管控Windows 10運(yùn)行程序

利用Guest賬戶(hù)，限制程序運(yùn)行

在Windows 10中存在Guest來(lái)賓賬戶(hù)，該賬戶(hù)的權(quán)限很低，如果讓別人以該賬戶(hù)身份操作，系統(tǒng)自然可以阻止其各種安裝操作。但是，在一般情況下，Windows 10是禁用Guest賬戶(hù)的，為此在桌面上“此電腦”圖標(biāo)的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在計(jì)算機(jī)管理窗口左側(cè)選擇“本地用戶(hù)和組”項(xiàng)，在打開(kāi)窗口選擇Guest賬戶(hù)，在屬性窗口中取消“賬戶(hù)已禁用”選擇狀態(tài)，來(lái)啟用該賬戶(hù)。

點(diǎn)擊“Win+R”鍵，運(yùn)行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計(jì)算機(jī)管理→Windows設(shè)置→安全設(shè)置→本地策略→用戶(hù)權(quán)限分配”項(xiàng)（如圖1），在右側(cè)窗口雙擊“拒絕本地登錄”項(xiàng)，在屬性窗口中“拒絕本地登錄”列表中選中“Guest”賬戶(hù)”項(xiàng)，將其刪除即可。經(jīng)過(guò)以上操作，就可以在登錄界面上點(diǎn)擊“Guest”賬戶(hù)名，就可以來(lái)賓賬戶(hù)身份登錄了。當(dāng)然，事先需要為管理員賬戶(hù)設(shè)置復(fù)雜的密碼，防止別人隨意以管理員身份登錄。

圖1 管理用戶(hù)權(quán)限分配

啟用訪問(wèn)權(quán)限控制功能

因?yàn)閬?lái)賓賬戶(hù)沒(méi)有管理員權(quán)限，所以在安裝軟件時(shí)就會(huì)被UAC功能攔截，必須輸入管理員密碼，才可以執(zhí)行安裝操作。當(dāng)然，對(duì)于來(lái)賓賬戶(hù)來(lái)說(shuō)，并非不能安裝所有的軟件，例如對(duì)于普通級(jí)別的軟件或者綠色軟件來(lái)說(shuō)，系統(tǒng)的UAC功能就會(huì)對(duì)其安裝視而不見(jiàn)。為了避免這種情況的發(fā)生，需要使用系統(tǒng)內(nèi)置的訪問(wèn)權(quán)限控制功能，進(jìn)行進(jìn)一步的控制。先以管理員身份登錄系統(tǒng)，在CMD窗口中執(zhí) 行“net user user1 hello /add”命令，創(chuàng)建名為“user1”的賬戶(hù)，密碼為“hello”。

之后注銷(xiāo)系統(tǒng)，以該賬戶(hù)身份登錄系統(tǒng)，在應(yīng)用商店中安裝特定的軟件。然后注銷(xiāo)該賬戶(hù)，重新以管理員身份登錄，在Windows設(shè)置界面的搜索欄中框輸入“分配的訪問(wèn)權(quán)限”，在設(shè)置界面中的“分配的訪問(wèn)權(quán)限”窗口（如圖2）的“選擇哪一個(gè)賬戶(hù)將具有分配的訪問(wèn)權(quán)限”欄下點(diǎn)擊“選擇賬戶(hù)”，添加上述“user1”賬戶(hù)，點(diǎn)擊“選擇應(yīng)用”按鈕，選擇剛才安裝的軟件。這樣，就可以將“user1”賬戶(hù)設(shè)置為特定賬戶(hù)。當(dāng)以該賬戶(hù)登錄時(shí)，只能以全屏方式啟動(dòng)上述軟件，其余的所有系統(tǒng)組件和軟件都無(wú)法顯示，這樣使用者就無(wú)法安裝任何軟件了。

