在企业网络管理中,网管员有时候出于网络安全管理的需要,常常需要禁止员工电脑随意安装软件、随意运行一些与工作无关的程序,这就需要对员工使用电脑的行为进行限制,防止员工随意安装软件、随意运行程序。
?
那么,如何禁止电脑安装软件、禁止电脑运行程序呢?笔者以为,可以通过以下两种途径来实现:通过组策略限制安装软件和通过专门的电脑安全管理软件来禁止安装程序。只不过相对于组策略来说,通过电脑管理软件禁止运行程序、禁止安装软件更为安全、快捷和高效。
?
方法一、可以通过Windows操作系统自带的组策略禁止安装软件,通过组策略禁止程序运行。
?
可以使用组策略来禁止某程序的运行,在运行框中输入“gpedit.msc”,选择“用户配置”-“系统”,如下图:
在右侧双击“不要运行指定的 Windows ?应用程序”,打开属性页,点击“已启用”,如下图:
点击“显示…”,如下图:
禁止程序运行软件、组策略禁止安装软件的方法_组策略
点击“添加”,输入要禁用的程序名称(主运行程序名称),例如notepad.exe,如下图:
点击“确定”,返回不允许的应用程序列表:
点击“确定”,返回主界面,再点击“确定”,退出组策略,双击任何一个文本文档,均会出现以下提示:
注:如果启用此设置,用户则无法运行添加到不允许的应用程序列表的程序。
?
这个设置只阻止用户运行Windows资源管理器启动的程序。不阻止用户运行由系统过程或其它过程启动的程序,如任务管理器。同时,如果您允许用户访问命令提示符Cmd.exe,这个设置不防止用户在命令窗口启动他们不能用Windows资源管理器启动的程序。注意:要创建一个不允许的应用程序列表,单击“显示”,单击“添加”,然后输入应用程序的执行文件名称(例如,Winword.exe,Poledit.exe,Powerpnt.exe)。
禁止程序运行软件、组策略禁止安装软件的方法_组策略
?
方法二、通过专门的电脑管理软件来限制安装软件、禁止运行程序,或者只让电脑运行特定程序、只让电脑安装特定软件。
?
目前,市面上有很多专门的电脑安全管理软件,可以有效禁止电脑运行某些程序、禁止电脑安装某些软件,或者只让电脑安装某些程序、只让电脑运行某些软件。并且,通过电脑安全管理软件,只需要将程序加入到允许运行的程序列表或禁止运行的程序列表,就可以实现对程序安装和运行的控制,操作更为简单、快捷和高效。例如,有一款“大势至USB端口管理软件”(下载地址:http://www.grabsun.com/monitorusb.html),本身是一款有效禁止电脑USB接口使用、限制U盘、屏蔽移动硬盘等USB存储设备的电脑安全管理软件,集成了禁止运行某些程序或只让运行某些程序的功能;同时还可以禁止电脑打开某些网站或只让电脑打开某些网站的功能,从而可以更好地控制员工电脑使用、管理员工上网行为。如下图所示:
图:大势至USB禁用软件-禁止电脑安装软件的功能
图:通过添加程序名称就可以只让列表中的程序运行
同样的方法你也可以设置只让运行的程序,从而实现只让电脑运行某些程序的功能。
设置禁止打开的网站或只让打开的网站的方法和设置程序运行相同,不再敖述。
?
值得注意的是:大势至USB端口控制软件在禁止安装软件、禁止运行程序或只让运行程序,只让安装某些软件的实现原理,与其他电脑管理软件添加进程名字有所不同(这种情况很容易通过修改进程名字而绕过监控),而是基于进程数据结构,从而无论被控制的电脑如何更改进程名字都不会逃避监控,从而可以实现更为有效的控制。
禁止程序运行软件、组策略禁止安装软件的方法_组策略
?
总之,通过组策略禁止程序运行和通过控制电脑的软件来禁止程序运行都可以在一定程度实现电脑安装软件、电脑运行程序的控制,具体采用哪种方法企业可以根据自己的需要进行选择。
?
?