我设置了一个 GPO 来尝试阻止 Cryptolocker 感染我们环境中的系统。已实施以下软件限制:
%AppData%\*.exe %AppData%\*\*.exe %LocalAppData%\Temp\*.zip\*.exe %LocalAppData%\Temp\7z*\*.exe %LocalAppData%\Temp\Rar*\*.exe %LocalAppData%\Temp\wz*\*.exe %UserProfile%\Local Settings\Temp\*.7z\*.exe %UserProfile%\Local Settings\Temp\*.rar\*.exe %UserProfile%\Local Settings\Temp\*.wz\*.exe %UserProfile%\Local Settings\Temp\*.zip\*.exe
尝试安装 Firefox 时出现以下错误:
您的管理员已根据位置限制对 C:\Users\jdoe\AppData\Local\Temp\7zSA1FB.tmp\setup-stub.exe 的访问,策略规则为 {0cbe13527-3132-4e4c-5df1-c48de858c993},该策略规则位于路径 C:\Users\jdoe\AppData\Local\Temp\7z*\*.exe。
我已将以下规则添加到 GPO 并设置为不受限制,但它不起作用:
%LocalAppData%\Temp\7z*.tmp\setup-stub.exe
有人能告诉我我做错了什么吗?我无法使用确切的文件夹名称(在本例中为 7zS189F.tmp),因为每次安装时文件夹名称都会略有不同,所以我需要能够使用通配符。
提前感谢你的帮助。
答案1
和SRP 更保守的规则优先。 那是,不允许优先于允许。
您的允许规则%LocalAppData%\Temp\7z*.tmp\setup-stub.exe在功能上等同于您的禁止规则%LocalAppData%\Temp\7z*\*.exe。两个路径规则(包含您使用的通配符)在优先级评估中被视为相同。
路径规则优先级
当有多个匹配的路径规则时,最具体的匹配规则优先。
以下是一组路径,从最高优先级(更具体的匹配)到最低优先级(更一般的匹配):
- 驱动器:\文件夹1\文件夹2\文件名.扩展名
- 驱动器:\Folder1\Folder2*.扩展名
- *。扩大
- 驱动器:\文件夹1\文件夹2\
- 驱动器:\Folder1\
您的冲突规则与第二个示例相匹配,并被视为具有同等优先级。因此,禁止规则“获胜”。
答案2
遇到了同样的问题,同样的原因(GPO 旨在阻止勒索软件安装)。我将 GPO 分配给了单独的 OU,因此临时规避这个问题相当容易:
- 打开组策略管理,
- 检查勒索软件阻止 GPO 适用于哪些 OU
- 确认目标计算机位于其中一个 OU 中
- 将目标计算机移动到不适用该策略的 OU
- 在管理员命令提示符中在目标计算机上运行 gpupdate /force
- 运行 Firefox 安装,
- 将目标机器返回到原始 OU
- 在目标机器上再次运行 gpudate /force 以重新应用策略并保护您的机器
尽管它没有赢得任何优雅奖项,但它是一种临时的解决办法。
答案3
今天早上我遇到了同样的问题,我有防止加密锁的组策略,并且我需要在单台机器上安装 FF。
具体过程如下:
- 下载“firefox 安装 stub.exe”
- 将其移动到下载之外的其他位置。我使用了 c:\temp。
- 打开命令窗口(具有管理员权限)。
键入以下命令:(本例中使用 c:\temp)
设置温度 = c:\temp
设置 tmp = c:\temp
cd \temp运行您的 Firefox 设置。
对我来说非常有效。