Мне было интересно, может ли кто-нибудь указать мне в правильном направлении, как заблокировать выполнение определенных exe-файлов на машинах XP в среде домена.
У меня есть активная установка каталога и работа, так что это возможный инструмент.
Я знаю, как заблокировать exe по имени, но тогда люди могут просто изменить имя файла и запустить его снова.
Есть ли способ заблокировать определенные exes независимо от того, на что пользователь меняет имя файла?
Спасибо!
Вы ищете Политики ограниченного использования программ. Если вы хотите заблокировать конкретное приложение, вы должны создать правило хеширования. Однако не стоит.
Всегда будет другая вещь, которую вы хотите заблокировать, или обновленная версия старой вещи. Гораздо лучше запретить все, кроме того, что вы хотите разрешить на машине. На этом этапе вы сохраняете только то, что добавили для программного обеспечения.
Вы можете создать правило хеширования в политиках ограниченного использования программ в групповой политике, чтобы ограничить программу, независимо от ее имени. Я бы порекомендовал создать для этого новый объект групповой политики, а не изменять существующий объект групповой политики (например, политику домена по умолчанию) и протестировать влияние на выбранный компьютер и / или пользователя перед его развертыванием в масштабах всего предприятия.
http://technet.microsoft.com/en-us/library/bb457006.aspx
РЕДАКТИРОВАТЬ
В ответ на ответ Джима Б. В долгосрочной перспективе гораздо удобнее использовать его подход к занесению в белый список приложений, которые могут работать, а не к черному списку приложений, которые не могут работать. Использование подхода с использованием черного списка означает, что вы всегда будете оценивать, есть ли новые версии приложений из черного списка, знаете ли вы о приложениях, которые пользователи пытаются установить, и т. Д. И т. Д.
Я очень рекомендую вам взглянуть на TrustNoExe. Это не совсем соответствует требованию - поскольку это решение, которое помещает все в черный список, и вы должны вносить в белый список отдельных .exe файлы сами, но внутренний способ решения этой проблемы очень приятный и довольно безопасный.
Из вашей групповой политики домена по умолчанию вам нужно перейти сюда:
Конфигурация пользователя -> Политики -> Настройки Windows -> Настройки безопасности -> Политики ограниченного использования программ -> Дополнительные правила
Затем вы создаете новую политику на основе хэша exe.
Применить изменения и принудительно обновить на каждом компьютере: gpupdate / force
Ссылка : http://techsultan.com/deny-specific-application-in-active-directory-gpo/