Назад | Перейти на главную страницу

Политика ограниченного использования программ GPO

Просто небольшой вопрос: я пытаюсь заблокировать запуск exe и тому подобного с домашних дисков пользователей, но при этом возникают проблемы. Конечно, я могу добавить правило хеширования для всех исполняемых файлов, но это утомительная работа. Я могу добавить правило пути как «H: *. Exe», и это работает, но только на диске H: \, если exe находится в «H: \ SomeFolder2949 \», то он не блокируется. Я пробовал использовать подстановочные знаки и т. Д. Как "H: **. Exe", но это не работает ... в техническом документе конкретно указано следующее:

When a path rule specifies a folder, it matches any program
contained in that folder and any programs contained in subfolders.

и это для меня говорит, что он будет соответствовать чему-либо в папке и подпапках ... затем он противоречит сам себе и говорит ...

The administrator must define all directories for launching a 
specific application in the path rule. For example, if the 
administrator creates a shortcut on the desktop to launch 
an application, then in the path rule, the administrator 
must also grant the user Read access rights to both the 
executable file and the shortcut paths to run the application. 
If all the path information necessary for launching the 
application in the path rule is not defined, it can trigger 
the Software Restricted warning when the user attempts to run 
the application.

Итак, я сбит с толку .... могу ли я получить правила пути для соответствия вложенным папкам или нет? Если да, то как?

Спасибо.

Примечание от Microsoft обо всех подпапках применимо только в том случае, если вы укажете только папку, например C: \ Users. Это блокирует все исполняемые файлы во всех подпапках.

Но, как вы правильно заметили, если вы укажете C: \ Users * .exe для блокировки только файлов с расширением exe, они будут заблокированы только в C: \ Users, а не, например, в C: \ Users \ Tom.

У меня тоже нет ответа, извините. Тот же вопрос здесь: Windows - политика ограниченного использования программ для блокировки исполняемых файлов во всех подкаталогах. К сожалению, единственный ответ там не отвечает на вопрос.

Кстати, другая проблема, связанная с файлами LNK, во второй цитате от Microsoft, может быть решена путем удаления файлов LNK из файлов списка, на которые влияет SRP.

Если вы используете Windows 2008 R2, вы можете использовать фильтрацию файлов, чтобы предотвратить появление .exe.