利用 AppLocker 禁止安装 360 等流氓软件

利用 AppLocker 禁止安装 360 等流氓软件

技术
更新于 2025-07-25
1391
返回

福昕pdf阅读器导致诊疗系统无法打印问题:开票点打印之后本来应该进入选择打印机页面的,但没反应,仔细观察发现出现了个 福昕阅读器。原来是 福昕阅读器注册成了默认打印处理程序。。。回想起之前,还有文件资源管理器被篡改等情况。这些软件被安装,源头可能来源于 360,鲁大师、360 浏览器、360 软件管家、安全卫士,总会沾上一个,而沾上一个,往往会导致越来越多软件被安装。

参考:

彻底禁止电脑安装国产流氓全家桶软件! | 乐软博客

步骤:

先看注意事项!!!!

  1. 确保启动 Application Identity 服务:通过 services.msc 启动并设置 Application Identity 服务为自动启动,若提示拒绝访问,可通过组策略脚本启动 。 
    powershell
    sc.exe config appidsvc start=auto
  2. 创建 AppLocker 规则:以管理员身份登录,打开本地组策略编辑器(gpedit.msc),依次展开“计算机配置→Windows 设置→安全设置→应用程序控制策略→AppLocker”,选择“可执行规则”,新建规则,选择“拒绝”操作,规则条件可选“发布者”(针对软件发布者)或“路径”(针对具体文件或文件夹),可禁止 360 系列软件等 。
  3. 设置强制规则:在 AppLocker 中勾选“匹配规则强制”,确保规则生效 。
  4. 例外设置:可通过“例外”功能允许某些软件运行,比如禁止 360 全部产品但允许 360 浏览器 。

注意:AppLocker 适用于 Windows 7 旗舰版/企业版及 Windows 10 企业版,专业版无法使用强制规则 。

相关发布者

O=ALIPAY.COM CO.,LTD, L=HANGZHOU, S=ZHEJIANG, C=CN
O=TENCENT TECHNOLOGY(SHENZHEN) COMPANY LIMITED, L=SHENZHEN, S=GUANGDONG, C=CN
O=BEIJING RISING INFORMATION TECHNOLOGY CORPORATION LIMITED, L=BEIJING, S=BEIJING, C=CN
O=2345.COM, L=SHANGHAI, S=SHANGHAI, C=CN
O=SOGOU.COM, L=BEIJING, S=BEIJING, C=CN
O=KINGSOFT SECURITY CO.,LTD, L=BEIJING, S=BEIJING, C=CN
O=TAOBAO (CHINA) SOFTWARE CO.,LTD., L=HANGZHOU, S=ZHEJIANG, C=CN
O=QIHOO 360 SOFTWARE (BEIJING) COMPANY LIMITED, L=BEIJING, S=BEIJING, C=CN

AppLocker 是可以导入导出策略的

xml
<AppLockerPolicy Version="1">
  <RuleCollection Type="Exe" EnforcementMode="NotConfigured">
    <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(默认规则) 位于 Program Files 文件夹中的所有文件" Description="允许 Everyone 组的成员运行位于 Program Files 文件夹中的应用程序。" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%PROGRAMFILES%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(默认规则) 位于 Windows 文件夹中的所有文件" Description="允许 Everyone 组的成员运行位于 Windows 文件夹中的应用程序。" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%WINDIR%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(默认规则) 所有文件" Description="允许本地 Administrators 组的成员运行所有应用程序。" UserOrGroupSid="S-1-5-32-544" Action="Allow">
      <Conditions>
        <FilePathCondition Path="*" />
      </Conditions>
    </FilePathRule>
    <FilePublisherRule Id="568201d3-4b9b-4597-99b0-642c24ae7fdd" Name="禁用360" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
      <Conditions>
        <FilePublisherCondition PublisherName="O=BEIJING QIHU TECHNOLOGY CO., LTD., L=BEIJING, S=BEIJING, C=CN" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
    <FilePublisherRule Id="b99ef145-4714-497a-b9a0-41f973d4a5bc" Name="禁用福昕" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
      <Conditions>
        <FilePublisherCondition PublisherName="O=FOXIT SOFTWARE INC., L=FREMONT, S=CALIFORNIA, C=US" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection>
  <RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Script" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Appx" EnforcementMode="NotConfigured" />
</AppLockerPolicy>

注意事项

只创建了可执行规则,发生了系统软件运行不了的现象,可能需要参考这个:

默认的策略会导致 pwa 无法执行,猜想一些 portable app 也无法执行,其实应该把策略配置为安装策略?