Bạn có thể nếu muốn, hạn chế người dùng cài đặt hoặc chạy các chương trình trong Windows 10/8/7 cũng như Windows Vista / XP / 2000 và Windows Server. Bạn có thể làm như vậy bằng cách sử dụng một số Chính sách nhóm cài đặt để kiểm soát hành vi của Trình cài đặt Windows, ngăn các chương trình nhất định chạy hoặc hạn chế thông qua Registry Editor.
Các cài đặt cửa sổ, msiexec.exe, trước đây được gọi là Microsoft Installer, là một công cụ để cài đặt, bảo trì và loại bỏ phần mềm trên các hệ thống Microsoft Windows hiện đại.
Trong bài viết này, chúng ta sẽ xem cách chặn cài đặt phần mềm trong Windows 10/8/7.
Vô hiệu hoá hoặc hạn chế việc sử dụng Windows Installer thông qua Group Policy
Nhập gpedit.msc trong tìm kiếm bắt đầu và nhấn Enter để mở Trình chỉnh sửa chính sách nhóm. Điều hướng đến Cấu hình máy tính> Mẫu quản trị> Thành phần Windows> Trình cài đặt Windows. Trong ngăn RHS nhấp đúp vào Tắt Trình cài đặt Windows. Định cấu hình tùy chọn theo yêu cầu.
This setting can prevent users from installing software on their systems or permit users to install only those programs offered by a system administrator. If you enable this setting, you can use the options in the Disable Windows Installer box to establish an installation setting.
Tùy chọn "Không bao giờ" cho biết Windows Installer đã được kích hoạt hoàn toàn. Người dùng có thể cài đặt và nâng cấp phần mềm. Đây là hành vi mặc định cho Windows Installer trên Windows 2000 Professional, Windows XP Professional và Windows Vista khi chính sách không được định cấu hình.
Tùy chọn “Chỉ dành cho ứng dụng không được quản lý” cho phép người dùng chỉ cài đặt những chương trình mà quản trị viên hệ thống chỉ định (cung cấp trên máy tính để bàn) hoặc xuất bản (thêm họ vào Thêm hoặc Loại bỏ Chương trình). Đây là hành vi mặc định của Windows Installer trên Windows Server 2003 khi chính sách không được cấu hình.
Tùy chọn "Luôn luôn" cho biết rằng Trình cài đặt Windows bị tắt.
Cài đặt này chỉ ảnh hưởng đến Windows Installer. Nó không ngăn người dùng sử dụng các phương pháp khác để cài đặt và nâng cấp chương trình.
Luôn cài đặt với các đặc quyền nâng cao
Trong Trình chỉnh sửa chính sách nhóm, điều hướng đến Cấu hình người dùng> Mẫu quản trị> Cấu phần Windows. Cuộn xuống và nhấp Windows Installer và cấu hình nó Luôn cài đặt với các đặc quyền nâng cao.
This setting directs Windows Installer to use system permissions when it installs any program on the system.
Cài đặt này mở rộng đặc quyền nâng cao cho tất cả các chương trình. Những đặc quyền này thường được dành riêng cho các chương trình đã được gán cho người dùng (được cung cấp trên máy tính để bàn), được gán cho máy tính (được cài đặt tự động), hoặc có sẵn trong Thêm hoặc Loại bỏ Chương trình trong Pa-nen Điều khiển. Cài đặt này cho phép người dùng cài đặt các chương trình yêu cầu quyền truy cập vào các thư mục mà người dùng có thể không có quyền xem hoặc thay đổi, kể cả các thư mục trên máy tính bị hạn chế cao.
Nếu bạn tắt cài đặt này hoặc không định cấu hình cài đặt này, hệ thống sẽ áp dụng các quyền của người dùng hiện tại khi cài đặt các chương trình mà quản trị viên hệ thống không phân phối hoặc cung cấp.
Cài đặt này xuất hiện cả trong thư mục Cấu hình máy tính và Cấu hình người dùng. Để làm cho cài đặt này có hiệu quả, bạn phải bật cài đặt trong cả hai thư mục.
Người dùng có kỹ năng có thể tận dụng các quyền mà cài đặt này cấp để thay đổi đặc quyền của họ và có quyền truy cập vĩnh viễn vào các tệp và thư mục bị hạn chế. Lưu ý rằng phiên bản Cấu hình người dùng của cài đặt này không được đảm bảo để bảo mật.
Không chạy các ứng dụng Windows được chỉ định
Ở đây trong ngăn RHS, nhấp đúp Không chạy ứng dụng Windows được chỉ địnhcations và trong cửa sổ mới mở ra được chọn Đã bật. Bây giờ Dưới Tùy chọn bấm Hiển thị. Trong các cửa sổ mới mở ra nhập đường dẫn của ứng dụng bạn muốn không cho phép; trong trường hợp này: msiexec.exe.
Điều này sẽ không cho phép Windows Installer được đặt tại C: Windows System32 thư mục đang chạy.
This setting prevents Windows from running the programs you specify in this setting. If you enable this setting, users cannot run programs that you add to the list of disallowed applications.
Cài đặt này chỉ ngăn người dùng chạy các chương trình được bắt đầu bởi quá trình Windows Explorer. Nó không ngăn người dùng chạy các chương trình, chẳng hạn như Trình quản lý Tác vụ, được bắt đầu bởi quá trình hệ thống hoặc bởi các quy trình khác. Ngoài ra, nếu bạn cho phép người dùng truy cập vào dấu kiểm nhắc lệnh, cmd.exe, cài đặt này không ngăn họ khởi động chương trình trong cửa sổ lệnh mà họ không được phép bắt đầu bằng cách sử dụng Windows Explorer. Lưu ý: Để tạo danh sách các ứng dụng không được phép, hãy nhấp vào Hiển thị. Trong hộp thoại Hiển thị Nội dung, trong cột Giá trị, hãy nhập tên thực thi của ứng dụng (ví dụ: msiexec.exe).
Hạn chế các chương trình được cài đặt thông qua Registry Editor
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorerDisallowRun
Tạo chuỗi giá trị với bất kỳ tên nào, như 1 và đặt giá trị của nó thành tệp EXE của chương trình.
Ví dụ: Nếu bạn muốn hạn chế msiexec, sau đó tạo một giá trị String 1 và đặt giá trị của nó thành msiexec.exe. Nếu bạn muốn hạn chế nhiều chương trình hơn, thì chỉ cần tạo nhiều giá trị Chuỗi hơn với tên 2, 3, v.v. và đặt giá trị của chúng thành exe của chương trình.
Bạn có thể phải khởi động lại máy tính của bạn.
Cũng đọc:
- Ngăn người dùng chạy chương trình trong Windows 10/8/7
- Chỉ chạy các ứng dụng Windows được chỉ định
- Windows Program Blocker là một phần mềm chặn ứng dụng hoặc ứng dụng miễn phí để chặn phần mềm chạy
- Cách chặn cài đặt ứng dụng của bên thứ ba trong Windows 10.
Bài viết liên quan:
- Tải xuống phần mềm miễn phí tốt nhất cho Windows 10/8/7
- Trình cài đặt Windows không hoạt động bình thường trong Windows 10
- Các mẹo quản lý chính sách nhóm cho các chuyên gia CNTT trong Windows
- Phân tích các đối tượng chính sách nhóm với Microsoft Policy Analyzer
- Làm cho Windows 10 khởi động, chạy, tắt máy nhanh hơn
