是否可以使用禁用便携式应用程序应用程序锁?
答案1
是的。如果启用默认可执行规则,则只有 Program Files / Program Files (x86) 和 Windows 中安装的应用程序才允许执行以供标准使用。管理员可以覆盖运行任何内容,因此可以安装软件。
还可以考虑使用默认规则集启用 DLL 功能。这可以防止意外 DLL 注入的发生。尽管有警告称 DLL 规则会影响性能,但我看不出有什么区别。
一个问题是,Google Chrome、Amazon Kindle for PC、Cisco WebEx 和 Citrix GoToMeeting 等会根据用户自行安装到 AppData 或全局 AppData 文件夹中,而这些文件夹不允许执行。所有这些公司都使用代码签名,因此您可以创建发布者规则来信任来自 Amazon、Cisco、Google、Citrix 等的代码。
我还考虑启用脚本和安装程序规则。我喜欢添加一条规则来允许 *.ps1,因为 PowerShell 有自己的脚本执行策略。