midi78578

前兩天有朋友這樣問：
-----------------------------------------------------
***** 我家有個老外很討厭,只要我不在家就用我電腦,每次抓到他就說查查信,我又懶的關機呵呵,給他設置個來賓帳戶,怎麼樣才能只讓他開網頁?查e-mail,別的功能都不讓他用?
-----------------------------------------------------

於是我想到用組策略(先提示下：組策略只有XP PRO才有，home版沒的)也可以達到這樣的限制，方法就是在「運行」裡輸入 gpedit.msc 出現組策略窗口，然後相繼展開：
-----「用戶配置」-「管理模板」-「系統」， 然後雙擊右邊窗口的「只運行許可的windows程序」
選擇「已啟用」按鈕，然後在顯示裡「添加」只允許運行的程序，比如填寫「winword」，就意味著該電腦只能運行WORD程序了。其他所有程序均被限制不能運行，
好，現在大問題出現了………

自己雖然知道這個功能，但一直很少這樣用，因擔心這樣的設置有無效果，我當時自己也實驗了下，填寫了只允許運行的程序為 winword，當時想，這樣應該什麼程序都被鎖死了，也許什麼也不能運行，為防止萬一，自己把自己鎖死就完蛋了，我想把組策略也添加到允許程序裡，這樣就算被鎖了，也能進入組策略撤消這個限制，於是在添加項目裡添加組策略進去，就是填寫gpedit.msc 做完這些後，我就關閉了組策略窗口……

-------於是開始我試驗組策略是否把所有程序都限制，我隨便雙擊一個程序，比如桌面上的QQ，出來一個這樣的警告窗口

再雙擊一個播放器，一樣的警告出現

-------- 呵呵~ 看來成功了~ 似乎除了允許的winword之外，其他的都被禁止了~

--------好用~-我像大灰狼那樣張大著嘴巴~ 張牙舞爪~ 先樂了一陣~

後來轉念一想，這個限制不知道會不會把系統裡所有的程序都禁止掉，於是試了下在運行裡輸入 regedit 想打開註冊表試試
出來同樣的限制警告~ 再打開IE上網試試~~ 又一個限制警告，都不能用了，
我想~ NND～　挺厲害啊～　註冊表都禁止了～　危險啊～不會什麼都不能使用了吧？？？？？？？

於是我想再次進入組策略把這些限制取消掉，在運行裡輸入 gpedit.msc
這時候我大吃一驚，因為同樣地出來了那個限制窗口~~
我想~～　操蛋了～　可能自己鎖死自己了～　真進不了組策略撤消那些該死的設置，不完了？？

～於是我滿頭大汗雙擊桌面上的程序，操～　一個都不能運行啊～
在運行裡輸入 MMC，就是啟動服務控制台（大家都知道可以用MMC控制台調出組策略）～　準備從控制台裡強硬把 「組策略gpedit.msc」導出來使用，正如擔心的那樣，ＭＭＣ也被禁止使用了，輸入ＣＭＤ窗口，也被限制使用，連「計算器」也不能運行，後來我想乾脆把ＸＰ的explorer.exe外殼終止再看看有什麼辦法，按下ctrl+alt+del　任務管理器是出來了，但終止了explorer.exe外殼後，再新任務裡輸入任何的命令都被拒絕了～　
～～　暈啊～～～～～～連網也上不了～～～～～～這次真的死定

我想得上網找寫資料看看下，IE已經被證明不能使用了，想用realplay播放器來上網，同樣被禁止使用，
--------當我明白現在只能使用word的時候，像被打斷脊樑的灰狼一樣～癱倒在三隻腳的椅子上～　
********* 寫這個時忘記了 用word上不知道行不》？？

事實證明，當這個萬惡的組策略只要起用了「只允許運行的程序」外，任何東西都被禁止運行了，除了你添加允許的程序外，
但當時自己只添加了word和gpedit、就只能運行word，其他的諸如什麼 .com .pif .exe .bat .點點點什麼玩意都不行啊～　
老九啊～ 連畫圖板～ＸＰ的掃雷這樣的小ＤＤ也不給用了～ 其他就更不用說了

但很鬱悶的是~ 我明明將「gepdit.msc組策略」添加為允許運行的程序，但輸入命令卻也被拒絕使用
鬱悶~ 怎麼回事啊~~ 為什麼明明允許進去也不能運行~
真想拖下鞋子拿鞋底很很把小比爾的臉很很的抽他三萬六千零九下~

