阻止域用户从安装软件

假设你打算使用一个域并使用GPO，那么推荐使用（虽然是PITA，但由于你是从头开始，所以要更容易完成），path是软件限制策略。 这也有效地防止了恶意软件/勒索软件。

https://technet.microsoft.com/en-us/library/hh831534(v=ws.11).aspx

软件限制策略（SRP）是基于组策略的function，用于识别在域中的计算机上运行的软件程序，并控制这些程序的运行能力。 软件限制策略是Microsoft安全和pipe理战略的一部分，旨在帮助企业提高其计算机的可靠性，完整性和可pipe理性。

您还可以使用软件限制策略为计算机创build一个高度受限的configuration，其中只允许运行特定的应用程序。 软件限制策略与Microsoft Active Directory和组策略集成在一起。 您也可以在独立计算机上创build软件限制策略。 软件限制策略是信任策略，这是由pipe理员设置的限制脚本和其他不完全可信的代码运行的规则。

除了TheCleaner对软件限制策略的build议之外，微软已经发布了更为“硬核”的版本，称为AppLocker。

https://technet.microsoft.com/en-us/library/ee424367(v=ws.10).aspx

AppLocker是Windows Server 2008 R2和Windows 7中的一项新function，可提高软件限制策略的function。 AppLocker包含新的function和扩展，允许您创build规则以允许或拒绝应用程序基于文件的唯一标识运行，并指定哪些用户或组可以运行这些应用程序。 使用AppLocker，您可以：控制以下types的应用程序：可执行文件（.exe和.com），脚本（.js，.ps1，.vbs，.cmd和.bat），Windows Installer文件（.msi和。 msp）和DLL文件（.dll和.ocx）。

根据从数字签名导出的文件属性定义规则，包括发布者，产品名称，文件名和文件版本。 例如，您可以基于通过更新持续存在的发布者属性创build规则，也可以为特定版本的文件创build规则。

将规则分配给安全组或单个用户。

创build规则的例外。 例如，您可以创build一个允许除registry编辑器（Regedit.exe）以外的所有Windows进程运行的规则。

在执行之前，使用仅审计模式来部署策略并了解其影响。

导入和导出规则。 进出口影响整个政策。 例如，如果您导出策略，则会导出所有规则集合中的所有规则，包括规则集合的强制设置。 如果您导入策略，则会覆盖现有策略中的所有条件。

通过使用Windows PowerShell cmdlet简化创build和pipe理AppLocker规则。

AppLocker有助于减lesspipe理开销，并通过减less用户运行未经批准的应用程序所产生的帮助台呼叫数量，帮助降低组织pipe理计算资源的成本。

需要警告的是，AppLocker策略是机器启动过程中首先要处理的事情，如果这样configuration的话，甚至可以阻止所需的系统dll / exe文件，这将阻止Windows真正启动，因此请确保彻底进行testing。

有几种方法可以做到这一点，但最真正的locking系统。

如果您在服务器上实施组策略，请将您的受限用户添加到将受到限制的组中。 在GP编辑器中，几乎每个可用的参数都可以阻止用户执行某些操作。 包括使用USB驱动器时，您可以在某个帐户login时禁用它们。不用说，需要一些时间来定位，限制和testing所有function。 这是乏味的，但是实现你的目标的首选方法。

您可能可以在networking上search一些脚本来实现这一目标，或者专门从事GP的人员。 我已经使用它限制浏览器访问，从CD加载应用程序，从开始button中删除DOS提示，等等所有的方法来规避安全。 不同硬件和操作系统的PC也可能需要GP中不同的configuration。

祝你好运，它通常需要一个体面的IT预算组织充分利用这个强大的function。

我讨厌这样说，但以我的经验来说，一个有效的，成本较低的方法是以某人为例。 虽然需要对安装的软件进行持续的审计，并且在很多PC上仍然有效，但这可能需要一些时间。

一个好的起点

检查清单以进行部署