陳楚杰

挑戰(zhàn)題描述

為了阻止舍友們用我的電腦玩QQ游戲，我使用組策略方法進(jìn)行限制。不過(guò)這樣自己需要運(yùn)行這些程序時(shí)，每次還得進(jìn)到組策略編輯器里取消限制，用完又得恢復(fù)限制，實(shí)在麻煩。組策略里有沒(méi)有只限制他人而不限制自己的方法？（題號(hào)：20150406）

解題思路

在Vista以前版本的Windows系統(tǒng)中，所有用戶(hù)的組策略是一樣的。只有當(dāng)該計(jì)算機(jī)處于公司的域環(huán)境，才可以通過(guò)AD活動(dòng)目錄中的每個(gè)用戶(hù)所在的OU配置組策略，使不同用戶(hù)在同一臺(tái)計(jì)算機(jī)上登錄有不同的組策略設(shè)置。但本挑戰(zhàn)題只為限定一個(gè)程序的使用，要到域環(huán)境中設(shè)置有點(diǎn)得不償失。而在Windows 7及同年服務(wù)器版Windows之后的版本中，則可以非常簡(jiǎn)單地為不同用戶(hù)配置不同的組策略，不需要費(fèi)時(shí)費(fèi)力去改NTFS默認(rèn)的權(quán)限。Windows 7在家庭網(wǎng)絡(luò)的工作組模式中，可以為多個(gè)用戶(hù)建立各自不同的本地GPO（組策略對(duì)象）。

解題方法

為不同用戶(hù)配置多個(gè)本地組策略，可參考以下步驟操作。

首先按Win+R組合鍵調(diào)出運(yùn)行對(duì)話(huà)框，輸入“MMC”并按回車(chē)鍵，打開(kāi)MMC管理控制臺(tái)，然后點(diǎn)擊菜單“文件→添加/刪除管理單元”，在彈出的對(duì)話(huà)框中，選中“組策略對(duì)象編輯器”（圖1）。點(diǎn)擊“添加”按鈕，接著會(huì)彈出使用組策略向?qū)?duì)話(huà)框，單擊其上的“瀏覽”又會(huì)彈出瀏覽組策略對(duì)象對(duì)話(huà)框，切換到“用戶(hù)”選項(xiàng)卡（圖2），選擇本機(jī)每個(gè)用戶(hù)或根據(jù)管理員組和非管理員組進(jìn)行修改即可。重復(fù)上面的步驟，在MMC管理控制臺(tái)中為多個(gè)用戶(hù)添加組策略，并進(jìn)行編輯（圖3）。本挑戰(zhàn)題的目的是限制QQ游戲程序，只需在對(duì)應(yīng)用戶(hù)的組策略中進(jìn)行限制即可。

【擴(kuò)展方法一】

通過(guò)使用Windows 7系統(tǒng)新增的AppLocker功能（應(yīng)用程序控制策略），也可以輕松創(chuàng)建對(duì)某個(gè)程序的限制策略。

在運(yùn)行對(duì)話(huà)框中輸入“secpol.msc”，按回車(chē)鍵，將打開(kāi)“本地安全策略”窗口，展開(kāi)左側(cè)“應(yīng)用程序控制策略→AppLocker→腳本規(guī)則”，再在右側(cè)空白區(qū)域右擊，從右鍵菜單中選擇“創(chuàng)建新規(guī)則”打開(kāi)創(chuàng)建腳本規(guī)則向?qū)Т翱冢▓D4）。