你這漏洞也太大了吧~ 這不是設了個大火坑~ 引誘我們小菜鳥往裡跳啊~~

--------------------------------------------------------
後來發現「我的電腦」倒是可以打開，檔案夾也可以打開～於是利用「資源管理器」來上網，竟然可以上網～　
嘿嘿～　～這次有救了～　獰笑一下　
馬上發了個求助貼　
當然～也許平時鼓搗這個的不多～所有還是沒解決問題～

----------------------------------------------------------
google~ 網路上提到禁用組策略的註冊表鍵值在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，
把「RestrictRun」的鍵值改為0即可

另一個方法2是在 CMD窗口編輯註冊表，輸入
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v RestrictRun /t reg_dword /d0
命令來刪除RestrictRun 主鍵 以解開組策略
---------------------------------------------------------------

註冊表自己到是經常鼓搗，甚至還暗藏了幾個罕見的怪招數~ 嘿嘿~ 慢慢來~ 等會再說一下
******************好！！ 我們菜鳥開始和XP過一招~~
在桌面用記事本寫個文本檔案保存為ＲＥＧ註冊表檔案，刪除相應的鍵值，也不行～記事本也被禁了~
後來用ＷＯＲＤ寫好保存為ＲＥＧ格式是成功了，但因註冊表的使用權利被限制，相當於使用註冊表的權利也被禁止了~
也無法把鍵值導進去~ 行不通~


~ ~ 劍走邊鋒~ 用CMD窗口修改註冊表~ 但CMD也被禁止使用，也行不通，MMC台已經試了不行

------------------
安全模式~不行 添加新用戶~不行~ 我是雙系統，從WIN2000進去，也是束手無策~ 系統還原~不行~
恢復控制台下太慢~ 也等於CMD，
以「帶命令行的模式」啟動電腦---「以命令行模式」啟動，竟然自動打開了CMD窗口~

******說明：但自己在運行裡輸入CMD，就打不開，可想而知是系統可以調用，但再超級用戶也不能運行--------，

CMD窗口打開，估計有希望，於是按照網路裡上面的方法刪除鍵值
~~ 輸入 reg add……. RestrictRun /…. 什麼的，操蛋~ 完全行不通，說是參數太多，省略後面的參數再試下，一樣無效~
~ 扯蛋啊~ 看來網上以訛傳訛的無用資料太TMD多了

（網路上的行不通—還得自己來）

自己想辦法~` 既然所有的程序都不准運行，我傻笑了一下~ 想到了以前知道的絕招
於是打開word 寫個 .inf檔案， 刪除這個組策略RestrictRun的鍵值
這樣---------------------

複製內容到剪貼板

代碼:

[version]
Signature="$CHICAGO$"
[DefaultInstall]
DelReg=ClsReg
[ClsReg]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System\explorer、RestrictRun

意思就是把整個RestrictRun鍵值刪除
---呵呵~很少見的方法哦~~~ 然後用word來另存為 inf格式的檔案-------

這樣的INF檔案在普通情形下，是不雙擊的，右鍵點它選「安裝」即可，我想，這不是EXE檔案，應該可以
試了下~ 不行~ 我還是自殺了算了吧~ NND 這也不行啊~ 絕望~ 只有重新裝了~


--------- 不到黃河不死心~ 像我這樣的骨灰級的~~ 不服不服！！

唉~ 該靜下來好好動動豆腐腦啦~~~~其實上面的CMD和註冊表之類的所有程序並非處於disable狀態，而是組策略裡限制了使用它，因為如果註冊表被禁用的話，出來的警告是「註冊表已經被管理員停用」，而現在出來的警告是「本次操作由於這台電腦的限制而被取消。。」，如下圖~ 有區別啊~



既然註冊表被禁止使用，那麼寫鍵值去刪除它行不通，鍵值也沒法導進去，
但根據出來的警告的不同，我認為註冊表其實是可編輯狀態，問題是用戶沒有使用的權限，現在的情形並非註冊表禁止而是沒有使用權限，所以現在的思路是怎麼樣打開註冊表，然後把禁用組策略去掉~

***所以只能考慮一個借屍還魂的方法了

呵呵~ 於是我想了一個我們「盲拳打死老師傅」的怪招，我試了下XP的屏保可以用不~ 原來可以~ 好~ 這次就有80%的把握了~~ 我的思路是利用XP系統裡的螢幕保護來運行打開註冊表

