Eu ensino programação em Visual Studio. Queremos executá-lo em um servidor de terminal. O problema é que sempre que compilamos nossos programas, o Windows se recusa a iniciar o arquivo exe criado. (Eu nem sabia que existia a capacidade de bloquear todos os arquivos exe. E não é muito engraçado quando fazemos programação.) Uma caixa de mensagem é mostrada, dizendo que a execução de arquivos exe está bloqueada pela política de grupo. Aplica-se a programas .NET e Win32 simples. O problema é que nossos administradores de TI dizem que não sabem por que isso acontece e como desativar o bloqueio. Alguém pode ajudar?
Responder1
Em primeiro lugar, espero que o seu servidor de terminal seja uma máquina virtual. Antes de continuar, certifique-se de ter um instantâneo limpo da VM. Um de seus alunos aproveitará a capacidade de executar aplicativos arbitrários e bagunçar seu servidor. Você deve reverter para o instantâneo periodicamente e sempre reverter imediatamente antes de aplicar patches ou instalar ou atualizar software. Em seguida, tire um instantâneo depois de fazer isso, mas antes que alguém possa usar o servidor. Dessa forma, quando alguém mangueira seu servidor, tudo o que você precisa fazer é reverter o instantâneo.
Existem algumas maneiras de restringir a execução de programas.
Na política de grupo, há duas áreas a serem analisadas
Policies -> Windows Settings -> Security Settings
:Application Control Policies
eSoftware Restriction Policies
.Há também a
RestrictRun
chave de registro.E, finalmente, aplicativos de terceiros podem usar a chave de registro
Appinit_DLLs
.
Responder2
Todos os arquivos exe, incluindo calc.exe, notepad.exe e explorer.exe ou apenas alguns arquivos exe? Existem diferentes abordagens para isso.
Se você estiver tentando bloquear um único executável com o qual está familiarizado, poderá desabilitá-lo em um GPO usando a configuração: Configuração do usuário/Modelos administrativos/Sistema/Não executar aplicativos especificados do Windows
Outra opção é especificar apenas os aplicativos que você deseja permitir Usando: Configuração do Usuário/Modelos Administrativos/Sistema/Executar apenas aplicativos Windows especificados Este provavelmente daria muito trabalho para preencher um sistema com muitos aplicativos instalados ou para um ambiente corporativo .
Nenhuma das duas configurações mencionadas leva em consideração que um usuário pode nomear seu arquivo exe como quiser, então renomear mydangerousapp.exe para explorer.exe o tornaria um executável perfeitamente legítimo.