管控Windows 10運行程序

利用Guest賬戶，限制程序運行

在Windows 10中存在Guest來賓賬戶，該賬戶的權(quán)限很低，如果讓別人以該賬戶身份操作，系統(tǒng)自然可以阻止其各種安裝操作。但是，在一般情況下，Windows 10是禁用Guest賬戶的，為此在桌面上“此電腦”圖標的右鍵菜單上點擊“管理”項，在計算機管理窗口左側(cè)選擇“本地用戶和組”項，在打開窗口選擇Guest賬戶，在屬性窗口中取消“賬戶已禁用”選擇狀態(tài)，來啟用該賬戶。

點擊“Win+R”鍵，運行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計算機管理→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”項（如圖1），在右側(cè)窗口雙擊“拒絕本地登錄”項，在屬性窗口中“拒絕本地登錄”列表中選中“Guest”賬戶”項，將其刪除即可。經(jīng)過以上操作，就可以在登錄界面上點擊“Guest”賬戶名，就可以來賓賬戶身份登錄了。當然，事先需要為管理員賬戶設(shè)置復雜的密碼，防止別人隨意以管理員身份登錄。

圖1 管理用戶權(quán)限分配

啟用訪問權(quán)限控制功能

因為來賓賬戶沒有管理員權(quán)限，所以在安裝軟件時就會被UAC功能攔截，必須輸入管理員密碼，才可以執(zhí)行安裝操作。當然，對于來賓賬戶來說，并非不能安裝所有的軟件，例如對于普通級別的軟件或者綠色軟件來說，系統(tǒng)的UAC功能就會對其安裝視而不見。為了避免這種情況的發(fā)生，需要使用系統(tǒng)內(nèi)置的訪問權(quán)限控制功能，進行進一步的控制。先以管理員身份登錄系統(tǒng)，在CMD窗口中執(zhí) 行“net user user1 hello /add”命令，創(chuàng)建名為“user1”的賬戶，密碼為“hello”。

之后注銷系統(tǒng)，以該賬戶身份登錄系統(tǒng)，在應用商店中安裝特定的軟件。然后注銷該賬戶，重新以管理員身份登錄，在Windows設(shè)置界面的搜索欄中框輸入“分配的訪問權(quán)限”，在設(shè)置界面中的“分配的訪問權(quán)限”窗口（如圖2）的“選擇哪一個賬戶將具有分配的訪問權(quán)限”欄下點擊“選擇賬戶”，添加上述“user1”賬戶，點擊“選擇應用”按鈕，選擇剛才安裝的軟件。這樣，就可以將“user1”賬戶設(shè)置為特定賬戶。當以該賬戶登錄時，只能以全屏方式啟動上述軟件，其余的所有系統(tǒng)組件和軟件都無法顯示，這樣使用者就無法安裝任何軟件了。

使用上述方法，只能對應用商店中的軟件進行管理。對于普通的軟件來說，需要另辟蹊徑加以處理。打開組策略窗口，在左側(cè)選擇“用戶配置→管理模板→系統(tǒng)”項，在右側(cè)窗格中雙擊“只運行指定的Windows程序”項，在屬性窗口（如圖3）中將其設(shè)置為“已啟用”，點擊“顯示”按鈕，輸入需要限制的程序，這樣該程序就無法運行了。同理，可以添加更多需要禁用的程序，這樣，系統(tǒng)就只能運行上述指定的程序了。

對管理員權(quán)限進行約束

對于很多Windows 10主機來說，往往只設(shè)置了一個管理員賬戶。對于管理員賬戶，也可以對其進行必要的限制。在組策略窗口左側(cè)選擇“計算機設(shè)置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項”項，在右側(cè)窗口中雙擊“用戶賬戶控制：管理審批模式下管理員的提升提示行為”項，在屬性窗口中的“本地安全設(shè)置”面板中列表中選擇“提示憑據(jù)”項，點擊確定按鈕保存配置信息。

圖2 分配訪問權(quán)限

圖3 設(shè)定允許運行的程序

這樣，雖然在管理員使用環(huán)境中，當使用者想安裝和系統(tǒng)設(shè)置相關(guān)的軟件時，就會遭到UAC功能的攔截。使用者必須按照系統(tǒng)提示，輸入管理員密碼，才可以正常安裝軟件。如果使用的是非專業(yè)版的 Windows 10，可 以 運行“regedit.exe”程 序，在注冊表編輯器中打開“HKEY_LOCAL_ MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem” 分支，在右側(cè)窗口雙擊“ConsentPromptBehavior Admin”項，將值設(shè)置為3，同樣可以激活上述功能。

