超好用 限制Windows 10安装第三方程序

2017-11-02 18:54平淡
电脑爱好者 2017年17期
关键词:组策略编辑器来宾

平淡

在一般情况下,其他使用我们电脑的朋友可以随意安装软件,这样很容易把我们的电脑搞得乱七八槽,而且极易带来病毒等安全隐患。为了避免这种情况的发生,我们可以借助Windows 10组件对软件的安装进行限制。

1 用好来宾账户 软件安装好限制

来宾账户是Windows 10内置账户,默认该账户权限极低,因此把该账户作为他人使用我们电脑的专用账户即可阻止软件安装。不过Windows 10默认禁用来宾账户,右击桌面“此计算机→管理→本地用户和组”,接着在右侧窗格打开Guest账户,去除其“账户已禁用”前的勾选将其启用(图1)。

在搜索框輸入“组策略编辑器”,打开组策略后依次展开“计算机管理→Windows设置→安全设置→本地策略→用户权限分配”项,在界面右侧找到“拒绝本地登录”项并右击选择“属性”项,在打开窗口的“拒绝本地登录”列表中选中“Guest”账户”将其删除(图2)。

完成上述设置后,注销当前用户,在用户登录列表点击“Guest”即可以来宾账户登录。默认情况下由于来宾账户没有管理员权限,因此在试图安装那些带盾牌标记的软件时都会被UAC拦截,需要输入管理员密码才能安装,可以有效阻止此类软件的安装。

2 权限限制 阻止用户运行安装程序

来宾账户可以很好地限制那些带盾牌标记的软件,不过对于普通软件或者绿色软件的安装就无能为力了。为了确保自己电脑安全,可以使用Windows 10的“分配的访问权限”设置账户权限,比如可以设置登录账户只能使用浏览器上网,从而阻止用户安装或运行任意安装程序。

首先在当前管理员账户登录环境下以管理员身份启动命令提示符,输入“net user cfan 123456 /add”,建立一个名为cfan的账户。点击“开始→当前账户→cfan”,以cfan账户登录系统后打开“应用商店”,然后下载并安装“QQ浏览器HD”应用。

注销cfan并切换到原来的管理员账户,在搜索框输入“分配的访问权限”,在打开窗口的“选择哪一个账户将具有分配的访问权限”下点击“选择账户”,将上述添加的cfan账户添加到限制列表,点击“选择应用”,然后在弹出的应用列表选择“QQ浏览器HD”应用(图3)。

这样我们将cfan作为他人使用的专用账户,用户使用cfan账户登录系统后就会直接以全屏方式打开QQ浏览器HD,任务栏不再显示,开始菜单也无法打开。总之cfan账户只能使用QQ浏览器上网,无法运行除此之外的其他程序,自然彻底杜绝安装其他程序的隐患(图4)。

上述方法是系统内置的强制设置,使用该方法后系统就只能运行一个允许的应用商店的应用。如果要对普通EXE安装程序进行限制,那么可以使用组策略进行限制。同上启动组策略编辑器后依次展开“用户配置→管理模板→系统”,然后双击右侧窗格的“只运行指定的Windows程序”,在打开的窗口将其设置为“已启用”,点击“显示”,然后输入“QQScLauncher.exe”(图5)。

这样你的电脑就只能运行Q Q,其他人在试图运行其他安装程序时,Windows 10都会弹出阻止提示,提示由于限制而无法运行任何EXE安装程序(图6)。

3 用好组策略 安装程序需密码

上述方法主要是针对来宾账户和标准账户进行限制,可能很多朋友平时只有一个管理员账户。由于默认管理员账户可以随意安装程序,对于这类用户可以使用组策略对安装程序加以限制。

同上启动组策略编辑器后依次展开“计算机设置→Windows设置→安全设置→本地策略→安全选项”,双击右侧窗格的“用户帐户控制:管理审批模式下管理员的提升提示行为”,在打开的窗口设置为“提示凭据”(图7)。

这样即使在管理员模式下,用户试图安装那些带盾牌的EXE安装程序时,系统也会弹出UAC提示,提示我们需要输入管理员账户的密码才能完成安装。对于家庭版用户,可以启动注册表编辑器展开[HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System],在右侧窗口中找到“ConsentPromptBehaviorAdmin”值,双击打开编辑窗口,把该值的数值数据修改为3即可(图8)。endprint

猜你喜欢
组策略编辑器来宾
女王
布达拉宫
你距离微信创作达人还有多远?
车辆段收发车运行图编辑器的设计与实现
来宾,有三个“全国第一”的甜蜜园区
检测组策略故障
基于VLIW目标机的ELF二进制编辑器设计与实现
Windows server 2003组策略运行机制分析研究