我想知道是否有人可以指出我正确的方向,如何阻止特定的 exe 文件在域环境中的 XP 机器上执行。
我已经设置并运行活动目录,因此这是一个可行的工具。
我知道如何通过名称阻止该 exe,但人们只需更改文件的名称并再次启动它即可。
有没有什么办法可以阻止特定的 exe 文件,无论用户将文件名改为什么?
谢谢!
答案1
您正在寻找的是软件限制政策。如果您想要阻止特定应用程序,您可以创建哈希规则。但是您不应该这样做。
总会有其他东西你想阻止,或者旧东西的更新版本。除了你想在机器上允许的东西之外,禁止一切东西要好得多。此时,你只是维护你为软件添加的东西。
答案2
您可以在组策略中的软件限制策略中创建哈希规则来限制程序,无论其名称如何。我的建议是为此创建一个新的 GPO,而不是修改现有的 GPO(例如默认域策略),并在将其推广到整个企业之前测试对选定计算机和/或用户的影响。
http://technet.microsoft.com/en-us/library/bb457006.aspx
编辑
回应 Jim B 的回答:从长远来看,使用他的将可以运行的应用程序列入白名单的方法比将无法运行的应用程序列入黑名单的方法更易于管理。采用黑名单方法意味着您将始终评估黑名单应用程序是否有新版本,是否知道用户正在尝试安装的应用程序等。
答案3
我会认真建议你看看信任NoExe。它并不完全符合要求——因为它是一种将所有内容列入黑名单的解决方案,而您必须.exe
自己将单个文件列入白名单,但解决这个问题的内部方法非常好,而且非常安全。
答案4
从您的默认域组策略中,您需要转到此处:
用户配置 -> 策略 -> Windows 设置 -> 安全设置 -> 软件限制策略 -> 附加规则
然后,您根据 exe 的哈希值创建一个新策略。
在每台计算机上应用更改并强制更新:gpupdate /force
参考 :http://techsultan.com/deny-specific-application-in-active-directory-gpo/