上文講到了,如果基于程式的名稱限制,使用者可以更改可執行檔案的名稱,那麼限制就會失效。而如果基于軟體哈希值來限制,那麼就算使用者修改檔案名,限制還是有效,配置步驟:
首先打開組政策管理,在需要編輯的GPO上右鍵點選編輯
<a href="http://s3.51cto.com/wyfs02/M01/74/E5/wKioL1Yt3xHzHVaMAAN0lu9cgjA341.jpg" target="_blank"></a>
在使用者配置>政策>Windows設定>安全設定>軟體限制政策>右鍵單擊建立軟體限制政策
<a href="http://s3.51cto.com/wyfs02/M00/74/E9/wKiom1Yt33Wy6PuzAALJ9bdgPkk335.jpg" target="_blank"></a>
點選 其他規則,在右側空白地方右鍵,點選建立哈希規則
<a href="http://s3.51cto.com/wyfs02/M02/74/E6/wKioL1Yt4CSQ2ir3AAKA4cVf1Pc614.jpg" target="_blank"></a>
點選浏覽,這裡需要事先準備好需要禁止的應用程式,比如從客戶機上拷貝一個過來,或者通過網絡共享也可以選擇,這裡我事先準備了win7系統下的powershell檔案,安全級别為預設的“不允許”即可
<a href="http://s3.51cto.com/wyfs02/M01/74/E9/wKiom1Yt4Tqh6ohmAANEMR-BLZo929.jpg" target="_blank"></a>
檔案資訊欄顯示了該檔案版本号等基本資訊
<a href="http://s3.51cto.com/wyfs02/M01/74/E6/wKioL1Yt4fiD-9inAANLDD8fsio135.jpg" target="_blank"></a>
最後點選确定,然後Win7客戶機gpupdate ,登出重新登陸,運作powershell,看看效果:
<a href="http://s3.51cto.com/wyfs02/M01/74/E6/wKioL1Yt4yDCUtRjAAC15fvBxg0301.jpg" target="_blank"></a>
這裡需要注意的一點是,因為不同系統同一軟體的版本可能并不相同,哈希值并不一樣,那就需要建立多個軟體限制政策,比如要限制powershell,win7和win8的powershell版本不同,哈希值不一樣,那麼需要針對多個powershell版本,建立多條政策。
本文轉自 kuSorZ 51CTO部落格,原文連結:http://blog.51cto.com/kusorz/1706429
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)