我有一个 GPO 设置来尝试防止 Cryptolocker 感染我们环境中的系统。存在以下软件限制:
%AppData%\*.exe %AppData%\*\*.exe %LocalAppData%\Temp\*.zip\*.exe %LocalAppData%\Temp\7z*\*.exe %LocalAppData%\Temp\Rar*\*.exe %LocalAppData%\Temp\wz*\*.exe %UserProfile%\Local Settings\Temp\*.7z\*.exe %UserProfile%\Local Settings\Temp\*.rar\*.exe %UserProfile%\Local Settings\Temp\*.wz\*.exe %UserProfile%\Local Settings\Temp\*.zip\*.exe
尝试安装 Firefox 时出现以下错误:
对 C:\Users\jdoe\AppData\Local\Temp\7zSA1FB.tmp\setup-stub.exe 的访问权限已由管理员按位置限制,策略规则 {0cbe13527-3132-4e4c-5df1-c48de858c993} 放置在路径 C :\Users\jdoe\AppData\Local\Temp\7z*\*.exe。
我已将以下规则添加到 GPO 并设置为不受限制,但它不起作用:
%LocalAppData%\Temp\7z*.tmp\setup-stub.exe
有人可以告诉我我做错了什么吗?我不能使用确切的文件夹名称(在这种情况下为 7zS189F.tmp),因为每次安装时文件夹名称都略有不同,因此我需要能够使用通配符。
提前感谢你的帮助。
对于SRP,更保守的规则优先。也就是说,disallow优先于allow。
您的允许规则
%LocalAppData%\Temp\7z*.tmp\setup-stub.exe在功能上等同于您的禁止规则%LocalAppData%\Temp\7z*\*.exe。包含您使用的通配符的两个路径规则在优先级评估中被视为相同。从软件限制策略如何工作:
您的冲突规则与第二个示例匹配,并被视为具有同等优先级。因此,不允许规则“获胜”。
有同样的问题,同样的原因(旨在阻止勒索软件安装的 GPO)。我将我的 GPO 分配给单独的 OU,因此这很容易临时规避:
虽然它没有因优雅而赢得任何奖项,但它是一种临时的解决方法。
今天早上我遇到了同样的问题,我有防止密码锁的组策略,我需要在单台机器上安装 FF。
这是过程:
键入这些命令:(此示例使用 c:\temp)
设置温度 = c:\temp
设置 tmp = c:\temp
cd \temp
运行您的 Firefox 设置。
对我来说就像一个魅力。