La política de grupo está bloqueando archivos exe

Question 1

En primer lugar, espero que su servidor terminal sea una máquina virtual. Antes de continuar, asegúrese de tener una instantánea limpia de la VM. Uno de sus estudiantes aprovechará la capacidad de ejecutar aplicaciones arbitrarias y arruinar su servidor. Debe volver a la instantánea periódicamente y siempre hacerlo inmediatamente antes de aplicar parches o instalar o actualizar software. Luego, tome una instantánea una vez hecho esto, pero antes de que alguien pueda usar el servidor. De esa manera, cuando alguien manipule su servidor, todo lo que tendrá que hacer es revertir la instantánea.

Hay un par de formas de restringir la ejecución de programas.

En la política de grupo, hay dos áreas a considerar Policies -> Windows Settings -> Security Settings: Application Control Policiesy Software Restriction Policies.
También está la RestrictRunclave de registro.
Y por último, las aplicaciones de terceros pueden utilizar la clave de registro Appinit_DLLs.

Answer

En primer lugar, espero que su servidor terminal sea una máquina virtual. Antes de continuar, asegúrese de tener una instantánea limpia de la VM. Uno de sus estudiantes aprovechará la capacidad de ejecutar aplicaciones arbitrarias y arruinar su servidor. Debe volver a la instantánea periódicamente y siempre hacerlo inmediatamente antes de aplicar parches o instalar o actualizar software. Luego, tome una instantánea una vez hecho esto, pero antes de que alguien pueda usar el servidor. De esa manera, cuando alguien manipule su servidor, todo lo que tendrá que hacer es revertir la instantánea.

Hay un par de formas de restringir la ejecución de programas.

En la política de grupo, hay dos áreas a considerar Policies -> Windows Settings -> Security Settings: Application Control Policiesy Software Restriction Policies.
También está la RestrictRunclave de registro.
Y por último, las aplicaciones de terceros pueden utilizar la clave de registro Appinit_DLLs.

Question 2

¿Todos los archivos exe, incluidos calc.exe, notepad.exe y explorer.exe, o solo algunos archivos exe? Hay diferentes enfoques al respecto.

Si está intentando bloquear un único ejecutable con el que está familiarizado, puede desactivarlo desde un GPO usando la configuración: Configuración de usuario/Plantillas administrativas/Sistema/No ejecutar aplicaciones de Windows específicas.

Otra opción es especificar solo las aplicaciones que desea permitir. Usando: Configuración de usuario/Plantillas administrativas/Sistema/Ejecutar solo aplicaciones de Windows especificadas. Esta probablemente requeriría mucho trabajo para completarla en un sistema con muchas aplicaciones instaladas o en un entorno corporativo. .

Ninguna de las dos configuraciones mencionadas tiene en cuenta que un usuario puede nombrar su archivo exe como quiera, por lo que cambiar el nombre de mydangerousapp.exe a explorer.exe lo convertiría en un ejecutable perfectamente legítimo.

Answer

¿Todos los archivos exe, incluidos calc.exe, notepad.exe y explorer.exe, o solo algunos archivos exe? Hay diferentes enfoques al respecto.

Si está intentando bloquear un único ejecutable con el que está familiarizado, puede desactivarlo desde un GPO usando la configuración: Configuración de usuario/Plantillas administrativas/Sistema/No ejecutar aplicaciones de Windows específicas.

Otra opción es especificar solo las aplicaciones que desea permitir. Usando: Configuración de usuario/Plantillas administrativas/Sistema/Ejecutar solo aplicaciones de Windows especificadas. Esta probablemente requeriría mucho trabajo para completarla en un sistema con muchas aplicaciones instaladas o en un entorno corporativo. .

Ninguna de las dos configuraciones mencionadas tiene en cuenta que un usuario puede nombrar su archivo exe como quiera, por lo que cambiar el nombre de mydangerousapp.exe a explorer.exe lo convertiría en un ejecutable perfectamente legítimo.

La política de grupo está bloqueando archivos exe

Respuesta1

Respuesta2

información relacionada