使用上述方法，只能對(duì)應(yīng)用商店中的軟件進(jìn)行管理。對(duì)于普通的軟件來(lái)說(shuō)，需要另辟蹊徑加以處理。打開(kāi)組策略窗口，在左側(cè)選擇“用戶(hù)配置→管理模板→系統(tǒng)”項(xiàng)，在右側(cè)窗格中雙擊“只運(yùn)行指定的Windows程序”項(xiàng)，在屬性窗口（如圖3）中將其設(shè)置為“已啟用”，點(diǎn)擊“顯示”按鈕，輸入需要限制的程序，這樣該程序就無(wú)法運(yùn)行了。同理，可以添加更多需要禁用的程序，這樣，系統(tǒng)就只能運(yùn)行上述指定的程序了。

對(duì)管理員權(quán)限進(jìn)行約束

對(duì)于很多Windows 10主機(jī)來(lái)說(shuō)，往往只設(shè)置了一個(gè)管理員賬戶(hù)。對(duì)于管理員賬戶(hù)，也可以對(duì)其進(jìn)行必要的限制。在組策略窗口左側(cè)選擇“計(jì)算機(jī)設(shè)置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”項(xiàng)，在右側(cè)窗口中雙擊“用戶(hù)賬戶(hù)控制：管理審批模式下管理員的提升提示行為”項(xiàng)，在屬性窗口中的“本地安全設(shè)置”面板中列表中選擇“提示憑據(jù)”項(xiàng)，點(diǎn)擊確定按鈕保存配置信息。

圖2 分配訪問(wèn)權(quán)限

圖3 設(shè)定允許運(yùn)行的程序

這樣，雖然在管理員使用環(huán)境中，當(dāng)使用者想安裝和系統(tǒng)設(shè)置相關(guān)的軟件時(shí)，就會(huì)遭到UAC功能的攔截。使用者必須按照系統(tǒng)提示，輸入管理員密碼，才可以正常安裝軟件。如果使用的是非專(zhuān)業(yè)版的 Windows 10，可 以 運(yùn)行“regedit.exe”程 序，在注冊(cè)表編輯器中打開(kāi)“HKEY_LOCAL_ MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem” 分支，在右側(cè)窗口雙擊“ConsentPromptBehavior Admin”項(xiàng)，將值設(shè)置為3，同樣可以激活上述功能。

配置規(guī)則禁止推送應(yīng)用

除了可以運(yùn)行“Setup.exe”等程序來(lái)安裝各種軟件外，在Windows 10中還可以在應(yīng)用商店中選擇并下載安裝軟件。實(shí)際上，Windows 10的應(yīng)用商店有時(shí)會(huì)向系統(tǒng)推送各種應(yīng)用程序。在很多情況下，我們并不希望系統(tǒng)這種強(qiáng)制推送操作。從本質(zhì)上說(shuō)，應(yīng)用商店中的應(yīng)用都是根據(jù)特定協(xié)議封裝的“.appx”文件，必須擁有微軟證書(shū)才可以出現(xiàn)在應(yīng)用商店中。根據(jù)這一原理，可以利用系統(tǒng)內(nèi)置的程序鎖定功能，來(lái)禁止上述操作。運(yùn)行“service.msc”程序，在服務(wù)管理窗口中雙擊“Application Identity”服務(wù)，在屬性窗口中點(diǎn)擊“啟動(dòng)”按鈕，激活該服務(wù)。

運(yùn)行“gpedit.msc”程序，在組策略窗口左側(cè)點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→應(yīng)用程序控制策略→AppLocker→可執(zhí)行規(guī)則”項(xiàng)，在右側(cè)空白窗口的右鍵菜單中點(diǎn)擊“創(chuàng)建默認(rèn)規(guī)則”項(xiàng)，之后在窗口空白處的右鍵菜單中點(diǎn)擊“創(chuàng)建新規(guī)則”項(xiàng)，在操作向?qū)Ы缑妫ㄈ鐖D4）中點(diǎn)擊下一步按鈕，在下一步窗口中的“用戶(hù)或組”欄中選擇“Everyone”賬戶(hù)，在“操作”欄中選擇“拒絕”項(xiàng)，在下一步窗口中選擇“發(fā)布者”項(xiàng)，在下一步窗口中點(diǎn)擊“使用安裝的封裝應(yīng)用作為參考”欄中“瀏覽”按鈕，在彈出的應(yīng)用列表選擇從應(yīng)用商店中安裝的某個(gè)第三方應(yīng)用。

