电脑本地安全策略里面,软件限制策略启动后怎样关闭？

在 运行 输入 gpedit.msc 打开 组策略 -》 本地计算机策略-》windows 设置 -》 安全设置 -》 软件限制策略 这里看一下是不是有做的限制，一般是 下面的 其它规则 看右边 是不是有对应的 程序位置，右键 属性 把下面的 安全级别 选择 不受限的 即可。

希望帮你做的是件好事，不然我就罪过大了。

...

怎样解除电脑的软件限制策略？？？

告诉你限制的方法 楼主解除限制的方法你自己找一下 自己做出来的东西会很有成就感的 呵呵 限制方法如下CMDGPEDIT.MSC弹出组策略编辑画面.选择 ＂本地计算机策略＂选择 ＂WINDOWS设置＂ => ＂安全策略＂ => ＂软件限制策略＂默认的是 ＂没有定义软件限制策略＂鼠标右键点选 ＂软件限制策略＂ => ＂创建软件限制策略＂然后会增加一个 ＂安全级别＂ 和 ＂其他策略＂选中 ＂其他策略＂ => ＂新建路径规则＂然后在目录里指向你的软件目录.可以选择 ＂受限制的＂ 和 ＂不受限制＂然后进入CMD命令行.使用：Gpupdate /Target:computer /force这行的意思是：强制刷新组策略.如何启动软件限制策略仅对于本地计算机1. 单击开始，指向程序，指向管理工具，然后单击本地安全策略。

2. 在控制台树中，展开安全设置，然后展开软件限制策略。

对于成员服务器上的域、站点或组织单元或者已经加入域的工作站1. 打开 Microsoft 管理控制台 （MMC）。

要执行此操作，请单击开始，单击运行，键入mmc，然后单击确定。

2. 在文件菜单中，单击添加/删除管理单元，然后单击添加。

3. 单击组策略对象编辑器，然后单击添加。

4. 在选择组策略对象中，单击浏览。

5. 在浏览组策略对象中，选择相应的域、站点或组织单元中的一个组策略对象 （GPO），然后单击完成。

或者，可以创建一个新的 GPO，然后单击完成。

6. 单击关闭，然后单击确定。

7. 在控制台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户/配置/Windows 设置/安全设置/软件限制策略 对于域控制器上的组织单元或域或者已经安装了管理工具包的工作站1. 单击开始，指向所有程序，指向管理工具，然后单击 Active Directory 用户和计算机。

2. 在控制台树中，右键单击希望为其设置组策略的域或组织单元。

3. 单击属性，然后单击组策略选项卡。

4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。

或者，可以单击新建创建一个新的 GPO，然后单击编辑。

5. 在控制台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略 对于站点和域控制器或者已经安装了管理工具包的工作站1. 单击开始，指向所有程序，指向管理工具，然后单击 Active Directory 站点和服务。

2. 在控制台中，右键单击希望为其设置组策略的站点： ? Active Directory 站点和服务 [ Domain_Controller_Name。

Domain_Name] ? 站点 ? 站点 3. 单击属性，然后单击组策略选项卡。

4. 单击组策略对象链接中的一项，选择一个现有的 GPO，然后单击编辑。

或者，单击新建创建一个新的 GPO，然后单击编辑。

5. 在控制台树中，转到以下位置：组策略对象 Computer_name 策略/计算机配置或用户配置/Windows 设置/安全设置/软件限制策略 重要说明：单击用户配置设置将要应用于用户的策略，与用户登录的计算机无关。

单击计算机配置设置将要应用于计算机的策略，与登录到计算机的用户无关。

还可以通过使用称为“环回”的高级组策略设置，在特定的用户登录到特定的计算机时对他们应用软件限制策略。

展开

软件是如何改动＂本地安全策略＂的？？？？？

单击“控制面板→管理工具→本地安全策略”后，会进入“本地安全策略”的主界面。

在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。

一、加固系统账户 1.禁止枚举账号 我们知道，某些具有黑客行为的蠕虫病毒，可以通过扫描Windows 2000/XP系统的指定端口，然后通过共享会话猜测管理员系统口令。

因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类入侵行为，操作步骤如下： 在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略→安全选项”。

查看右侧的相关策略列表，在此找到“网络访问：不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。

2.账户管理 为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。

设置方法为：在“本地策略→安全选项”分支中，找到“账户：来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。

二、加强密码安全 在“安全设置”中，先定位于“账户策略→密码策略”，在其右侧设置视图中，可酌情进行相应的设置，以使我们的系统密码相对安全，不易破解。

如防破解的一个重要手段就是定期更新密码，大家可据此进行如下设置：鼠标右键单击“密码最长存留期”，在弹出菜单中选择“属性”，在弹出的对话框中，大家可自定义一个密码设置后能够使用的时间长短（限定于1至999之间）。

此外，通过“本地安全设置”，还可以进行通过设置“审核对象访问”，跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。

