У меня есть настройка GPO, чтобы попытаться предотвратить заражение Cryptolocker систем в нашей среде. Действуют следующие ограничения программного обеспечения:
%AppData%\*.exe %AppData%\*\*.exe %LocalAppData%\Temp\*.zip\*.exe %LocalAppData%\Temp\7z*\*.exe %LocalAppData%\Temp\Rar*\*.exe %LocalAppData%\Temp\wz*\*.exe %UserProfile%\Local Settings\Temp\*.7z\*.exe %UserProfile%\Local Settings\Temp\*.rar\*.exe %UserProfile%\Local Settings\Temp\*.wz\*.exe %UserProfile%\Local Settings\Temp\*.zip\*.exe
При попытке установить Firefox я получаю следующую ошибку:
Доступ к C: \ Users \ jdoe \ AppData \ Local \ Temp \ 7zSA1FB.tmp \ setup-stub.exe был ограничен вашим администратором по местоположению с правилом политики {0cbe13527-3132-4e4c-5df1-c48de858c993}, расположенным по пути C : \ Users \ jdoe \ AppData \ Local \ Temp \ 7z * \ *. Exe.
Я добавил в объект групповой политики приведенное ниже правило и установил неограниченное значение, но оно не работает:
% LocalAppData% \ Temp \ 7z * .tmp \ setup-stub.exe
Кто-нибудь может сказать мне, что я делаю не так? Я не могу использовать точное имя папки (в данном случае 7zS189F.tmp), поскольку каждый раз, когда он устанавливает, имя папки немного отличается, поэтому мне нужно иметь возможность использовать подстановочный знак.
Заранее благодарим за помощь.
С участием SRP более консервативное правило имеет приоритет. То есть, запретить имеет приоритет над позволять.
Ваше разрешающее правило %LocalAppData%\Temp\7z*.tmp\setup-stub.exe
функционально эквивалентно вашему правилу запрета %LocalAppData%\Temp\7z*\*.exe
. Два правила пути, содержащие подстановочные знаки, которые вы использовали, при оценке приоритета рассматриваются как одно и то же.
Из Как работают политики ограниченного использования программ:
Приоритет правила пути
При наличии нескольких правил сопоставления пути приоритет имеет наиболее конкретное правило сопоставления.
Ниже приводится набор путей от наивысшего приоритета (более конкретное совпадение) до самого низкого приоритета (более общее совпадение):
- Диск: \ Folder1 \ Folder2 \ FileName.Extension
- Диск: \ Folder1 \ Folder2 * .Extension
- *. Расширение
- Диск: \ Folder1 \ Folder2 \
- Диск: \ Folder1 \
Ваши конфликтующие правила соответствуют второму примеру и считаются имеющими эквивалентный приоритет. Благодаря этому правило запрета «побеждает».
Была та же проблема, та же причина (объекты групповой политики, предназначенные для блокировки установки программ-вымогателей). Мои объекты групповой политики назначены отдельным подразделениям, так что на временной основе это было довольно легко обойти:
Хотя он не получает награды за элегантность, это временное решение.
Сегодня утром я столкнулся с той же проблемой, у меня есть групповая политика для предотвращения шифрования, и мне нужно было установить FF на одном компьютере.
Вот как выглядит процесс:
Введите следующие команды: (в этом примере используется c: \ temp)
установить temp = c: \ temp
установить tmp = c: \ temp
cd \ temp
Запустите настройку firefox.
Сработало для меня как шарм.