我们试图阻止我们的networking上的普通用户(mmc,cmd,ldp等)执行某些系统相关的可执行文件。 我build议使用软件哈希规则,但是我担心可能会通过GPO实施软件限制而不是通过GPO更改可执行文件的权限,从而产生意想不到的影响。
当我通过GPO从无限制切换到使用软件限制时,networking上会发生什么变化? 我们有一个很小的独立networking,看不到很多stream量。 散列规则应该是有效的,但是我不想通过设置它来引起其他问题。
软件限制是一个强大的工具,也是一个有趣的话题:
首先,要直接回答你的问题,对networking本身应该几乎没有影响。 软件限制完全在客户端执行。 当客户端最初从服务器下载规则时,将出现唯一的networkingstream量。 这是作为标准组策略刷新过程的一部分执行的,无论如何,软件限制都会发生。
至于对你的用户的影响,这很大程度上取决于你事先做了多lesstesting。 如果你花一天时间从所有你能想到的可执行文件中收集哈希值,把它们放到一个软件限制策略中,然后把开关打开 – 你将会度过一个非常糟糕的一天。 总会有一些你没有想到的东西:将可执行文件复制到奇怪位置的应用程序,自动应用更新的应用程序(这将改变你的散列),自修改的应用程序可执行文件(通常作为古老许可scheme的一部分,哈希)等等。在一个小型的networking中,推出软件限制的最简单的方法是挑一个豚鼠用户(实习生等),并将这些限制部署到他们身上。 你会发现你的错误的80%的权利。
微软也有很多关于这个话题的文献。 这是非常干燥的,但丰富的知识。 查看TechNet上的主题。