如何借助证书阻止特定软件安装

学校Fablab的公用电脑上,常被来上选修课的同学安装Steam等游戏软件,还不把自启关闭,导致电脑运行速度降低严重。多数资料使用AppLocker禁用特定的数字签名,但其依赖的服务AppIDSvc在普通用户中无法自动启动,用脚本运行会弹出CMD的黑框,非常明显。本文将介绍一种使用“软件安全策略”阻止特定软件安装的方法。

1 下载需要禁止的软件的安装程序

这步不需要多讲。需要注意的是,只有使用正规数字签名的程序才可以用此方法禁止,恰好Steam有经过数字签名。本文接下来的操作都将以禁用Steam安装为例。

2 新建软件限制策略

使用Win+R打开“运行”窗口,输入secpol.msc并回车打开“本地安全策略”窗口。找到“软件限制策略”,在其上右键,接着点击“创建软件限制策略”。

3 新建证书规则

上一步之后,右边窗口多出了一些项目。在“其他规则”上右键,点击“新建证书规则”。在随后弹出的窗口中点击“浏览”,将右下角文件类型改为“签名的文件”,找到需要禁止的软件的安装文件,确认添加。然后,将“安全级别”设置为“不允许”,点击“应用”按钮。随后弹出的窗口一路确定,保持默认设置。

4 验证

试着双击运行相应的安装程序,可见“管理员已阻止你运行此应用”提示,说明设置成功。