windows10吧 关注:540,755贴子:3,927,420
- 12回复贴,共1页
纯洁控伤不起,装完系统后把驱动和必备软件(主要是adobe家族的)安装完成后,就不会再安装软件了。所以,重点来了……
安全性就靠组策略的软件限制策略和用标准账户。
组策略的软件限制策略把“基本用户”设置成默认,在其他规则中添加 windows 和 Program Files 为“不受限”,还有用户账户控制UAC设置为默认。
所有软件均安装在系统盘,我说过,装好软件后就不再动它了,安在其他盘意义不大,而且也为了安全。要知道,刚才在组策略里添加了“不受限”的目录才能具有管理员权限。并且系统盘
的 WINDOWS 和 Program Files 默认是受UAC保护的,其他盘的目录是UAC默认是不管的。修改这两个文件夹里的数据是需要管理员权限的。
比如说:现在你在浏览网页,不小心点了病毒或流氓软件链接,它就会下载到你的电脑上(临时文件或默认下载目录或你指定的目录,这些目录都是“基本用户”的权限),运行它时,就会
弹出提示:此软件已被组策略阻止,请与管理员联系。
这样组策略设置的好处是,除了自己指定的软件,其他通通不能以管理员运行,而且大部分正规的软件,标准账户是可以完美运行的。
而那些病毒什么的,没有管理员权限就不用怕了。
当然,你需要再安装软件时,就要手动以管理员运行组策略把默认设置为“不受限”,安装目录依然默认,安装完成后立即把默认改回“基本用户”。
这样不需要任何安全软件,你的电脑可以直接免疫绝大部分病毒(话不能说得太满)。我自己找了些病毒来试,通通弹出提示:此软件已被组策略阻止,请与管理员联系。
安全性就靠组策略的软件限制策略和用标准账户。
组策略的软件限制策略把“基本用户”设置成默认,在其他规则中添加 windows 和 Program Files 为“不受限”,还有用户账户控制UAC设置为默认。
所有软件均安装在系统盘,我说过,装好软件后就不再动它了,安在其他盘意义不大,而且也为了安全。要知道,刚才在组策略里添加了“不受限”的目录才能具有管理员权限。并且系统盘
的 WINDOWS 和 Program Files 默认是受UAC保护的,其他盘的目录是UAC默认是不管的。修改这两个文件夹里的数据是需要管理员权限的。
比如说:现在你在浏览网页,不小心点了病毒或流氓软件链接,它就会下载到你的电脑上(临时文件或默认下载目录或你指定的目录,这些目录都是“基本用户”的权限),运行它时,就会
弹出提示:此软件已被组策略阻止,请与管理员联系。
这样组策略设置的好处是,除了自己指定的软件,其他通通不能以管理员运行,而且大部分正规的软件,标准账户是可以完美运行的。
而那些病毒什么的,没有管理员权限就不用怕了。
当然,你需要再安装软件时,就要手动以管理员运行组策略把默认设置为“不受限”,安装目录依然默认,安装完成后立即把默认改回“基本用户”。
这样不需要任何安全软件,你的电脑可以直接免疫绝大部分病毒(话不能说得太满)。我自己找了些病毒来试,通通弹出提示:此软件已被组策略阻止,请与管理员联系。
对于安装(ghost不谈)系统,相信有很多童鞋也知道裸机用微软原版光盘安装的系统有个系统保留分区,这是用于存放系统引导文件的分区,我觉得这个是在系统自我保护上非常有用的。
可是我们习惯从PE安装系统,并且到多都不是裸机装系统,个人从上述得到启发,进PE把第一个主分区分为4G,格式化,吧官方下载的ISO文件里的文件直接复制到主分区4G里,)完成后在根目录里能看见和iso里一样的文件,而不是看见一个iso文件或只有一个文件夹),然后拔掉PE开机,就可以进入原版安装了,然后把系统安装在你想装的地方。安装完成后启动项有两个,一个是系统,一个是setup,默认启动系统,进入系统那个4G分区被默认隐藏,并标记为系统保留。
当你当前系统坏掉之后,只要引导没坏,启动时选择setup, 就可以不借助其他介质就可重装原版系统。而且对于系统的意外故障恢复这养的安装方法有很大的好处。
可是我们习惯从PE安装系统,并且到多都不是裸机装系统,个人从上述得到启发,进PE把第一个主分区分为4G,格式化,吧官方下载的ISO文件里的文件直接复制到主分区4G里,)完成后在根目录里能看见和iso里一样的文件,而不是看见一个iso文件或只有一个文件夹),然后拔掉PE开机,就可以进入原版安装了,然后把系统安装在你想装的地方。安装完成后启动项有两个,一个是系统,一个是setup,默认启动系统,进入系统那个4G分区被默认隐藏,并标记为系统保留。
当你当前系统坏掉之后,只要引导没坏,启动时选择setup, 就可以不借助其他介质就可重装原版系统。而且对于系统的意外故障恢复这养的安装方法有很大的好处。
关于使用本贴所说更改“组策略”的“应用软件限制”的默认权限级别为“基本用户”的安全方法后。目前已知以下小问题。
问题一:在桌面“这台电脑”(或计算机)右键>>管理。弹出错误提示“该文件没有与之……”
解决方法,从提示上可以看到我们个操作实际上是“C:\ProgramData\Microsoft\Windows\Start Menu……”这个目录里的一个快捷方式,当然这是微软系统组件快捷方式的目录,所以我们可以把它添加到“不受限”里。
问题二:我在标准账户下运行一个我觉得不需要管理员权限的程序,比如QQ,音乐播放器等,或者是一些绿色软件,弹出提示“此程序被组策略阻止……”
解决方法:在标准账户下,找到那个程序,右键,创建快捷方式。双击那个快捷方式运行,就好。这对于大多数软件有效。需要注意的是:有些程序安装时创建的快捷方式指向的程序并不是主程序,所以有时候我们标准账户运行那个快捷方式时会出错。比如QQ:安装QQ后生成的快捷方式指向的是“\QQProtect\Bin\QQProtect.exe”这个程序,而主程序应该是“Bin\QQ.exe”。所以有些软件我们要在其安装目录下多找几个exe文件试试,都创建快捷方式打开运行看看,哪个可以用哪个。(个人土方法:首先找最大的那个)
问题一:在桌面“这台电脑”(或计算机)右键>>管理。弹出错误提示“该文件没有与之……”
解决方法,从提示上可以看到我们个操作实际上是“C:\ProgramData\Microsoft\Windows\Start Menu……”这个目录里的一个快捷方式,当然这是微软系统组件快捷方式的目录,所以我们可以把它添加到“不受限”里。
问题二:我在标准账户下运行一个我觉得不需要管理员权限的程序,比如QQ,音乐播放器等,或者是一些绿色软件,弹出提示“此程序被组策略阻止……”
解决方法:在标准账户下,找到那个程序,右键,创建快捷方式。双击那个快捷方式运行,就好。这对于大多数软件有效。需要注意的是:有些程序安装时创建的快捷方式指向的程序并不是主程序,所以有时候我们标准账户运行那个快捷方式时会出错。比如QQ:安装QQ后生成的快捷方式指向的是“\QQProtect\Bin\QQProtect.exe”这个程序,而主程序应该是“Bin\QQ.exe”。所以有些软件我们要在其安装目录下多找几个exe文件试试,都创建快捷方式打开运行看看,哪个可以用哪个。(个人土方法:首先找最大的那个)
