Мы пытаемся помешать нашим пользователям запускать различные команды, которые мы специально не одобряем. Мы реализовали Applocker, но это не мешает пользователю запускать команды, начинающиеся с rundll32.exe или regsvr32.exe. В предыдущих версиях Windows было достаточно параметра групповой политики «Удалить меню« Выполнить »из меню« Пуск »». Но в Windows 10, когда пользователь начинает вводить любую команду в поиске, даже с включенной настройкой GP, команда запускается.
Есть ли способ предотвратить это? Это серьезная проблема безопасности, и я удивлен, что Windows 10, которая в целом более безопасна, на самом деле менее уязвима.
Если нет, есть ли способ предотвратить доступ к полю поиска? Я уже нашел его на панели задач (даже если я установил его на «скрытый», пользователь может переключить его обратно на «показывать значок поиска» или «показывать поле поиска»), в алфавитном списке программ (в разделе « Поиск ») и с помощью горячих клавиш Windows + S и Windows + Q.
Я попробовал переименовать папку C: \ Windows \ SystemApps \ Microsoft.Windows.Cortana_cw5n1h2txyewy
Это полностью отключило функцию поиска, но зашло слишком далеко для наших нужд. Это помешало бы пользователям запускать свои программы из меню «Пуск». Например, они не могли просто начать печатать «Word» и открыть Microsoft Word.
Любые идеи приветствуются.
Спасибо!
Дэвид
Я знаю, что прошло много времени с тех пор, как вы разместили этот вопрос, но подумал, что дам вам знать, как мы справились с этой проблемой, поскольку это все еще может помочь вам или кому-то еще.
Мы отключили функцию поиска с помощью AppLocker, а затем разместили ярлыки для часто используемых приложений (например, Office) на рабочем столе. Мы также развернули макет меню «Пуск», который содержит плитки для всех распространенных приложений, поэтому Word, Excel и т. Д. Имеют плитку в меню «Пуск». Я знаю, что вы не хотели полностью отключать функцию поиска, но, может быть, макет меню «Пуск» и рабочий стол могут быть приемлемым компромиссом?
Чтобы настроить AppLocker на блокировку функции поиска, я создал следующее правило:
Примечание: для тех, кто никогда не использовал AppLocker, его можно найти здесь COMPUTER Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker
Под Packaged app Rules
Я создал политику со следующими настройками. Я выбрал Разрешить все пакеты по умолчанию и создать исключения для всего, что я хотел отключить. Вместо этого вы можете просто настроить правило запрета для пакета Cortana.
Action: Allow
User: Everyone
Publisher: *
Package name: *
Package version: 0.0.0.0 And above
Exceptions:
Publisher: CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Package name: Microsoft.Windows.Cortana
Package version: * And above
Затем я создал другое правило, которое разрешало все пакеты без исключений, и применил его к группе безопасности, которая содержит меня и мои коллеги (например, DOMAIN \ IT Support), чтобы оно не мешало нам доступ ко всему, что блокирует мои первые правила. (ПРИМЕЧАНИЕ: я обнаружил, что использование группы администраторов для этого не работает, так как вам потребуется повысить уровень своей учетной записи / запустить от имени администратора, чтобы использовать все, что было заблокировано. Использование другой группы, такой как «Персонал ИТ-поддержки», работает намного лучше) .
Чтобы развернуть макет звездного меню, я включил следующую политику:
USER Configuration\Policies\Administrative Templates\Start Menu and Taskbar\Start Layout File
Я сохранил файл макета в доступной общей папке и указал политику на это. Вот пример файла макета:
<LayoutModificationTemplate Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6" xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout">
<start:Group Name="Internet" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="Microsoft.Windows.Computer" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="Chrome" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="N:\" />
</start:Group>
<start:Group Name="Office" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
<start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSACCESS.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\ONENOTE.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\EXCEL.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\WINWORD.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\POWERPNT.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSPUB.EXE" />
<start:Tile Size="2x2" Column="0" Row="4" AppUserModelID="Microsoft.Office.Sway_8wekyb3d8bbwe!Microsoft.Sway" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="4" DesktopApplicationID="{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\Adobe\Acrobat 9.0\Acrobat\Acrobat.exe" />
</start:Group>
</defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
Вы можете создать свой собственный файл макета меню «Пуск», экспортировав макет из собственного меню «Пуск». Это можно сделать с помощью этой команды powershell:
Export-StartLayout –path <path><file name>.xml
Больше информации здесь: Настройка и экспорт макета начального экрана (docs.microsoft.com)
Надеюсь, это кому-то поможет.