我想知道是否有人可以指出我在正确的方向如何阻止特定的exe文件在域环境中的XP机器上执行。
我有活动的目录设置和工作,所以这是一个可能的工具。
我知道如何通过名称来阻止exe文件,但是人们可以改变文件的名称并重新启动它。
有没有办法阻止特定的exes无论用户更改文件名?
谢谢!
你正在寻找的是软件限制政策 。 如果你想阻止一个特定的应用程序,你会创build一个哈希规则。 但是你不应该这样做。
总会有另外一件事情要阻止,或者是旧事物的更新版本。 除了你希望在机器上允许的东西之外,禁止一切都好得多。 那时你只是维护你为软件添加的东西。
您可以在组策略中的软件限制策略中创build哈希规则来限制程序,而不pipe它的名称。 我的build议是为此创build一个新的GPO,而不是修改现有的GPO(如默认域策略),并在选定的计算机和/或用户在企业范围内进行testing之前对其进行testing。
http://technet.microsoft.com/en-us/library/bb457006.aspx
编辑
为了回应Jim B的回答:使用他的可以运行的应用程序的白名单方法,而不是将不能运行的应用程序列入黑名单,从长远来看更容易pipe理。 采取黑名单的方法意味着你总是要评估黑名单应用程序是否有新版本,是否知道用户正在尝试安装的应用程序等等。
我会认真地推荐你看看TrustNoExe 。 它不完全符合要求 – 因为它是一个黑名单的解决scheme,你必须自己白名单个人.exe文件,但这个问题正在解决的内部方式是非常好的,这是非常安全的。
从您的默认域组策略你需要去这里:
用户configuration – >策略 – > Windows设置 – >安全设置 – >软件限制策略 – >附加规则
然后你创build一个基于exe的散列的新策略。
在每台计算机上应用更改并强制更新:gpupdate / force
参考: http : //techsultan.com/deny-specific-application-in-active-directory-gpo/