2011年12月1日 星期四

利用gpedit 禁止目錄執行exe,bat,com

1. 執行: gpedit.msc



2. 新增, 軟體 的安全性原則:



3. 選取路徑, 並設為不允許.



4. 設好 "登出" 或重開機後, 到 Temp 下執行 notepad2.exe 就會顯示錯誤訊息.


建議: web root, 或程式上傳用的資料夾(public), 要記得設成不允許執行, 這樣子即可大大提高系統的安全性.





如何建立路徑規則:
--------------------------
1.按一下 [開始],再按一下 [執行],輸入 mmc,然後按一下 [確定]。
2.開啟 [軟體限制原則]。
3.在主控台樹狀目錄或詳細資料窗格中,用滑鼠右鍵按一下 [其他原則],然後按一下 [新增路徑規則]。
4.在 [路徑] 方塊中輸入路徑,或按一下 [瀏覽] 以尋找檔案或資料夾。
5.在 [安全性等級] 方塊中,按一下 [不允許] 或 [沒有限制]。


注意:
--------------------------
如果您尚未為這個 GPO 建立新的軟體限制原則設定,可能必須執行這項操作。
如果您為安全性等級設為 [不允許] 的程式建立路徑規則,則使用者仍然可以藉由將軟體複製到其他位置的方式執行軟體。
路徑規則支援的萬用字元為星號 (*) 和問號 (?)。
您可以在路徑規則中使用環境變數,例如 %programfiles% 或 %systemroot%。
當您不知道軟體在電腦中的儲存位置,但知道軟體的登錄機碼時,如果要為軟體建立路徑規則,您可以建立登錄路徑規則。
如果要防止使用者執行電子郵件附件,您可以為郵件程式的附件資料夾建立路徑規則,以防止使用者執行電子郵件附件。
只有列在 [指定的檔案類型] 中的檔案類型,才會受到路徑規則的影響。有一份所有規則共用的指定檔案類型清單。
如果要讓軟體限制原則生效,使用者必須先登出再登入電腦,以更新原則設定。
當有一個以上的規則套用至原則設定時,處理衝突時便有規則的優先順序。


資料來源: 如何在 Windows Server 2003 中使用軟體限制原則
http://support.microsoft.com/kb/324036/zh-tw

沒有留言:

張貼留言

Facebook 留言板