Doy clases de programación en Visual Studio. Queremos ejecutarlo en un servidor terminal. El problema es que cada vez que compilamos nuestros programas, Windows se niega a iniciar el archivo exe creado. (Ni siquiera sabía que existía la capacidad de bloquear todos los archivos exe. Y no es muy divertido cuando programamos). Se muestra un cuadro de mensaje que dice que la ejecución de archivos exe está bloqueada por la política de grupo. Se aplica tanto a programas .NET como a programas exe simples de Win32. El problema es que nuestros administradores de TI dicen que no saben por qué sucede esto ni cómo desactivar el bloqueo. ¿Alguien puede ayudar?
Respuesta1
En primer lugar, espero que su servidor terminal sea una máquina virtual. Antes de continuar, asegúrese de tener una instantánea limpia de la VM. Uno de sus estudiantes aprovechará la capacidad de ejecutar aplicaciones arbitrarias y arruinar su servidor. Debe volver a la instantánea periódicamente y siempre hacerlo inmediatamente antes de aplicar parches o instalar o actualizar software. Luego, tome una instantánea una vez hecho esto, pero antes de que alguien pueda usar el servidor. De esa manera, cuando alguien manipule su servidor, todo lo que tendrá que hacer es revertir la instantánea.
Hay un par de formas de restringir la ejecución de programas.
En la política de grupo, hay dos áreas a considerar
Policies -> Windows Settings -> Security Settings
:Application Control Policies
ySoftware Restriction Policies
.También está la
RestrictRun
clave de registro.Y por último, las aplicaciones de terceros pueden utilizar la clave de registro
Appinit_DLLs
.
Respuesta2
¿Todos los archivos exe, incluidos calc.exe, notepad.exe y explorer.exe, o solo algunos archivos exe? Hay diferentes enfoques al respecto.
Si está intentando bloquear un único ejecutable con el que está familiarizado, puede desactivarlo desde un GPO usando la configuración: Configuración de usuario/Plantillas administrativas/Sistema/No ejecutar aplicaciones de Windows específicas.
Otra opción es especificar solo las aplicaciones que desea permitir. Usando: Configuración de usuario/Plantillas administrativas/Sistema/Ejecutar solo aplicaciones de Windows especificadas. Esta probablemente requeriría mucho trabajo para completarla en un sistema con muchas aplicaciones instaladas o en un entorno corporativo. .
Ninguna de las dos configuraciones mencionadas tiene en cuenta que un usuario puede nombrar su archivo exe como quiera, por lo que cambiar el nombre de mydangerousapp.exe a explorer.exe lo convertiría en un ejecutable perfectamente legítimo.