O=TENCENT TECHNOLOGY(SHENZHEN) COMPANY LIMITED, L=SHENZHEN, S=GUANGDONG, C=CN

O=BEIJING RISING INFORMATION TECHNOLOGY CORPORATION LIMITED, L=BEIJING, S=BEIJING, C=CN

O=2345.COM, L=SHANGHAI, S=SHANGHAI, C=CN

O=SOGOU.COM, L=BEIJING, S=BEIJING, C=CN

O=KINGSOFT SECURITY CO.,LTD, L=BEIJING, S=BEIJING, C=CN

O=TAOBAO (CHINA) SOFTWARE CO.,LTD., L=HANGZHOU, S=ZHEJIANG, C=CN

O=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED, L=BEIJING, S=BEIJING, C=CN

最后，我们还需要启动需要的服务。按下WIN+R打开运行命令，输入services.msc回车，找到”Application Identity”服务，双击打开属性窗口，将启动类型改为“自动”，然后点击启动测试一下，保证服务可以正常启动：

最后为了保证不会出现没有生效的情况，重启一下电脑当然是最好的。然后就可以试试效果了：

此方法从Windows XP开始后的历代Windows中均可以使用。