Windows-pelien / ohjelmiston poistaminen käytöstä GPO-ohjelmiston rajoitusten avulla - Miten

Windows-pelien / ohjelmiston poistaminen käytöstä GPO-ohjelmiston rajoitusten avulla

Joskus sinun tarvitsee vain poistaa käytöstä tiettyihin ohjelmiin, kansioihin, joita ei voi suorittaa verkossa. Ryhmäkäytäntöä käyttämällä voit poistaa näihin kohteisiin pääsyn tiedostojen / pathname-, hash-arvojen ja muiden avulla.

Tässä Microsoftin blurb:

Järjestelmänvalvojat voivat käyttää ohjelmistoja koskevia rajoituksia, jotta ohjelmisto voi toimia. Käyttämällä ohjelmistojen rajoituspolitiikkaa järjestelmänvalvoja voi estää ei-toivottujen ohjelmien toiminnan. Tähän kuuluvat virukset ja troijalaiset ohjelmistot tai muut ohjelmistot, joiden tiedetään aiheuttavan ongelmia.

Esimerkkinämme tästä käytöstä poistamme pääsyn sisäänrakennettuun Freecelliin.

Panin tämän yhteen lyhyen yhteenvedon perusteellisemmasta teknisestä artikkelista (ja myös soveltamaan sitä reaalimaailman tilanteeseen).

8 vaihetta yhteensä

Vaihe 1: Primer: Sääntöjen tyypit

Ohjelmistopolitiikan rajoituksissa on neljä käytettävissä olevaa menetelmää (tai "sääntöjä"), joiden avulla voit estää ohjelmien käytön:

* Sertifikaatit
* Hash
* Internet-alue
* Polku

Lisätietoja näistä säännöistä saat jälleen Microsoftilta:

* Hash - Hash-säännöllä järjestelmänvalvoja luettelee estettävän tai nimenomaisesti sallitun tiedoston. Se on hajallaan, jolloin tuloksena on salauksen sormenjälki, joka pysyy samana riippumatta tiedoston nimestä tai sijainnista. Voit käyttää tätä menetelmää estämään ohjelman tietyn version käyttämisen tai estämään ohjelman suorittamisen riippumatta siitä, missä se sijaitsee.

* Sertifikaatti - Voit luoda sertifikaatin säännöt antamalla koodin allekirjoitusohjelmiston julkaisijan todistuksen. Hash-sääntöjen tapaan sertifikaatin sääntöjä sovelletaan riippumatta siitä, missä ohjelmatiedosto sijaitsee tai mihin se on nimetty.

* Polku - Polun säännöt koskevat kaikkia ohjelmia, jotka kulkevat määritellystä paikallisesta tai verkkopolusta tai alikansioista, jotka ovat polulla.

* Internet-vyöhyke - Voit käyttää Internet-vyöhykkeen sääntöjä sovellusrajoitusten sääntöihin, jotka perustuvat Microsoft Internet Explorerin suojausvyöhykkeeseen, jossa ohjelma suoritetaan. Tällä hetkellä nämä säännöt koskevat vain vyöhykkeeltä tulevia Microsoft Windows Installer -paketteja. Internet-alueen säännöt eivät koske Internet Explorerin lataamia ohjelmia.

Esimerkkinä pidän kiinni Hash-säännöstä. Tällä tavoin, riippumatta siitä, missä ohjelmassa tietokoneessa on, se ei vieläkään toimi. Voit käyttää hybridilähestymistapaa polun säännöllä, jotta voit saada tietyn ohjelman eri versioita, mutta tämä voi olla hieman tylsiä.

Vaihe 2: Avaa ryhmäkäytännön hallinta; Anna käytäntösi nimi


Ensimmäinen vaihe on avata GPO MMC. Jos et näe tätä työasemassa, sinun on ehkä asennettava Adminpak.msi Server CD i386 -kansiosta. Tämä asentaa kaikki tarvittavat DLL-tiedostot GPO MMC: n (ja muiden) käyttämiseksi.

Huomautus: Saatat joutua hankkimaan päivitetyn ryhmäkäytännön hallintakonsolin w / SP1 Microsoftilta. Tämä on hieman kiillotettu versio konsolista.

Kun olet avannut GPO-konsolin, laajenna Ryhmäkäytännön hallinta> Metsä xxxx (missä "xxxx" on verkkotunnuksesi)>> Verkkotunnukset. Napsauta hiiren kakkospainikkeella Ryhmäkäytäntöobjektit> Uusi.

Anna pyydettäessä uusi käytäntösi nimi (kaivos on "Testi").

Vaihe 3: Haluatko soveltaa käytäntöjä käyttäjiin tai tietokoneisiin?

On aika tehdä päätös. Voit valita, haluatko soveltaa tätä käytäntöä käyttäjän tai tietokoneen kohteisiin. Jos haluat, että se koskee molempia, sinun on luotava molemmat asetukset (voit tehdä tämän samassa käytännössä).

