我对用户从可移动存储设备(例如记忆棒和 SD 卡)运行 .exe 时遇到的问题。
我正在尝试设置阻止 exe 从所有可移动存储中运行以解决此问题,但是在“用户配置 > Windows 设置 > 安全设置 > 软件限制策略 > 附加规则”下的组策略设置下,您可以创建一个“路径”变量。我想使用系统变量来全部可移动存储,但不知道是否有一个可以工作的。我是否必须仔细检查并创建一个阻止列表,列出所有可能分配给可移动媒体的潜在驱动器号(E:\ 到 L:\)或者是否有一个真正有效的列表?我发现%~dp0它显然仅适用于 for 循环、if 语句和批处理参数。
如果有其他更好或更可靠的措施,请告诉我。
哦,我看过 AppLocker,但我们的 DC 运行的是 Server 2008,我相信 AppLocker 是 Windows 7 和 2008 R2 的一部分。正如下面对答案的评论中提到的,我认为 Server 2008 没有“拒绝执行访问”设置,那么还有其他选择吗?
答案1
您可以通过 GPO 停止在可移动设备上执行软件。设置位于计算机 > 管理模板 > 系统 > 可移动存储访问 > 可移动磁盘:拒绝执行访问
编辑:
您是否有权访问 Server 2008 R2 系统?如果可以,您可以创建策略设置,将其备份到磁盘,然后将其传输到您的 Server 2008 系统并重新导入策略。这不会让您能够修改策略,但您应该能够看到设置,并且Extra Registry Settings它应该可以在您的 Windows 7 客户端上正常工作。
如果有帮助的话,我刚刚创建了此类政策的备份,并将其放在Dropbox供您下载。适用通常使用,风险自负等规定。