saber 酱的抱枕

其实这玩意都是网上玩烂的东西了。

我承认我只是想发下面这图而已

首先讲下组策略……严格地说是组策略的某个策略

控制面板-管理工具-本地安全策略-软件限制策略-其它规则

在右侧可以新建新的规则，常用的是证书规则和路径规则。

通过向导新建规则，可以很方面的理解，这玩意可以把特定程序设置为“不允许”

匹配方式就是上面说的特定路径和证书。

证书？

对。全家桶们还算有那么一点点良心，知道给自己的程序上数字签名，组策略可以识别数字签名证书然后阻止运行。

添加证书规则最简单的办法是，在选择证书时把文件类型改成.exe，然后选择有数字签名的exe即可。

但是，有个问题：

1.证书是有期限的，证书过期了就得更新，同时策略就也得一起更新

2.太死板，只能通杀或者全放过，不能指定例外。比如，你不想上企鹅全家桶，可你还得用QQ啊……一般而言，一个公司的软件通用一个证书（度娘是个例外，卫士和浏览器证书不一样）。要是杀掉了 企鹅证书……QQ也完蛋了。

这时候就得找APPLocker了。

APPLocker可以提取一个exe的公司信息、应用名称、版本号等信息，可以根据这些分级设定，还可设置例外。比如，你可以设定只能运行版本号在多少以下的QQ，也可以做到上面那样杀掉企鹅全家桶却放过QQ的例外设置。而且还不依赖于某一个证书，只依赖于证书的公司名（一般他们都不会动这个）

APPLocker其实就在软件限制策略的下面——应用程序控制策略。

不过要使用APPLocker，我们得打开Application Identity服务（设为自动），这里不赘述。

然后这里只涉及APPLocker的可执行规则就好。新建规则时建议按提示新建默认规则，允许管理员运行所有程序以及非管理员运行windows和program files里的程序，否则………………你懂的。

然后还是按向导新建规则，在设定程序信息时可以按提示选择参考的exe来读取它的信息。想ban掉的自便。

设置完成后，回到可执行规则上一级的APPLocker，然后选择配置强制规则，然后勾上可执行规则下面的已配置的勾，并确定下面的选项是强制规则而不是仅审核。这样就完成了配置。

回到我们的标题，为什么我会这么说？因为这些功能只提供给高版本win……专业版能不能用APPLocker不太记得了……家庭高级版这俩都不行。

用win的高级功能对抗全家桶兼论我为什么要用旗舰/企业版win7(雾)