我有一个GPO设置,试图防止Cryptolocker感染我们环境中的系统。 下面的软件限制已经到位:
%AppData%\*.exe %AppData%\*\*.exe %LocalAppData%\Temp\*.zip\*.exe %LocalAppData%\Temp\7z*\*.exe %LocalAppData%\Temp\Rar*\*.exe %LocalAppData%\Temp\wz*\*.exe %UserProfile%\Local Settings\Temp\*.7z\*.exe %UserProfile%\Local Settings\Temp\*.rar\*.exe %UserProfile%\Local Settings\Temp\*.wz\*.exe %UserProfile%\Local Settings\Temp\*.zip\*.exe
当试图安装Firefox我得到以下错误:
访问C:\ Users \ jdoe \ AppData \ Local \ Temp \ 7zSA1FB.tmp \ setup-stub.exe已被pipe理员按位置限制,pathC上放置了策略规则{0cbe13527-3132-4e4c-5df1-c48de858c993} :\用户\ JDOE \应用程序数据\本地的\ Temp \ 7Z * \ *。exe文件。
我已经将下面的规则添加到GPO并设置为不受限制,但不起作用:
%LOCALAPPDATA%\ TEMP \ 7Z * .TMP \ SETUP,stub.exe
有人可以告诉我我做错了吗? 我不能使用确切的文件夹名称(在这种情况下是7zS189F.tmp),因为每次安装文件夹名称都稍有不同,所以我需要能够使用通配符。
提前感谢你的帮助。
对于SRP,更保守的规则优先 。 也就是说, 禁止优先于允许 。
您的允许规则%LocalAppData%\Temp\7z*.tmp\setup-stub.exe在function上等同于您的禁止规则%LocalAppData%\Temp\7z*\*.exe 。 包含您使用的通配符的两个path规则在优先级评估中被视为相同。
从软件限制政策如何工作 :
path规则优先
当存在多条匹配的path规则时,最具体的匹配规则优先。
以下是从最高优先级(更具体匹配)到最低优先级(更一般匹配)的一组path:
- 驱动器:\ Folder1中\文件夹2 \ FileName.Extension
- 驱动器:\ Folder1中\文件夹2 *。扩展名
- *。延期
- 驱动器:\ Folder1中\文件夹2 \
- 驱动器:\ Folder1中\
您的冲突规则与第二个示例相匹配,并被视为等同的优先级。 因为这个禁止规则“胜利”。
有同样的问题,同样的原因(GPO旨在阻止勒索软件安装)。 我把我的GPO分配给单独的OU,所以这样做很容易在临时情况下绕过:
虽然它没有赢得任何优雅的奖项,这是一个临时的解决方法。
今天早上我遇到了同样的问题,我有组策略来防止encryption锁,我需要在一台机器上安装FF。
过程如下:
键入以下命令:(c:\ temp用于此示例)
设置temp = c:\ temp
设置tmp = c:\ temp
cd \ temp
运行你的Firefox设置。
为我工作就像一个魅力。