我是Microsoft Windows 软件限制策略的忠实粉丝,最近更新了我们的设置。 我对于微软在堆栈中实现这个技术的地方感到好奇。 我可以想象一个非常天真的实现是在Windows资源pipe理器中,当你双击一个EXE或其他阻止的文件types,该资源pipe理器将检查策略。 我称之为天真,因为显然这不能防止某人在CMD窗口中input内容。 或者更糟的是,运行外部应用程序的Adobe Reader。 另一方面,我可以想象软件限制政策几乎可以在金融领域深入实施。 在这种情况下,低级加载器会将有问题的文件加载到内存中,但将内存pipe理器中的内存标记为不可执行的数据。
我敢肯定,微软并没有做最天真的实现,因为如果我使用path块阻塞Java,Internet Explorer将尝试加载Java时崩溃。 这是我想要的。 但是我不确定它的实现有多深,所有的洞察力都将不胜感激。