為什麼要限制程序運行？

比如家長不希望小孩玩遊戲；

老闆不希望員工使用某些軟件；

攔截廣告程序；

限制惡意軟件運行，提高系統安全性等等。。

在運行中打入：gpedit.msc

打開組策略編輯器，定位到 用戶配置->管理模闆->系統：

在右側窗口中，有兩個選項分别是：不運行指定的Windows應用程序、隻運行指定的Windows應用程序

很容易理解，一個黑名單模式，一個白名單模式。使用方法也很簡單，以“不運行指定的Windows應用程序”為例，雙擊打開，選擇“已啟用”：

點擊下方的“顯示...”，然後輸入不允許運行的程序名即可限制運行：

​但是這種方式功能太弱，僅僅隻是針對程序名稱，稍微懂點電腦的改一下文件名就繞過了限制。很多時候難以滿足需求。。

同樣是通過組策略編輯器來設置，但是位置不一樣，定位到：計算機配置->Windows設置->安全設置->軟件限制策略：

如果之前沒有創建過策略，默認是什麼都沒有的，在“軟件限制策略”上點擊右鍵，選擇“創建軟件限制策略：

點擊之後，會創建出一些默認策略：

點擊“其他規則”，然後在右側窗口的空白處點擊右鍵：

​如上圖所示，可以根據程序的證書、哈希值、網絡區域、路徑等來創建限制規則！

這樣大大加強了限制的效果，不是簡單改名就能破除限制！随機命名的程序也可以輕松限制！

這裡不做詳解，就以新建路徑規則為例，稍微演示一下功能的使用：

如上圖，路徑支持使用%temp%這樣的環境變量，也支持*.exe這樣的通配符！

上圖這條規則，将會限制系統臨時文件夾下所有後綴名為.exe的程序運行。

運行效果如圖：

需要注意的是，像我這樣寫，并不會連同子目錄下的程序一起限制！

如果要連同所有子目錄下的程序一起限制，可以這樣寫：

這是一種特殊的限制方式，雖然功能也不強，但仍是值得一提，它叫：映像劫持

在運行或者CMD中輸入：

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe" /v debugger /t reg_sz /d bucunzai.exe /f

效果如圖：

​例2，點擊qq.exe時，打開cmd.exe：

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe" /v debugger /t reg_sz /d cmd.exe /f

當然，也可以把cmd.exe換成其它指定位置的程序，比如 D:\soft\test.exe

這個映像劫持是不是還有點好玩？

​

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!