圖4 創(chuàng)建AppLocker規(guī)則

為了便于自己的正常使用，盡量選擇基本不用的應(yīng)用。在窗口左側(cè)縱向拖動(dòng)滑塊，移動(dòng)至“程序包名稱(chēng)”位置，即將這種類(lèi)型的第三方應(yīng)用的封裝規(guī)則作為攔截的依據(jù)。之后連續(xù)點(diǎn)擊下一步按鈕，按照向?qū)У奶崾就瓿刹僮?，最后點(diǎn)擊“創(chuàng)建”按鈕，返回上述組策略AppLocker可執(zhí)行規(guī)則管理窗口。這樣，當(dāng)微軟試圖向本機(jī)推送應(yīng)用時(shí)，就會(huì)遭到系統(tǒng)的攔截。因?yàn)樯鲜鲆?guī)則會(huì)代替系統(tǒng)原有的應(yīng)用推送及預(yù)裝規(guī)則，所以必須在應(yīng)用商店中手動(dòng)選擇并下載軟件方可。當(dāng)然，也可以利用權(quán)限控制功能，來(lái)更加靈活的限制商店中第三方應(yīng)用的活動(dòng)。打開(kāi)“C：＼Program Files＼WindowsApps”目錄，在其中存儲(chǔ)著所有的第三方應(yīng)用數(shù)據(jù)。

設(shè)置訪問(wèn)權(quán)限，禁止隨意安裝應(yīng)用

在該目錄的屬性窗口中打開(kāi)“安全”面板，點(diǎn)擊點(diǎn)擊“高級(jí)”按鈕，在“權(quán)限”面板中點(diǎn)擊“添加”按鈕，在打開(kāi)窗口中點(diǎn)擊“選擇主體”鏈接，選擇當(dāng)前的賬戶(hù)，即可將所有者更改為當(dāng)前賬戶(hù)。在窗口右側(cè)點(diǎn)擊“顯示高級(jí)權(quán)限”項(xiàng)，在打開(kāi)面板中不選擇“創(chuàng)建文件夾/附加數(shù)據(jù)”項(xiàng)，禁止在該文件夾中創(chuàng)建新的目錄。取消“僅將這些權(quán)限應(yīng)用到此容器中的對(duì)象/或容器”項(xiàng)，去除所有繼承權(quán)限。因?yàn)椴煌牡谌綉?yīng)用會(huì)在其中建立獨(dú)立的文件夾，來(lái)存儲(chǔ)自身的數(shù)據(jù)。這樣，當(dāng)下載的應(yīng)用試圖安裝時(shí)，因?yàn)闄?quán)限受限無(wú)法在上述目錄中新建文件夾，自然無(wú)法順利安裝。

當(dāng)然，對(duì)于已經(jīng)存在的應(yīng)用來(lái)說(shuō)，是不受任何限制的，可以自由運(yùn)行。對(duì)于非專(zhuān)業(yè)版的Windows 10，可以運(yùn)行注冊(cè)表編輯器，打開(kāi)“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows”分支，在其下建立名為“CloudContent”的子健，之后選擇該子健，在右側(cè)窗口建立類(lèi)型為DWORD （32位）名稱(chēng)為“DisableWindows ConsumerFeatures”的鍵值名，雙擊該鍵值名，將值設(shè)置為1，同樣可以禁止Windows 10的應(yīng)用商店自動(dòng)推送功能。