公司网络管理 系统禁用程序

前几天遇到的一个问题：

      公司想禁用像迅雷、QQ、快播等非工作软件的运行，由于要处理的机器较多、禁用程序较多，因此要求能快速简便的设置.....

分析：

     从网上看了很多解决方案，也发了几个帖子求助，先总结一下：

    1. 可以通过镜像劫持（可参考http://hi.baidu.com/lzycsd/blog/item/9748f3137ba6160b5aaf5306.html ）
@echo off
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/123.exe" /v debugger /t REG_SZ /d "rundll32.exe" /f >nul
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/456.exe" /v debugger /t REG_SZ /d "rundll32.exe" /f >nul

    注意：  我在我机器上测试的这种方式失败，提示"拒绝访问"，估计是操作风险大...... 

    2. 权限
@echo off
cd %windir%/system32
cacls 123.exe /t /e /c /p administrator:n

    注意： 这种禁用适用于对个人计算机程序加解锁，因为必须知道安装目录，所以并不通用，不适用于管理....

    3. 组策略
需要配合 启动组策略里的“不要运行指定程序”  即手动设置开启"不允许执行程序"（在cmd中输入gpedit.msc--管理模块--系统--右边在不要运行指定的...中---启用....）
@echo off
reg add "HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun" /v 1 /t REG_SZ /d "qqqq.exe" /f >nul
reg add "HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun" /v 2 /t REG_SZ /d "wwww.exe" /f >nul

    注意： 测试时由于需要手动设置，因此感觉也不怎么方便....

    4. 阻止  给程序加点小意外，简单而平民
@echo off
if not exist e:/xxx/xxx md e:/xxx/xxx
echo >e:/xxx/xxx/ws2_32.dll
在要运行的程序目录下建立ws2_32.dll文件，可阻止该程序出错不能运行 会有该文件的提示

    注意： 不太懂怎么实现的..

   5. 针对CMD与BAT
@echo off
reg add "HKCU/Software/Policies/Microsoft/Windows/system" /v DisableCMD /t reg_dword /d "00000002" /f >nul
改键值有两个值给大家：
0 表示两者都可以运行
1 两者都不能运行
2 只能运行BAT批处理，cmd禁用

    注意： 这种方法可能照成解锁时的麻烦...

（参考自http://www.hackbase.com/tech/2009-08-13/54915.html）

解决：

   最终采取的方法是直接写注册表来修改组策略，首先新建1.reg文件，输入代码：

 Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"DisallowRun"=dword:00000001

 再新建2.reg文件，输入代码：
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun]
"1"="Thunder.exe"
"2"="qq.exe"
先执行1.reg在执行2.reg，ok