Windows 2008 R2 AD系列三:利用哈希规则限制程序

上文讲到了,如果基于程序的名称限制,用户可以更改可执行文件的名称,那么限制就会失效。而如果基于软件哈希值来限制,那么就算用户修改文件名,限制还是有效,配置步骤:

首先打开组策略管理,在需要编辑的GPO上右键点击编辑

在用户配置>策略>Windows设置>安全设置>软件限制策略>右键单击创建软件限制策略

点击 其他规则,在右侧空白地方右键,点击新建哈希规则

点击浏览,这里需要事先准备好需要禁止的应用程序,比如从客户机上拷贝一个过来,或者通过网络共享也可以选择,这里我事先准备了win7系统下的powershell文件,安全级别为默认的“不允许”即可

文件信息栏显示了该文件版本号等基本信息

最后点击确定,然后Win7客户机gpupdate ,注销重新登陆,运行powershell,看看效果:

这里需要注意的一点是,因为不同系统同一软件的版本可能并不相同,哈希值并不一样,那就需要创建多个软件限制策略,比如要限制powershell,win7和win8的powershell版本不同,哈希值不一样,那么需要针对多个powershell版本,建立多条策略。

时间: 2024-11-03 21:52:33

Windows 2008 R2 AD系列三:利用哈希规则限制程序的相关文章

Windows 2008 R2 AD系列五:如何解决用户出差,脱域的问题

相信大家都碰到过这个问题,某个用户出差,连同已加域的笔记本一起带出,时间较长,回来之后,我们常常发现该用户的计算机已经无法登陆域,错误提示通常为:此工作站和主域间的信任关系失败(长时间不使用或脱离域环境的电脑也会碰到这个情况),常见的解决办法就是退出域再重新加入,如果这种情况多的话,每次这样操作都比较麻烦,那么我们如何从根本上解决这一问题呢? 首先要知道这个问题形成的原因,先来看看微软的官方解释: 默认情况下,在一个域环境中,为了保证账号的安全,在默认域策略中设置了"最长密码有效期".

Windows 2008 R2 AD系列一:域用户自动加入本地管理员

开始→运行gpmc.msc 进入组策略管理,找到Default Domain Policy,右键编辑,进入用户配置→首选项→控制面板设置→本地用户和组,在右侧空白处,新建本地组,因为是要修改客户端计算机上的本地组信息,所以选择新建本地组,如下图所示: 操作中的"更新"代表更新域客户端Administrators组中的成员,而不是新建组:"添加当前用户"表示添加登录时的域帐号到客户端系统的本地Administrators组,只要域帐号一登录,就把它加入本地管理员组,也

windows 2008 R2 AD域控制器密码破解

由于好久没有登陆域控制器,居然把管理员密码给忘记了,结果就囧了,后来我查看了网上提到可以使用osk.exe 来进行破解,试验了下果然可以.以下是破解的过程.由于我的域控制器安装在vmware esxi 下,挂载windows server 2008 r2 光盘,选择启动进入bios,发现重启好多次按F2都进不了bios,无奈查资料得知在VSphere Client或者vCenter中,虚机的高级设置中,勾选下次启动强制进入BIOS选项.终于能够进入bios了,将启动项改为cdrom启动. 进入安

windows 2008 r2 AD域控服务器部署

一:配置域控IP地址 在运行中输入dcprome.exe,配置AD域环境 操作系统兼容性提示 碰到"无法新建域,因为本地administrator账户密码不符合要求" 在命令行中使用 "net user administrator /passwordreq:yes" 在域服务器上配置DNS服务器选项,如果已经安装了DNS服务器,则不需要再选择DNS服务,安装过程中会自动写入相关DNS记录至DNS服务器内. 重启服务器

Windows server 2008 R2 AD DS搭建(应答文件)

使用应答文件安装新林中第一台域控制器 1.将以下代码复制保存为TXT文件 ;第一台域控制器应答文件 [DCInstall] ReplicaOrNewDomain=Domain NewDomain=Forest NewDomainDNSName=contoso.local ForestLevel=4 DomainNetbiosName=CONTOSO DomainLevel=4 InstallDNS=Yes ;ConfirmGc这个参数在部署林中第一台域控制器是是必须为Yes ConfirmGc=

Windows Server菜鸟宝典之一:Windows Server 2008 R2 AD服务器搭建

1.对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的.可以通过打开本地连接的属性来进行配置其IP属性.作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的.本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址.       2.由于WIN

客户端WinXP AD服务器是windows 2008 R2需打 KB943729

AD服务器是windows 2008 R2 发现在上面做的组策略在WIN7正常,无法在WINXP SP3上的机器就应用,网上查了查资料需要打个补订,KB943729才能应用Windows2008 R2上的组策略.部署WSUS把这个KB943729下发下去. KB943729下载地址: http://www.microsoft.com/zh-cn/download/details.aspx?id=3628

利用windows 2008 r2自带的“文件服务”实现NFS存储功能

一 环境说明 一台xenserver 6.5服务器(虚拟机) IP:192.168.45.10 一台windows 2008 r2 sp1服务器(虚拟机) IP:192.168.45.100 二 配置过程 xenserver 6.5系统安装(略) windows 2008 r2 spq系统安装(略) 开启windows 2008 r2 sp1 NFS服务功能 (1)点击"服务器管理器" (2)选择"角色"-> "添加角色" (3)选择&qu

Deploy 11.2.0.3 RAC+DG on Windows 2008 R2 Step by Step

环境规划: 节点1: tc1 192.168.56.101 内存:2G 节点2: tc2 192.168.56.102 内存:2G 物理备库:tcdg192.168.56.108内存:1.5G 操作系统:Windows 2008 R2 Enterprise ************ RAC部分 ************ 一.准备工作 1.改动提升权限提示方式为"不提示,直接提升"(默觉得"非Windows二进制文件的允许提示") cmd> secpol.msc