Dan Asked: 2012-06-07 11:01:29 +0800 CST2012-06-07 11:01:29 +0800 CST 2012-06-07 11:01:29 +0800 CST 阻止 EXE 在 XP Domain 环境中执行 772 我想知道是否有人可以指出正确的方向,告诉我如何阻止特定的 exe 文件在域环境中的 XP 机器上执行。 我有活动目录设置和工作,所以这是一个可能的工具。 我知道如何按名称阻止 exe,但人们可以更改文件的名称并再次启动它。 无论用户将文件名更改为什么,有没有办法阻止特定的 exe? 谢谢! windows active-directory domain block 4 个回答 Voted Best Answer Jim B 2012-06-07T11:15:58+08:002012-06-07T11:15:58+08:00 您正在寻找的是软件限制政策。如果您想阻止特定的应用程序,您将创建一个散列规则。但是你不应该。 总会有另一个你想要阻止的东西,或者旧东西的更新版本。除了您希望在机器上允许的内容之外,最好禁止所有内容。那时,您只维护为软件添加的内容。 joeqwerty 2012-06-07T11:11:51+08:002012-06-07T11:11:51+08:00 您可以在组策略中的软件限制策略中创建哈希规则来限制程序,而不管它的名称。我的建议是为此创建一个新的 GPO,而不是修改现有的 GPO(例如默认域策略),并在将其推广到企业范围之前测试对选定计算机和/或用户的影响。 http://technet.microsoft.com/en-us/library/bb457006.aspx 编辑 作为对 Jim B 的回答的回应:从长远来看,使用他将可以运行的应用程序列入白名单的方法比将无法运行的应用程序列入黑名单的方法更易于管理。采用黑名单方法意味着您将始终评估是否有新版本的黑名单应用程序,您是否知道用户正在尝试安装的应用程序等等。 0xC0000022L 2012-06-07T11:15:44+08:002012-06-07T11:15:44+08:00 我强烈建议您看看TrustNoExe。它不完全符合要求——因为它是一个将所有内容列入黑名单的解决方案,你必须.exe自己将单个文件列入白名单,但解决这个问题的内部方式非常好,而且非常安全。 RonnieMalavoie 2013-02-23T07:22:57+08:002013-02-23T07:22:57+08:00 从您的默认域组策略,您需要转到此处: 用户配置 -> 策略 -> Windows 设置 -> 安全设置 -> 软件限制策略 -> 附加规则 然后,您根据 exe 的哈希创建一个新策略。 在每台计算机上应用更改并强制更新:gpupdate /force 参考:http ://techsultan.com/deny-specific-application-in-active-directory-gpo/
您正在寻找的是软件限制政策。如果您想阻止特定的应用程序,您将创建一个散列规则。但是你不应该。
总会有另一个你想要阻止的东西,或者旧东西的更新版本。除了您希望在机器上允许的内容之外,最好禁止所有内容。那时,您只维护为软件添加的内容。
您可以在组策略中的软件限制策略中创建哈希规则来限制程序,而不管它的名称。我的建议是为此创建一个新的 GPO,而不是修改现有的 GPO(例如默认域策略),并在将其推广到企业范围之前测试对选定计算机和/或用户的影响。
http://technet.microsoft.com/en-us/library/bb457006.aspx
编辑
作为对 Jim B 的回答的回应:从长远来看,使用他将可以运行的应用程序列入白名单的方法比将无法运行的应用程序列入黑名单的方法更易于管理。采用黑名单方法意味着您将始终评估是否有新版本的黑名单应用程序,您是否知道用户正在尝试安装的应用程序等等。
我强烈建议您看看TrustNoExe。它不完全符合要求——因为它是一个将所有内容列入黑名单的解决方案,你必须
.exe自己将单个文件列入白名单,但解决这个问题的内部方式非常好,而且非常安全。从您的默认域组策略,您需要转到此处:
用户配置 -> 策略 -> Windows 设置 -> 安全设置 -> 软件限制策略 -> 附加规则
然后,您根据 exe 的哈希创建一个新策略。
在每台计算机上应用更改并强制更新:gpupdate /force
参考:http ://techsultan.com/deny-specific-application-in-active-directory-gpo/