我想阻止特定用户在 PC 的每个驱动器(包括可移动驱动器)上执行应用程序(.exe、.msi、.vbs),但 C:\ProgramFiles\ 和 C:\Windows 文件夹除外。这是因为存在病毒;尤其是如果有人下载了 .exe 并意外执行它。
我有 Windows 7 Professional。我发现了一个非常相似的帖子(应用程序锁),但 Applocker 对我不起作用。我将 putty.exe 复制到 C:\Temp\ 下,并按照链接中描述的步骤为用户 Foo 执行操作(还启动了 AppIDSvc),PC 重新启动,但没有任何效果;Foo 能够执行 putty.exe。
你能帮我解决这个问题吗?
还有其他选择吗?一定不是 Applocker...
答案1
您可以通过拒绝 NTFS 权限来阻止某些文件夹中程序的执行Traverse folder/execute file。我已对特定文件夹(例如下载文件夹)执行此操作,并取得了成功。不过,我对将此类拒绝权限应用于整个目录树持谨慎态度。
如果您决定这样做,请按如下方式操作,这样您就可以轻松禁用限制或随意限制不同的用户:
- 创建名为禁用 NTFS 执行用户
- 拒绝权限那团体
- 让你的用户成为该组的成员
要解除限制,只需将用户从组中删除。
请记住,非管理员用户可以编辑其拥有的任何文件夹的 NTFS 权限。此外,管理员可以总是编辑权限并击败这一策略。
请注意,此方法仅适用于实际的可执行文件。例如,.vbs 脚本文件本身不是程序,因此不会受到此阻止。它们由位于 Windows 目录结构中的 wscript.exe 或 cscript.exe 可执行文件读取并执行。其他类型的脚本(包括 PowerShell)也是如此。