配置規(guī)則禁止推送應用

除了可以運行“Setup.exe”等程序來安裝各種軟件外，在Windows 10中還可以在應用商店中選擇并下載安裝軟件。實際上，Windows 10的應用商店有時會向系統(tǒng)推送各種應用程序。在很多情況下，我們并不希望系統(tǒng)這種強制推送操作。從本質(zhì)上說，應用商店中的應用都是根據(jù)特定協(xié)議封裝的“.appx”文件，必須擁有微軟證書才可以出現(xiàn)在應用商店中。根據(jù)這一原理，可以利用系統(tǒng)內(nèi)置的程序鎖定功能，來禁止上述操作。運行“service.msc”程序，在服務(wù)管理窗口中雙擊“Application Identity”服務(wù)，在屬性窗口中點擊“啟動”按鈕，激活該服務(wù)。

運行“gpedit.msc”程序，在組策略窗口左側(cè)點擊“計算機配置→Windows設(shè)置→安全設(shè)置→應用程序控制策略→AppLocker→可執(zhí)行規(guī)則”項，在右側(cè)空白窗口的右鍵菜單中點擊“創(chuàng)建默認規(guī)則”項，之后在窗口空白處的右鍵菜單中點擊“創(chuàng)建新規(guī)則”項，在操作向?qū)Ы缑妫ㄈ鐖D4）中點擊下一步按鈕，在下一步窗口中的“用戶或組”欄中選擇“Everyone”賬戶，在“操作”欄中選擇“拒絕”項，在下一步窗口中選擇“發(fā)布者”項，在下一步窗口中點擊“使用安裝的封裝應用作為參考”欄中“瀏覽”按鈕，在彈出的應用列表選擇從應用商店中安裝的某個第三方應用。

圖4 創(chuàng)建AppLocker規(guī)則

為了便于自己的正常使用，盡量選擇基本不用的應用。在窗口左側(cè)縱向拖動滑塊，移動至“程序包名稱”位置，即將這種類型的第三方應用的封裝規(guī)則作為攔截的依據(jù)。之后連續(xù)點擊下一步按鈕，按照向?qū)У奶崾就瓿刹僮鳎詈簏c擊“創(chuàng)建”按鈕，返回上述組策略AppLocker可執(zhí)行規(guī)則管理窗口。這樣，當微軟試圖向本機推送應用時，就會遭到系統(tǒng)的攔截。因為上述規(guī)則會代替系統(tǒng)原有的應用推送及預裝規(guī)則，所以必須在應用商店中手動選擇并下載軟件方可。當然，也可以利用權(quán)限控制功能，來更加靈活的限制商店中第三方應用的活動。打開“C：＼Program Files＼WindowsApps”目錄，在其中存儲著所有的第三方應用數(shù)據(jù)。

設(shè)置訪問權(quán)限，禁止隨意安裝應用

在該目錄的屬性窗口中打開“安全”面板，點擊點擊“高級”按鈕，在“權(quán)限”面板中點擊“添加”按鈕，在打開窗口中點擊“選擇主體”鏈接，選擇當前的賬戶，即可將所有者更改為當前賬戶。在窗口右側(cè)點擊“顯示高級權(quán)限”項，在打開面板中不選擇“創(chuàng)建文件夾/附加數(shù)據(jù)”項，禁止在該文件夾中創(chuàng)建新的目錄。取消“僅將這些權(quán)限應用到此容器中的對象/或容器”項，去除所有繼承權(quán)限。因為不同的第三方應用會在其中建立獨立的文件夾，來存儲自身的數(shù)據(jù)。這樣，當下載的應用試圖安裝時，因為權(quán)限受限無法在上述目錄中新建文件夾，自然無法順利安裝。

當然，對于已經(jīng)存在的應用來說，是不受任何限制的，可以自由運行。對于非專業(yè)版的Windows 10，可以運行注冊表編輯器，打開“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows”分支，在其下建立名為“CloudContent”的子健，之后選擇該子健，在右側(cè)窗口建立類型為DWORD （32位）名稱為“DisableWindows ConsumerFeatures”的鍵值名，雙擊該鍵值名，將值設(shè)置為1，同樣可以禁止Windows 10的應用商店自動推送功能。