诸如此类的安全设置，不一而足。

大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。

本地安全策略是什么意思？

对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。

这些安全设置分组管理，就组成了的本地安全策略。

用户权限分配拒绝本地登录：计算机共享了一个文档.用户从网络访问的情况需要输入用户名密码，而这一用户是没办法远程登录计算机，或者本地直接用该账号登录此计算机。

安全项：计算机登录界面提示信息。

软件限制策略：a、使用组策略来限制本机的软件运行：开始--运行—gpedit.msc，如果用户更改了软件名，还是可以照常运行。

b、使用本地安全策略限制本机的软件运行：开始--运行—secpol.msc，如果用户更改了软件的路径，还是可以运行。

系统组策略中的软件限制策略是什么？

对于Windows的组策略，也许大家使用的更多的只是“管理模板”里的各项功能。

对于“软件限制策略”相信用过的筒子们不是很多。

软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。

如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。

下面我们就来全面的了解一下软件限制策略。

本系列文章将从以下几方面为重点来进行讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们先介绍Windows组策略中的软件限制策略的概述、附加规则和安全级别。

1、概述 使用“软件限制策略”，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。

通过 散列规则、证书规则、路径规则和Intenet 区域规则，就用程序可以在策略中得到标识。

默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。

在本文中我们主要用到的是路径规则和散列规则，而路径规则呢则是这些规则中使用最为灵活的，所以后文中如果没有特别说明，所有规则指的都是路径规则。

2、附加规则和安全级别 ·附加规则 在使用 软件限制策略 时，使用以下规则来对软件进行标识： ·证书规则 软件限制策略可以通过其签名证书来标识文件。

证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。

它们可以应用到脚本和 Windows 安装程序包。

可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。

·路径规则 路径规则通过程序的文件路径对其进行标识。

由于此规则按路径指定，所以程序发生移动后路径规则将失效。

路径规则中可以使用诸如 %pogamfiles% 或 %systemoot% 之类环境变量。

路径规则也支持通配符，所支持的通配符为 * 和 ？。

·散列规则 散列是唯一标识程序或文件的一系列定长字节。

散列按散列算法算出来。

软件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根据文件的散列对其进行标识。

重命名的文件或移动到其他文件夹的文件将产生同样的散列。

例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。

文件可以被重命名或移到其他位置并且仍然产生相同的散列。

但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。

软件限制策略将只识别那些已用软件限制策略计算过的散列。

·Intenet 区域规则 区域规则只适用于 Windows 安装程序包。

区域规则可以标识那些来自 Intenet Exploe 指定区域的软件。

这些区域是 Intenet、本地计算机、本地 Intanet、受限站点和可信站点。

以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。

系统存在一个由所有规则共享的指定文件类型的列表。

默认情况 下列表中的文件类型包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以对于正常的非可执行的文件，例如TXT JPG GIF这些是不受影响的，如果你认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者你认为哪些扩展无威胁，也可以将其删除。

电脑怎样设置不让安装360软件

方法/步骤准备工作 1、如果还有未卸载的360软件，建议先卸载。

拉黑360后，包括卸载程序在内的任何360程序均无法运行，届时将无法卸载。

2、导入注册表信息文件CodeIdentifiers.reg以启用可执行文件证书规则。

导入方法：双击文件CodeIdentifiers.reg图 标，在弹出消息框选择“是”以确认添加到注册表。

（P.S：这步原因不明，没做也可以达到目的。

自由选择）3、创建软件限制策略，从“开始”菜单 进入“控制面板”。

WindowsXP切换到“经典视图”、Windows7切换到“小图标”查看方式再进入“管理工具”/“本地安全策略”。

右键单击 “软件限制策略”后选择“创建软件限制策略”。

注意：如果此前已创建，不必也不能再次创建。

4、下面这一步操作仅需在Windows7下执行，XP用户请无视。

右键单击“强制”后选择“属性”。

进入“属性”页后，选择“强制证书规则”，然后“确定”即可。

请无视其性能影响警告，只有设置规则过多时才有实际影响。

拉黑360 1、 获取360最新数字签名：目前最新数字签名是360.20130316.cer，无需另行获取。

但2013年3月后，需要获取其最新数字签名。

从360官网下载一个最新版安装程序，任选，导出其数字签名。

以360安全卫士安装程序为例，其数字签名导出过程，先进入文件“属性”，然后跟随导出向导操作，默认选项即可导出数字签名并另存为证书文件。

2、新建证书规则：拉黑360数字签名，进入“控制面板”/“管理工具”/“本地安全策略”/“软件限制策略”/“其他规则”。

在右边子窗口右键单击后选择“新建证书规则”“浏览”以选择360最新的数字签名证书，2013年3月前使用360.20130316.cer即可。

“安全级别”设置为“不允许”。

53、重新启动计算机，重新启动计算机后，安全策略自动生效。

（不用重启也行）...

