我们试图阻止用户运行我们未明确批准的各种命令。我们已经实施了 Applocker,但这并不能阻止用户运行以 rundll32.exe 或 regsvr32.exe 开头的命令。在以前版本的 Windows 中,组策略设置“从开始菜单中删除运行菜单”就足够了。但在 Windows 10 中,当用户开始在搜索中输入任何命令时,即使强制执行该 GP 设置,该命令也会运行。
有什么方法可以防止这种情况发生吗?这是一个重大的安全问题,令我惊讶的是,通常更安全的 Windows 10 在这个问题上实际上并没有那么安全。
如果没有,至少有一种方法可以阻止访问搜索字段?我已经在任务栏上找到了它(即使我将其设置为“隐藏”,用户也可以将其切换回“显示搜索图标”或“显示搜索框”),在程序的字母列表中(“搜索”下)以及通过 Windows+S 和 Windows+Q 热键。
我尝试重命名文件夹 C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy
这确实完全禁用了搜索功能,但对于我们的需求来说太过分了。它会阻止用户从“开始”菜单运行他们的程序。例如,他们不能直接输入“Word”并打开 Microsoft Word。
欢迎任何想法。
谢谢!
大卫
答案1
我知道您发布这个问题已经很长时间了,但我还是想让您知道我们是如何处理这个问题的,因为它可能仍然对您或其他人有所帮助。
我们已使用 AppLocker 禁用搜索功能,然后在桌面上放置常用应用程序(例如 Office)的快捷方式。我们还部署了开始菜单布局,其中包含所有常用应用程序的图块,因此 Word、Excel 等在开始菜单上都有图块。我知道您不想完全禁用搜索功能,但也许开始菜单布局和桌面可以成为可接受的折衷方案?
为了配置 AppLocker 来阻止搜索功能,我创建了以下规则:
注意:对于从未使用过 AppLocker 的用户,可以在此处找到
COMPUTER Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker
在下面,Packaged app Rules我创建了一个具有以下设置的策略。我选择默认允许所有程序包,并为我想要禁用的任何程序包创建例外。您可以改为为 Cortana 程序包配置拒绝规则。
Action: Allow
User: Everyone
Publisher: *
Package name: *
Package version: 0.0.0.0 And above
Exceptions:
Publisher: CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Package name: Microsoft.Windows.Cortana
Package version: * And above
然后,我创建了另一条规则,允许所有包无一例外地运行,并将其应用于包含我自己和我同事的安全组(例如 DOMAIN\IT Support),以阻止它阻止我们访问我的第一条规则阻止的所有内容。(注意:我发现使用管理员组对此效果不佳,因为您需要提升您的帐户/以管理员身份运行才能使用任何被阻止的内容。使用另一个组(例如“IT 支持人员”)效果要好得多)。
为了部署星形菜单布局,我启用了以下策略:
USER Configuration\Policies\Administrative Templates\Start Menu and Taskbar\Start Layout File
我将布局文件存储在可访问的共享中,并将策略指向该共享。以下是布局文件的示例:
<LayoutModificationTemplate Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6" xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout">
<start:Group Name="Internet" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="Microsoft.Windows.Computer" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="Chrome" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="N:\" />
</start:Group>
<start:Group Name="Office" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
<start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSACCESS.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\ONENOTE.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\EXCEL.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\WINWORD.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\POWERPNT.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSPUB.EXE" />
<start:Tile Size="2x2" Column="0" Row="4" AppUserModelID="Microsoft.Office.Sway_8wekyb3d8bbwe!Microsoft.Sway" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="4" DesktopApplicationID="{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\Adobe\Acrobat 9.0\Acrobat\Acrobat.exe" />
</start:Group>
</defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
您可以通过从自己的“开始”菜单导出布局来创建自己的“开始”菜单布局文件。可以使用以下 powershell 命令完成此操作:
Export-StartLayout –path <path><file name>.xml
更多信息请点击这里:自定义和导出“开始”布局(docs.microsoft.com)
希望这对某人有帮助。