我需要一种方法来禁止“所有人”在 Windows 所在的驱动器上运行程序。有什么分步想法吗?
答案1
如果您拒绝对整个系统驱动器的所有执行访问,那么 Windows 将会运行得非常困难。:)
最好使用组策略来设置应用程序白名单。
具体检查User Configuration > Administrative Templates > System > Run only specified Windows applications策略,您还需要考虑锁定 CMD 提示符和任务管理器。
从上述政策的帮助来看:
限制用户有权在计算机上运行的 Windows 程序。
如果启用此设置,用户只能运行您添加到允许的应用程序列表中的程序。
此设置仅阻止用户运行由 Windows 资源管理器进程启动的程序。它不会阻止用户运行由系统进程或其他进程启动的程序(例如任务管理器)。此外,如果用户可以访问命令提示符 Cmd.exe,则此设置不会阻止他们在命令窗口中启动不允许使用 Windows 资源管理器启动的程序。