我正在尝试创建黑名单和白名单,以禁止或允许我的域中的用户安装某些软件和程序。
我刚刚在公司 A OU 中创建了一个 GPO,没有修改任何内容。
当我使用用户(名称为 KT1)登录域时,我无法安装 teamview、cool edit pro 等任何 .exe 文件。但 navicat (.exe) 文件仍可安装在 :D 分区,而 :C 分区不允许。
我不明白它的默认设置是什么,如何设置黑名单、白名单,它是如何工作的......
请帮帮我!我需要一些参考资料,或者一些解释……
谢谢你
答案1
AppLocker 概述
https://technet.microsoft.com/library/hh831440.aspx
根据在应用程序更新过程中保持不变的文件属性定义规则,例如发布者名称(源自数字签名)、产品名称、文件名和文件版本。您还可以根据文件路径和哈希创建规则。
将规则分配给安全组或单个用户。
创建规则例外。例如,您可以创建一条规则,允许所有用户运行除注册表编辑器 (Regedit.exe) 之外的所有 Windows 二进制文件。
使用仅审核模式来部署策略,并在执行之前了解其影响。
在暂存服务器上创建规则,测试它们,然后将它们导出到生产环境并将它们导入到组策略对象中。
通过使用 AppLocker 的 Windows PowerShell cmdlet 简化 AppLocker 规则的创建和管理。
AppLocker 分步方案AppLocker Step-by-Step Scenarios
https://technet.microsoft.com/en-us/library/ee791835(v=ws.10).aspx