谷歌搜尋了這個問題,但沒有找到答案,我想讓我的網域用戶能夠僅從我將創建並將文件放入的網路共享路徑運行批次檔。可以透過 GPO 來實現嗎?
答案1
Windows 10 有兩種不同的技術來限制使用者執行批次檔、執行檔或應用程式。首先是年紀較大的軟體限制策略其次有應用鎖
自 Windows 10 1803 軟體限制策略開始已棄用並且不再推薦,所以我將限制自己使用 Applocker。
您可以透過 GPO 實作 Applocker 策略,並可以使用它來限製或允許腳本/exes/apps/dll
您需要建立一個新的 GPO,在其中需要導航到“電腦配置”>“策略”>“Windows 設定”>“安全性設定”>“應用程式控制策略”->“Applocker”
執行
首先,您需要“配置規則執行”,您需要在“腳本規則”處設定複選標記,並可以在“執行規則”和“僅審核”之間進行選擇。
強制規則用於強制電腦遵守規則,而「僅審核」只是產生一個 Windows 事件,該事件將指示當前規則是否會阻止或允許某些內容運行。建議使用“僅審核”,直到明確啟用規則是否會破壞重要的內容。
規則
那裡有不同的類別
- 可執行規則
- Windows 安裝程式規則
- 腳本規則
- 打包應用規則
在您的情況下,您需要編輯腳本規則。這些規則將針對例如ps1或文件執行bat(請參閱此處以了解更多信息)
第一次編輯規則集時,Windows 應提示您是否要新增預設規則通常這些規則不應該破壞任何東西,並且可以添加而不必太擔心。
預設情況下,Applocker 策略將無法關閉這意味著如果您沒有定義策略來處理正常用例,那麼這些用例將被阻止!
然後,您可以透過右鍵單擊“腳本規則”,然後按一下“建立新規則...”來建立新規則。
規則創建對話框或多或少是不言自明的。您想要的是一個“路徑規則”,它將允許腳本從給定路徑運行。
請注意\\server和\\server.fqdn.com是不同的路徑
啟用Applocker
Applocker 要運行,需要滿足一些條件。
- 如果您想透過 GPO 1.1 進行管理,則需要 Windows 10 教育版或企業版。如果不這樣做,您仍然可以透過 powershell 管理 Applocker。
- 您需要啟用並自動啟動“應用程式身份服務”