在 Google 上搜索了这个问题但没有找到答案,我想让我的域用户能够仅从我将创建并将文件放入的网络共享路径运行批处理文件。可以通过 GPO 做到这一点吗?
答案1
Windows 10 有两种不同的技术来限制用户运行批处理文件、可执行文件或应用程序。首先是较旧的软件限制策略其次应用程序锁
由于 Windows 10 1803 软件限制策略已弃用并且不再推荐所以我将限制自己使用 Applocker。
您可以通过 GPO 实施 Applocker 策略,并使用它来限制或允许脚本/exe/应用程序/dll
您需要创建一个新的 GPO,在其中导航至“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“应用程序控制策略”->“Applocker”
执行
首先,您需要“配置规则执行”,在那里您需要在“脚本规则”处设置复选标记,并可以在“执行规则”和“仅审计”之间做出决定。
强制规则用于强制计算机遵守规则,而“仅审核”仅生成 Windows 事件,该事件将指示当前规则是否会阻止或允许某些操作运行。建议使用“仅审核”,直到明确启用规则是否会破坏重要内容。
规则
这里有不同类别
- 可执行规则
- Windows 安装程序规则
- 脚本规则
- 打包应用规则
您需要编辑脚本规则。这些规则将强制执行,例如ps1
或bat
文件(更多详情请见此处)
首次编辑规则集时,Windows 会提示您是否要添加默认规则通常这些规则不会破坏任何东西,可以放心添加。
Applocker 策略将默认失败关闭这意味着如果您没有定义策略来处理正常用例,这些策略将被阻止!
然后,您可以通过右键单击“脚本规则”,然后单击“创建新规则...”来创建新规则。
规则创建对话框或多或少是不言自明的。您需要的是允许脚本从给定路径运行的“路径规则”。
请注意\\server
和\\server.fqdn.com
是不同的路径
启用 Applocker
为了使 Applocker 运行,需要满足一些条件。
- 如果您想通过 GPO 1.1 进行管理,则需要 Windows 10 Education 或 Enterprise。如果没有,您仍然可以通过 powershell 管理 Applocker。
- 您需要启用并自动启动“应用程序标识服务”