阻止域用户安装软件

假设您要使用域并使用 GPO，那么推荐的路径（虽然是 PITA，但由于您是从头开始，因此更容易完成）路径是软件限制策略。这还具有有效防止恶意软件/勒索软件的额外好处。

https://technet.microsoft.com/en-us/library/hh831534(v=ws.11).aspx

软件限制策略 (SRP) 是基于组策略的功能，可识别域中计算机上运行的软件程序，并控制这些程序的运行能力。软件限制策略是 Microsoft 安全和管理策略的一部分，可帮助企业提高其计算机的可靠性、完整性和可管理性。

您还可以使用软件限制策略为计算机创建高度受限的配置，在该配置中您只允许特定标识的应用程序运行。软件限制策略与 Microsoft Active Directory 和组策略集成。您还可以在独立计算机上创建软件限制策略。软件限制策略是信任策略，它是管理员设置的规则，用于限制脚本和其他不完全受信任的代码运行。

继 TheCleaner 对软件限制策略的建议之后，微软随后发布了一个更“硬核”的版本，称为 AppLocker。

https://technet.microsoft.com/en-us/library/ee424367(v=ws.10).aspx

AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的一项新功能，它改进了软件限制策略的特性和功能。AppLocker 包含新功能和扩展，允许您创建规则以根据文件的唯一身份允许或拒绝应用程序运行，并指定哪些用户或组可以运行这些应用程序。使用 AppLocker，您可以： 控制以下类型的应用程序：可执行文件（.exe 和 .com）、脚本（.js、.ps1、.vbs、.cmd 和 .bat）、Windows 安装程序文件（.msi 和 . msp）和 DLL 文件（.dll 和 .ocx）。

根据从数字签名派生的文件属性定义规则，包括发布者、产品名称、文件名和文件版本。例如，您可以基于通过更新持续存在的发布者属性创建规则，或者您可以为文件的特定版本创建规则。

将规则分配给安全组或单个用户。

创建规则的例外。例如，您可以创建一个规则，允许除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程运行。

使用仅审核模式来部署策略并在执行之前了解其影响。

进出口规则。进出口影响整个政策。例如，如果您导出策略，则会导出所有规则集合中的所有规则，包括规则集合的强制设置。如果您导入策略，现有策略中的所有条件都将被覆盖。

使用 Windows PowerShell cmdlet 简化 AppLocker 规则的创建和管理。

AppLocker 有助于减少管理开销，并通过减少用户运行未经批准的应用程序导致的帮助台呼叫次数来帮助降低组织管理计算资源的成本。

请注意，AppLocker 策略是机器启动时首先要处理的事情，如果这样配置，甚至能够阻止所需的系统 dll/exe，这将阻止 Windows 实际启动，因此请确保彻底测试它。

有几种方法可以做到这一点，但最能真正锁定系统。

如果您在服务器上实施组策略，请将受限用户添加到具有限制的组中。在 GP 编辑器中，几乎每个参数都可用于阻止用户执行某些操作。包括使用 USB 驱动器，您可以在某个帐户登录时禁用它们。不用说，您需要一些时间来定位、限制和测试所有功能。这很乏味，但却是实现目标的首选方法。

您可能可以在网上搜索一些脚本来实现此目的，或者可以搜索专门研究 GP 的人。我已经使用它来限制浏览器访问、从 CD 加载应用程序、从开始按钮中删除 dos 提示符等。所有绕过安全性的方法。不同硬件和操作系统的 PC 也可能需要在 GP 中进行不同的配置。

祝你好运，通常需要一个拥有良好 IT 预算的组织才能充分利用这一强大功能。

我不想这么说，但根据我的经验，一种有效且成本更低的方法是以解雇某人为例。为了有效，尽管需要对已安装的软件进行持续审核，并且在许多 PC 上，这可能需要一些时间。

一个好的起点

部署检查清单