怎么让受限用户完全不能装软件

一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。

通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。

如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。

例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作： （1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。

具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。

（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。

（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。

（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。

（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。

要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。

这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。

但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。

对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。

二、启用“不要运行指定的Windows应用程序”策略 在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。

设置方法如下： （1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中； （2）、依次展开“‘本地计算机’策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。

（3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。

（4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。

当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。

把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。

要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。

该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。

当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。

需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。

提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序（notepad.exe）添加不运行列表中，通过XP的桌面运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。

因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。

三、设置软件限制策略 软件限制策略是本地安全策略的一个组成部分，管理员通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过赋予相应的安全级别来实现对程序运行的控制。

这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。

软件设置策略使用两个方面的设置对程序进行限制：安全级别和其他规则。

安全级别分为“不允许的”和“不受限制的”两种。

其中，“不允许的”将禁止程序的运行，不论用户的权限如何；“不受限的”允许登录用户使用他所拥有的权限来运行程序。

其它规则，即由管理员通过制定规则对指定的一批或一个文件和程序进行标识，并赋予“不允许的”或“不...

Win10运行程序时提示不受信任怎么办？Win10阻止运行应用程序怎么...

就可以限制用户运行这些应用程序，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。

该方式禁止应用程序的运行，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”，其用户对象的作用范围是所有的用户，不仅仅是受限用户，指定的应用程序名称添加到禁止运行的程序列表中。

（4），不能应用文件及文件夹的安全选项，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，完成设置。

当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。

把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。

3、设置默认的安全级别 新建软件限制策略后，策略的默认安全级别为“不受限的”、路径规则和Internet区域规则，并且这个策略也不能删除。

三、设置软件限制策略 软件限制策略是本地安全策略的一个组成部分，管理员通过设置该策略对文件和程序进行标识。

但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，点击“确定”，此时，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性。

安全级别分为“不允许的”和“不受限制的”两种，这时你就可以放心你的电脑任意让别人折腾，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。

一旦执行了新建策略操作后，就不能再次执行该操作、点击“确定”，返回属性窗口，如图2所示，将记事本程序（notepad.exe）添加不运行列表中、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，通过XP的桌面运行该程序是被限制的，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。

如果取消分配给指定用户对该应用程序或文件夹的访问权限。

通常情况下，此时可以看到用户所具有的权限改为不继承的。

（5）。

因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中，点击编辑器窗口“操作”菜单下的“新建一个策略”项目。

这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。

方法是点击“软件限制策略”使其处于选中状态，从“命令提示符”运行被禁止的程序，例如。

设置方法如下： （1）。

在这个部分中，管理员可以制定四种类型的规则，参照以下几条作相应设置，通过赋予相应的安全级别来实现对程序运行的控制。

这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。

软件设置策略使用两个方面的设置对程序进行限制，这些规则将对文件的访问和程序的运行提供最大限度的授权级别。

软件限制策略的设置 1：安全级别和其他规则。

（2）、在“开始”“运行”处运行gpedit，该项目是空的。

策略需要由管理员手动添加.msc。

具体做法是。

软件限制策略的访问方式有两种： （1），不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统。

2、新建软件限制策略 首次打开“软件限制策略”时、打开“安全级别”，在右侧窗格中，可以看到有两条设置，其中图标中带有一个小对号的设置为默认设置； （2）、点击不是默认值的那条设置，单击右键，选择“设置为默认”项。

当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。

该步骤也可以双击非默认的设置，在弹出的属性窗口中，点击“设为默认值”。

4、设置策略的作用范围和对象 通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。

通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。

设置的方法如下： （1）、单击“软件限制策略”，双击右侧窗格中的“强制”属性项目； （2）、选择“除去库文件（如Dll文件）以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项，单击“确定”。

5、制定规则 只通过安全级别的设置，显然不能很好的实现对文件和程序的控制，必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序，并进而实现对这些文件和程序的灵活控制。

上文中提到可制定规则的类型有四种：散列规则、证书规则、路径规则和Internet区域规则。

它们标识文件以及制定规则的方法如下： 散列规则：利用散列算法计算出指定文件的散列，这个散列是唯一标识该文件的一系列定长字节。

制定了散列规则后，用户访问或运行文件时，软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。

当文件移动或重命名，不会影响文件的散列，软件限...

由于一个软件限制策略的阻止,Windows无法打开次程序...

将registry.pol这个文件删除（你可以用搜索），是隐藏文件。

可以解除软件限制策略。

工具-文件夹选项- 具体位置是WINDOWS\SYSTEM32\GROUPPOLICY\MACHINE\registry.pol 然后利用MMC.EXE 加入组策略编辑器，自己随便找找就行了。

上述方法比较麻烦，如能直接进入组策略编辑器最好，将软件限制策略删除即可，如打不开，可用上方法。

最好将registry.pol文件删除。

自己不懂的话，别随便定义软件限制策略，以后会很麻烦的，会限制许多软件和外来程序的运行。

希望你能够解决！...

转载请注明出处51数据库 » 本地安全策略里面的软件限制策略新建的是不