除Admin之外,所有用户只能在Windows Server中运行特定的应用程序。
我在Windows Server中是新的。 我所做的是:为每个用户,我更改了环境configuration,然后在“本地用户和组\用户”下的“login时启动以下程序”。
它工作的很好,当用户login时,应用程序会自动执行。 他们没有看到桌面。 当他们closures应用程序时,会话也会自动注销。 但是有两个问题:
1 – 从应用程序,使用打开或保存文件选项,他们可以看到单元C:中的所有文件夹。 我试图拒绝整个C的权限:但一堆错误出现。
2 – 如果他们按Ctrl + Alt + Del,他们可以访问任务pipe理器,从那里,他们可以执行任何其他程序。 我试图拒绝从安全表访问TASKMGR.EX,但添加组或用户的“添加”button被禁用。
我怎样才能解决这两个问题?
谢谢
您可能想看看微软的AppLocker技术。
AppLocker是Windows Server 2008 R2和Windows 7中的一项新function,可提高软件限制策略的function。 AppLocker包含新的function和扩展,允许您创build规则以允许或拒绝应用程序基于文件的唯一标识运行,并指定哪些用户或组可以运行这些应用程序。
使用AppLocker,您可以:
•控制以下types的应用程序:可执行文件(.exe和.com),脚本(.js,.ps1,.vbs,.cmd和.bat),Windows安装程序文件(.msi和.msp)以及DLL文件(.dll和.ocx)。
•根据从数字签名派生的文件属性定义规则,包括发布者,产品名称,文件名和文件版本。 例如,您可以基于通过更新持续存在的发布者属性创build规则,也可以为特定版本的文件创build规则。
•将规则分配给安全组或单个用户。
•创build规则的例外。 例如,您可以创build一个允许除registry编辑器(Regedit.exe)以外的所有Windows进程运行的规则。
•在执行之前,使用仅审计模式来部署策略并了解其影响。
•导入和导出规则。 进出口影响整个政策。 例如,如果您导出策略,则会导出所有规则集合中的所有规则,包括规则集合的强制设置。 如果您导入策略,则会覆盖现有策略中的所有条件。
•通过使用Windows PowerShell cmdlet简化创build和pipe理AppLocker规则。