这里只是一个简单的小问题,我试图阻止 exe 等从用户主驱动器运行,但遇到了问题。当然,我可以为所有 exe 添加哈希规则,但这是繁琐的工作。我可以添加路径规则作为“H:*.exe”,这有效,但仅限于 H:\ 驱动器,如果 exe 位于“H:\SomeFolder2949\”中,则不会被阻止。我尝试使用通配符等作为“H:**.exe”,但这不起作用……它在 technet 文章中明确指出了以下内容:
When a path rule specifies a folder, it matches any program
contained in that folder and any programs contained in subfolders.
对我来说,它将匹配文件夹和子文件夹中的任何内容......然后它继续自相矛盾并说......
The administrator must define all directories for launching a
specific application in the path rule. For example, if the
administrator creates a shortcut on the desktop to launch
an application, then in the path rule, the administrator
must also grant the user Read access rights to both the
executable file and the shortcut paths to run the application.
If all the path information necessary for launching the
application in the path rule is not defined, it can trigger
the Software Restricted warning when the user attempts to run
the application.
所以我很困惑...我可以让路径规则匹配子文件夹吗?如果可以,怎么做?
谢谢。
答案1
如果您运行的是 Windows 2008 R2,则可以使用文件筛选来阻止 .exe 存在。
答案2
Microsoft 关于所有子文件夹的说明仅适用于您仅指定一个文件夹的情况,例如 C:\Users。这会阻止所有子文件夹中的所有可执行文件。
但是正如您正确指出的那样,如果您指定 C:\Users*.exe 仅阻止扩展名为 exe 的文件,则它们只会锁定在 C:\Users 中,而不是例如在 C:\Users\Tom 中。
抱歉,我也没有答案。这里也有同样的问题: Windows - 软件限制策略阻止所有子目录中的 exe 文件 不幸的是,那里唯一的答案并没有回答这个问题。
顺便说一下,微软第二次提到的有关 LNK 文件的另一个问题可以通过从受 SRP 影响的文件列表中删除 LNK 文件来解决。