點(diǎn)擊“下一步”進(jìn)入“權(quán)限”設(shè)置步驟，操作設(shè)置為“拒絕”，可以選擇你想要禁用某程序的那個(gè)賬戶(hù)。繼續(xù)“下一步”進(jìn)入“條件”步驟，比較保險(xiǎn)的是通過(guò)“發(fā)布者”的條件來(lái)做限制，也就是說(shuō)，現(xiàn)在的大型軟件的相關(guān)程序都是經(jīng)過(guò)軟件發(fā)布者簽名的，利用這個(gè)規(guī)則，就可以限制所有擁有該簽名的程序，這就避免了“路徑”規(guī)則的修改路徑后即可運(yùn)行，或者是“文件哈?！币?guī)則的換個(gè)版本即可運(yùn)行的規(guī)避手段?！鞍l(fā)布者”設(shè)置中，通過(guò)“瀏覽”找到QQ的主程序文件，選擇后會(huì)自動(dòng)出現(xiàn)該程序的相關(guān)信息，在滑動(dòng)按鈕中我們選擇“發(fā)布者”。接下來(lái)是“例外”設(shè)置，經(jīng)過(guò)上一步設(shè)置后，所有帶有騰訊官方簽名的程序都將無(wú)法運(yùn)行，比如QQ、QQ音樂(lè)、QQ影音、QQ游戲等騰訊系列軟件，甚至包含了安裝程序。如果需要單獨(dú)允許某個(gè)程序運(yùn)行，可以在這里將其添加成例外程序。

最后一步的“名稱(chēng)”設(shè)置，就是設(shè)置規(guī)則名稱(chēng)，你可以幫這條規(guī)則起個(gè)易于識(shí)別的名稱(chēng)。

如果是當(dāng)前創(chuàng)建的第一條規(guī)則，那么在完成后會(huì)有個(gè)默認(rèn)規(guī)則創(chuàng)建提示，需點(diǎn)擊“是”，允許創(chuàng)建默認(rèn)規(guī)則，以免你設(shè)置的規(guī)則使得系統(tǒng)文件程序遭到限制。

成功創(chuàng)建規(guī)則后，當(dāng)用于企圖運(yùn)行帶有騰訊官方簽名的任何程序時(shí)，操作都將被攔截。這個(gè)規(guī)則無(wú)論用戶(hù)如何更改文件路徑、版本都能生效。

如果要設(shè)置AppLocker規(guī)則生效，可在運(yùn)行對(duì)話(huà)框中輸入“services.msc”，按回車(chē)鍵后打開(kāi)“服務(wù)”窗口，找到“Application Identity”項(xiàng)，將其啟動(dòng)類(lèi)型設(shè)為“自動(dòng)”，然后按“啟動(dòng)”，就可以讓規(guī)則生效了。

上述方法僅限于Windows 7及完整版本的Windows 8（Windows 8低級(jí)版本沒(méi)有安全組策略）。

【擴(kuò)展方法二】

如果題主的電腦系統(tǒng)不滿(mǎn)足上述方法中所提的條件，還可以通過(guò)直接修改注冊(cè)表的方法來(lái)實(shí)現(xiàn)。

以Windows XP為例，在任意隱藏的文件夾中新建記事本并重命名為“Ban qq game.reg”，注意，要將文件擴(kuò)展名txt修改為reg。然后右擊它，選擇“編輯”，在打開(kāi)的記事本中輸入以下內(nèi)容并保存：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼DisallowRun]

"1"="QQGame.exe"

這一文件的意思就是，在注冊(cè)表中添加禁用程序QQGame.exe，若有多個(gè)禁用程序則依次添加：

"2"="XXX.exe"

同樣新建“Restore qq game.reg”文件，輸入以下內(nèi)容并保存：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼DisallowRun]

"1"=-

當(dāng)要禁用QQGame時(shí)，雙擊“Ban qq game.reg”，完成設(shè)置。當(dāng)自己想要使用，需要解禁時(shí)，則雙擊“Restore qq game.reg”即可。

小提示

在“計(jì)算機(jī)策略”中的“用戶(hù)配置”與對(duì)應(yīng)用戶(hù)的組策略中的“用戶(hù)配置”沖突時(shí)，是以對(duì)應(yīng)用戶(hù)的組策略中“用戶(hù)配置”中的設(shè)置為優(yōu)先采用的。