如何阻止.exe从可移动介质(例如USB驱动器)运行?
我有一个用户从运行.exe的移动存储,如记忆棒和SD卡的问题。
我试图设置阻止从所有可移动存储运行的exe文件来解决这个问题,但是在“用户configuration> Windows设置>安全设置>软件限制策略>附加规则”下的组策略设置下,您可以创build一个“path”variables。 我想为所有可移动存储使用一个系统variables,但不知道是否有一个工作。 是否必须为所有可能分配给可移动介质(E:\直到L:\左右)的潜在驱动器号创build一个阻止列表,或者是否有实际可用的驱动器号? 我发现%~dp0显然只适用于for循环,if语句和批处理参数。
如果还有其他的,更好的或者更可靠的措施,请告诉我。
哦,我已经看过AppLocker,但是我们的DC正在运行Server 2008,我相信AppLocker是Windows 7和2008 R2的一部分。 正如在下面的答案中的评论中提到的,我不认为Server 2008具有“拒绝执行访问”设置,所以还有其他的select吗?
- 通过GPO / GPP部署打印机 – 是否有程序化选项?
- 警告用户如果他们尝试注销
- 仅在一台计算机上将GPO应用于一个用户
- 组策略:特定计算机上特定用户的pipe理员权限
- Internet Explorer 9和10组策略首选项丢失
您可以通过GPO停止在可移动设备上执行软件。 该设置位于计算机>pipe理模板>系统>可移动存储访问>可移动磁盘:拒绝执行访问
编辑:
您有权访问Server 2008 R2系统吗? 如果是这样,您可以创build策略设置,将其备份到磁盘并将其传输到Server 2008系统并将策略导回。 这不会给你修改策略的能力,但你应该能够看到Extra Registry Settings ,它应该在Windows 7客户端上正常工作。
如果有帮助,我刚刚创build了一个这样的政策的备份,并把它放在Dropbox上供您下载。 通常使用风险等适用。
某些企业防病毒产品(例如McAfee , Sophos , Symantec )将此function包括在内,可以集体启用。 也许你的企业反病毒解决scheme有这个function。