/cert-to-block-software

Use certificate rules to block some softwares on Windows

数字证书拉黑教程

请卸载垃圾软件以延长计算机寿命。

0x00 准备工作

  1. 确认您已完全卸载你要拉黑的公司旗下的所有软件。
  2. Windows操作系统版本为专业版,或更高版本
  3. 您已以管理员身份登陆到系统中。

0x01 检查证书是否已经被安装到受信任

  1. 管理员身份启动 命令提示符PowerShell
    以Windows10为例,按 Win+X 键,并在弹出菜单中选择 命令提示符(管理员)PowerShell(管理员)
  2. 输入 certmgr.msc 并按回车键执行,以启动证书管理器。
  3. 在菜单栏中,点击 操作 ,并在弹出菜单中选择 查找证书...
  4. 查找您想要移除的证书。如果找到,就请确认无误后,在该证书上点击鼠标右键,并选择 删除
    (截图以360为例)

0x02 启用强制证书规则

  1. 启动在之前打开的 命令提示符PowerShell 中输入 gpedit.msc 并按回车键执行,以启动本地组策略编辑器。
  2. 定位到 计算机配置 - Windows设置 - 安全设置 - 软件限制策略
    此时可能会提示 没有定义软件限制策略 (如上图。如果没有这个提示,即 软件限制策略 下已有一些设置项,可以直接进行下一步)。这时可以点击菜单栏中的 操作 ,选择 创建软件限制策略
  3. 双击 强制 项,在弹出的属性框中选择 强制证书规则 ,并点击下面的 确定 按钮。

0x03 获取最新证书

  1. 从您要拉黑的软件的官网上下载最新版安装包,并查看其属性。(这里以360为例)
  2. 数字签名 页,选择其签名,点击 详细信息
    (请注意:某些软件有多个数字签名,例如这里的360就有两个,都要拉黑才行!)

    在新窗口中点击 查看证书
    详细信息 页,点击下面的 复制到文件...
    根据提示操作,保存到一个方便的目录下,备用。

0x04 添加规则以拉黑

  1. 在之前打开的本地组策略编辑器中,定位到 计算机配置 - Windows设置 - 安全设置 - 软件限制策略 - 其他规则
    点击菜单栏里的 操作 ,再点击 新建证书规则...
  2. 使用 浏览... 来选择之前导出的要拉黑的证书文件。并确保 安全级别 选项为 不允许 。确认无误后点击下方的 确定 按钮。
    描述 栏可以填写一些信息用来提示您这项规则的内容)
  3. 同之前说到的,某些软件的安装包具有多个数字签名,每一个证书都要如此操作拉黑才行!
    全部操作完成后,就可以删除之前导出来的证书文件了。

0x05 日后维护

一般而言,一个证书的有效期多为2年。到期后,软件厂商会更换证书。
这是您也需要获取新的证书,并重复如上操作来将其拉黑,以保证屏蔽的有效性。