我们正在尝试阻止网络上的普通用户执行某些与系统相关的可执行文件(mmc、cmd、ldp 等)。我建议使用软件哈希规则,但我担心通过 GPO 强制执行软件限制而不是通过 GPO 更改可执行文件的权限可能会产生意想不到的影响。
当我通过 GPO 从不受限制切换到使用软件限制时,网络会发生什么变化?我们有一个非常小的独立网络,流量不大。散列规则应该很有效,但我不想通过设置它们引起其他问题。
答案1
软件限制是一个强大的工具,也是一个有趣的话题:
首先,直接回答你的问题,这对网络本身几乎没有影响。软件限制完全在客户端执行。当客户端最初从服务器下载规则时,才会出现唯一的网络流量。这是作为标准组策略刷新过程的一部分执行的,无论是否有软件限制,这都会发生。
至于对用户的影响,这在很大程度上取决于您事先进行了多少测试。如果您花一天时间收集您能想到的所有可执行文件的哈希值,将它们放入软件限制策略中,然后拨动开关 - 您将度过非常糟糕的一天。总会有一些您没有想到的事情:将可执行文件复制到奇怪位置的应用程序、自动应用更新的应用程序(这将更改您的哈希值)、自我修改的应用程序可执行文件(通常作为过时的许可方案的一部分,也会更改哈希值)等。在小型网络中,推出软件限制的最简单方法是选择一个实验用户(实习生等)并向他们部署限制。您会立即发现 80% 的错误。
微软也有大量关于该主题的文献。这些文献虽然枯燥,但却是知识宝库。请查看科技网。