除管理员之外的所有用户都只能在 Windows Server 中运行特定的应用程序。
我是 Windows Server 的新手。我所做的是:对于每个用户,我更改了环境配置,并在“本地用户和组\用户”下的“登录时启动以下程序”中进行了更改。
它运行良好,当用户登录时,应用程序会自动执行。他们看不到桌面。当他们关闭应用程序时,会话也会自动注销。然而有两个问题:
1-从应用程序中,使用“打开”或“保存文件”选项,他们可以看到单元 C: 中的所有文件夹。我尝试拒绝整个 C: 的权限,但出现了一堆错误。
2-如果他们按 Ctrl+Alt+Del,他们就可以访问任务管理器,然后从那里执行任何其他程序。我曾尝试从安全表拒绝对 TASKMGR.EX 的访问,但用于添加组或用户的“添加”按钮被禁用。
我该如何解决这两个问题?
谢谢
答案1
你可能想看看微软的应用程序锁技术。
AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的一项新功能,它增强了软件限制策略的特性和功能。AppLocker 包含新功能和扩展,允许您创建规则以根据文件的唯一标识允许或拒绝应用程序运行,并指定哪些用户或组可以运行这些应用程序。
使用 AppLocker,你可以:
• 控制以下类型的应用程序:可执行文件(.exe 和 .com)、脚本(.js、.ps1、.vbs、.cmd 和 .bat)、Windows 安装程序文件(.msi 和 .msp)以及 DLL 文件(.dll 和 .ocx)。
• 根据从数字签名中获取的文件属性定义规则,包括发布者、产品名称、文件名和文件版本。例如,您可以根据通过更新而保持不变的发布者属性创建规则,也可以为文件的特定版本创建规则。
• 将规则分配给安全组或单个用户。
• 创建规则例外。例如,您可以创建一条规则,允许除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程运行。
• 使用仅审核模式部署策略,并在强制执行之前了解其影响。
• 导入和导出规则。导入和导出会影响整个策略。例如,如果您导出策略,则所有规则集合中的所有规则都会被导出,包括规则集合的强制设置。如果您导入策略,现有策略中的所有条件都将被覆盖。
• 使用Windows PowerShell cmdlet 简化AppLocker 规则的创建和管理。