Esimerkkinä käytämme "käyttäjäobjekteja"

Vaihe 4: Luo käytäntö


Minun täytyy soveltaa tätä käyttäjän objektiini, joten kun ryhmäkäytäntöeditori tulee näkyviin, meidän on laajennettava 'User Configuration'> 'Windows Settings'> 'Security Settings'.

Jos teet käytäntöä, joka on tarkoitettu tietokone-objekteille, siirry kohtaan Tietokoneen määritykset> Windows-asetukset> Suojausasetukset.

Jos tämä on aivan uusi käytäntö, sinun pitäisi nähdä viesti:

"Ei ole määritelty ohjelmistojen rajoituksia koskevia sääntöjä. Tässä ryhmäkäytännössä ei ole jo määritelty ohjelmistoja koskevia rajoituksia. Voit määrittää tällaiset käytännöt, mutta ne ohittavat vanhempien esineiden määrittelemät käytännöt. ."

Napsauta hiiren kakkospainikkeella "Ohjelmiston rajoitusten käytännöt"> "Luo uusia sääntöjä".

Vaihe 5: Luo sääntö


Kaksoisnapsauta oikeanpuoleisessa ruudussa (tai vasemmanpuoleisen ruudun suojausasetusten alapuolella) "Lisäsäännöt".

Kun sääntöjen luettelo tulee näkyviin - pitäisi olla neljä jo määriteltyä - napsauta hiiren kakkospainikkeella oikeanpuoleisessa ruudussa ja napsauta "Uusi hash-sääntö".

Vaihe 6: Määritä säännön yksityiskohdat


Näkyviin tulee Uusi Hash-sääntö -valintaikkuna.

Tässä ruudussa voit selata kyseistä tiedostoa (joko järjestelmässä tai verkon kautta). Tiedoston hash lasketaan sen jälkeen, kun olet valinnut tiedoston, ja tiedot vedetään automaattisesti ja tallennetaan "Tiedoston tiedot" -tekstiruutuun. Jos näitä tietoja ei ole, voit syöttää sen manuaalisesti.

Esimerkissämme aiomme rajoittaa Freecelliä.

Tämän alapuolella voit asettaa Suojaustaso-asetukseksi 'Ei sallittu' tai 'Rajoittamaton' - jos haluat lukita kaiken ja haluat luoda poikkeuksia ...

Lopuksi, Kuvaus-kentässä voit syöttää haluamasi tekstin.

Kun painat OK, sääntöä sovelletaan tähän GPO: han.

Vaihe 7: Tarkista sääntöjen luominen


Sinun pitäisi nyt nähdä uusi sääntösi sääntöjen luettelossa.

Vaihe 8: Käytä GPO: ta OU: han


Viimeinen vaihe on soveltaa tätä GPO: ta OU: hun, joka sisältää käyttäjäobjekteja, napsauttamalla kyseistä OU: ta hiiren kakkospainikkeella> "Linkitä olemassa oleva GPO". Kun tämä GPO on sovellettu, sen pitäisi päivittää automaattisesti (oletusaika on 90 minuuttia), jolloin ei sallita määritettyjen ohjelmien käyttöä.

Jos haluat nopeuttaa GP-päivitysprosessia tietyllä tietokoneella, voit ajaa "GPUpdate / force" kyseisessä tietokoneessa.

Etkö ole varma, onko käytäntö sovellettu oikein? Suorita "GPResult" ruudussa ja hanki sovellettujen käytäntöjen ja asetusten yksityiskohtaiset tiedot kirjautuneelle käyttäjälle ja tietokoneelle.

Joten, kun käyttäjä yrittää ajaa rajoitettua ohjelmaa, he näkevät seuraavan viestin:

"Windows ei voi avata ohjelmaa, koska se on estetty ohjelmistojen rajoituspolitiikalla. Lisätietoja on avaamalla Event Viewer tai ota yhteyttä järjestelmänvalvojaan."

Jos sinulla on edelleen ongelmia joidenkin henkilöiden kanssa, jotka voivat käyttää freecellia jne., Saatat joutua luomaan uuden säännön käyttämällä suoritettavaa tiedostoa perustiedostona, koska se voi olla eri versio kuin sääntö, jonka olet luonut.

FYI: Haluat tehdä laajoja testejä testitietokoneella ja / tai OU: lla.

Kuten näette, GPO: iden käyttö voi auttaa sinua hallitsemaan asiakastietokoneiden ohjelmia tai kansioita, mutta se ei ole hämärä. Jos sinulla on edelleen ongelmia videopelejä, lisensoimattomia tai yleisesti luvattomia ohjelmia tuovien käyttäjien kanssa, mikään GPO-rajoitusten määrä ei ratkaise tätä ongelmaa ... haluat kääntyä HR: n tai johdon puoleen luomaan käyttökelpoisia hyväksyttäviä käyttöohjeita.