我正在开发一个基于 VM 的桌面解决方案,其中一个要求是限制普通用户运行特定程序,例如 putty。我探索了 GPO 方法——如果用户足够聪明,将 putty.exe 从远程文件夹复制到自己的配置文件文件夹并从那里运行,则“黑名单”模式很容易被破解;而“白名单”的设置和维护实在是太麻烦了。
我想知道是否有办法阻止用户将文件复制到 C:驱动器——他们仍然需要写权限,因为有其他程序正在写入日志文件。
谢谢您,欢迎提供任何其他选择。
答案1
如果你想阻止用户运行程序,也许只需向用户组授予读取(而不是读取和执行)权限?这并不能解决禁止的问题具体的程序;不确定有没有办法在没有黑名单的情况下做到这一点。不过,绕过黑名单的方法有很多——许多程序都具有相同的功能。
限制特定程序执行的总体目标是什么?