由于最近勒索软件爆发(Cryptolocker/Cryptowall 等)带来的工作量,我最近被要求实施软件限制策略以阻止从临时目录执行程序。这通常效果不错,但是当我们需要安装软件时,我们遇到了一个问题,即这些软件限制策略会阻止安装程序访问计算机临时目录。
我们的 Active Directory 层次结构基本上是按照我们的物理站点的思路组织的,我们的 AD 对象分别从域根目录和其特定站点 OU 继承了大约几十个 GPO。因此,我无法选择在域根目录外创建一个阻止策略的 OU(因为不继承特定于站点的组策略设置会导致机器出现大问题,而远程用户的技能不足以解决这些问题),或者将组策略对象重新链接到更靠近子 OU(因为这将涉及数百次取消链接和重新链接操作,我不愿意这样做),或者在每个 OU 上创建一个阻止继承的子 OU(因为在这种情况下我需要执行数百次链接操作)。
话虽如此,我确实需要一种方法来暂时停止应用软件限制策略 GPO,以便我们可以不时安装软件。我最初尝试通过在每个站点创建一个子 OU 并链接一个反向软件限制策略来解决这个问题,认为反向策略的更高优先级将覆盖继承的策略,但这根本不起作用 - RSOP 显示计算机正在获得互补disallow和unrestricted规则,并且disallow在这种情况下规则获胜。
因此,考虑到所有这些(无法重新链接所有 GPO,无法创建简单的继承阻止 OU,优先级更高的 GPO 似乎无法解决我的问题),我该怎么做才能 [暂时] 阻止继承的软件限制 GPO 的应用?假设 Windows 7 客户端位于 Server 2008 R2 FL 域/林上。
答案1
将指定的计算机添加到 Active Directory 安全组,并将该组添加到 GPO,并将“应用策略”设置为“拒绝”(不要完全拒绝,因为这将阻止 GPO 名称枚举,使故障排除变得困难)。然后,根据需要将计算机添加到该组。
答案2
只需使用软件限制策略执行中的“应用于除本地管理员之外的所有用户”设置...你不让所有用户以管理员身份运行...你???
或者,您可以在 GPO 的用户配置部分中定义软件限制策略,然后使用安全过滤允许该 GPO 仅适用于特定安全的用户组。