這樣，選XP的 logon.scr-----就是黑黑的那個螢幕保護，它在system32檔案下，我先把註冊表編輯器regedit.exe複製到這個檔案夾，準備刪除掉logon.scr螢幕保護、把註冊表編輯器regedit替換為logon.scr，這樣的話，當XP啟動螢幕保護時，其實是運行註冊表編輯器，騙騙XP這個小比爾~

看來思路不錯哦，，但直接刪除logon.scr不行，它還有個備份在dllcache檔案夾裡，誰刪它的話，這裡的備份馬上就會再產生一個新的logon.scr,所以先把dllcache下的移出來，再刪除system32檔案夾下的logon.scr
然後把regedit.exe更改為logon.scr~ 系統發現檔案被刪而警告， 不理睬它。。。。
哈哈~ 瞞天過海~ 36計還是懂一點滴~

完成後，設置logon.scr屏保，XP似乎馬上覺得這個logon.scr是假貨~ 出來這樣的一個信息

呵呵~ 怪~ 也不知道什麼意思~ 不理它。。。我點「否」，在按「預覽」螢幕保護

KAO~ 真的打開了註冊表啊~ 老天爺~ ！！！

馬上找到剛才關於組策略的鍵值，發現它們添加的在這裡

於是我試著這裡建個串值，把MMC添加進去~ 按確定後覺得XP好像刷新了一下，覺得100%成功了，
先不關閉註冊表，運行輸入MMC，竟然啟動了MMC窗口，
再試，在運行輸入gpedit.msc 恍如隔世的組策略窗口終於出來了~`~ ~~~~~~

這裡是禁止使用組策略的鍵值，刪除它，或改為0值

關閉註冊表後，再試~ 輸入regedit 判斷沒錯，註冊表出來了

至此~~~~~ 大功告成~ 高興啊~ 當時以為只有重新裝XP了

midi78578

事情後的第二天，我又鼓搗了一下，發現如果添加 gpedit.msc為允許運行程序根本行不通
但如果添加MMC.exe進去，組策略就沒有被禁止使用，

----------------------------
我還這樣試了下，就算不設置那個「只允許許可的windows程序」，如果我們寫一個這樣的REG檔案

複製內容到剪貼板

代碼:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001

把它寫進註冊表，等於禁止了使用組策略，在這個情形下，和我前面的現象一樣，就不能運行任何東西
大家不信的話，大可以把上面的複製到文本檔案，保存為任意類型檔案，名字隨便，比如111.reg
雙擊它，保證你什麼都完蛋~
********** 嚴正警告：懷疑者謹慎從事，沒把握別試 **************

********繼續我的今天的研究成果，我發現，網路上在CMD刪除的方法不對，也許那是針對其他的系統版本？
總之根據網上的行不通，
網上提到的命令這樣
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v RestrictRun /t reg_dword /d0
其實不行~ 而且後面有兩個參數錯誤！！
------今天我想了下，如果再次有組策略被禁止時，什麼都不能運行時，可以以「帶命令行模式」啟動電腦，從CMD裡編輯註冊表，刪除RestrictRun鍵值
正確的命令如下 CMD 窗口下輸入
Reg delete hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System /v RestrictRun
這是刪除「禁用組策略」 注意：空白處均為空一格~ 這樣等於進入註冊表刪除了RestrictRun的dword鍵值

-------------------------
順便說一下註冊表被禁用的問題，如果註冊表被病毒鎖住被禁用時，就是出現「註冊表已經被管理員禁用」時
CMD窗口下輸入 Reg delete hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
這是刪除「禁用組策略」
注意：空白處均為空一格

******* 更正網路上包括電板精華里的錯誤-----------------------
當註冊表「註冊表已經被管理員禁用」時，很多說法是寫個REG~這樣
----------------------

複製內容到剪貼板

代碼:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

保存為REG時雙擊，就可以解除，實際是不行的，~這個方法行不通，但在windows2000下可以，網上這樣的流傳很廣~ 誤導~

大家試試就知道，要麼在組策略裡解開，要麼上述CMD方法編輯

當然，除了在CMD窗口下編輯註冊表，還有的方法就是寫inf 檔案，也是非常罕見的手段
~~~~這個下次再說了~ 累死了

好，現在覺得組策略太脆弱了，病毒木馬隨便往註冊表寫個RestrictRun鍵值，就可以導致XP所有的東西不准運行
雖然沒大傷害，當什麼都不能運行~ 這樣的硬傷也太危險了吧~~~~`
懶得話只想到重新安裝XP了