Melumpuhkan Windows Games / Software melalui Sekatan Software GPO - Bagaimana Untuk

Melumpuhkan Windows Games / Software melalui Sekatan Software GPO

Kadang-kadang, anda hanya perlu melumpuhkan akses ke program tertentu, folder dari melaksanakan pada rangkaian anda. Dengan menggunakan Dasar Kumpulan, anda boleh menyahdayakan akses kepada objek ini dengan nama fail / nama laluan, nilai hash dan banyak lagi.

Inilah masalah Microsoft:

Pentadbir boleh menggunakan dasar sekatan perisian untuk membolehkan perisian dijalankan. Dengan menggunakan dasar sekatan perisian, pentadbir boleh menghalang program yang tidak diingini berjalan. Ini termasuk virus dan perisian kuda Trojan, atau perisian lain yang diketahui menyebabkan masalah.

Untuk contoh kami di sini, kami akan melumpuhkan akses kepada Freecell terbina dalam.

Saya meletakkan ini bersama sebagai ringkasan ringkas kepada artikel teknikal yang lebih mendalam (dan juga untuk menerapkannya kepada situasi dunia sebenar).

8 langkah total

Langkah 1: Primer: Jenis peraturan

Sekatan dasar perisian mempunyai empat metode yang tersedia (atau "peraturan") untuk menghalang program dari menjalankan:

* Sijil
* Hash
* Zon Internet
* Jalan

Lebih banyak maklumat tentang setiap peraturan ini, sekali lagi dari Microsoft:

* Hash - Dengan peraturan Hash, pentadbir menyenaraikan fail program untuk disekat atau dibenarkan secara eksplisit. Ia telah hilang, mengakibatkan cap jari cryptographic yang tetap sama tanpa nama fail atau lokasi. Anda boleh menggunakan kaedah ini untuk mengelakkan versi tertentu dari suatu program daripada berjalan, atau untuk mengelakkan program daripada berjalan tidak kira di mana ia berada.

* Sijil - Anda boleh membina aturan Sijil dengan menyediakan sertifikat penerbit perisian penandatanganan kod. Seperti peraturan Hash, peraturan Sijil terpakai tidak kira di mana fail program terletak atau apa namanya.

* Path - Peraturan jalan dikenakan kepada semua program yang dijalankan dari jalan setempat atau rangkaian yang ditentukan, atau dari subfolder yang berada di jalan.

* Zon Internet - Anda boleh menggunakan peraturan Zon Internet untuk menerapkan peraturan dasar sekatan perisian berdasarkan zon keselamatan Microsoft Internet Explorer di mana program dijalankan. Pada masa ini, peraturan ini hanya digunakan untuk pakej Microsoft Windows Installer yang dijalankan dari zon. Peraturan Zon Internet tidak diguna pakai untuk program yang dimuat turun oleh Internet Explorer.

Sebagai contoh, saya akan berpegang dengan peraturan Hash. Dengan cara ini, tidak kira di mana program mungkin terletak di PC, ia masih tidak akan berjalan. Anda boleh menggunakan pendekatan hibrid dengan peraturan laluan untuk menangkap versi yang berbeza dari satu program tertentu, tetapi ini mungkin sedikit membosankan untuk ditubuhkan.

Langkah 2: Buka Pengurus Dasar Kumpulan; Namakan dasar anda


Langkah pertama ialah membuka GPC MMC. Jika anda tidak melihatnya di stesen kerja anda, anda mungkin perlu memasang Adminpak.msi dari folder CD Server i386. Ini akan memasang semua DLL yang diperlukan untuk menggunakan GPC MMC (dan yang lain).

Nota: Anda mungkin perlu mendapatkan Konsol Pengurusan Dasar Kumpulan w / SP1 dari Microsoft juga. Ini adalah versi konsol yang sedikit lebih digilap.

Sebaik sahaja anda mempunyai Konsol GPO terbuka, lancarkan 'Pengurusan Dasar Kumpulan'> 'Hutan xxxx (di mana "xxxx" adalah domain anda)' '' Domain '. Klik kanan 'Objek Dasar Kumpulan'> 'Baru'.

Apabila digesa, berikan nama baru anda sebagai nama (saya adalah "Ujian").

Langkah 3: Memutuskan untuk memohon dasar kepada pengguna atau komputer?

Sudah tiba masanya untuk anda membuat keputusan. Anda boleh memilih sama ada anda ingin dasar ini digunakan untuk objek pengguna atau komputer. Jika anda mahu ia terpakai kepada kedua-duanya, anda perlu membuat tetapan untuk kedua-duanya (anda boleh melakukan ini dalam dasar yang sama).

Untuk contoh kami, kami akan memohon kepada 'objek pengguna'

Langkah 4: Buat dasar


Saya perlu memohon ini kepada objek pengguna saya, jadi apabila editor Dasar Kumpulan muncul, kita perlu memperluaskan 'Konfigurasi Pengguna'> 'Tetapan Windows'> 'Tetapan Keselamatan'.

Jika anda membuat dasar yang ditakdirkan untuk objek komputer, anda akan menavigasi ke 'Konfigurasi Komputer'> 'Tetapan Windows'> 'Tetapan Keselamatan'.

Jika ini adalah dasar baru, anda harus melihat mesej:

"Tiada Dasar Sekatan Perisian yang Ditetapkan Dasar dasar ini tidak mempunyai dasar sekatan perisian yang ditakrifkan di atasnya.Anda boleh menentukan dasar tersebut, tetapi mereka akan menimpa dasar yang ditakrifkan oleh objek induk.Untuk menentukan dasar sekatan perisian, dalam menu Admin klik Buat Dasar Baru . "

Klik kanan 'Dasar Sekatan Software'> 'Buat Dasar Baru'.

Langkah 5: Buat peraturan


Di anak tetingkap sebelah kanan (atau di bawah 'Tetapan Keselamatan' di sebelah kiri), klik dua kali 'Peraturan Tambahan'.

Apabila senarai peraturan muncul - mesti ada empat yang telah ditentukan - klik kanan di anak panah kanan, dan klik 'Peraturan Baru Hash'.

Langkah 6: Tentukan butiran peraturan anda


Anda akan melihat kotak dialog 'New Hash Rule' muncul.

Kotak ini membolehkan anda menyemak imbas fail yang dipersoalkan (sama ada pada sistem anda atau melalui rangkaian). Hash file dikira setelah anda memilih file anda, dan maklumat itu secara automatik ditarik dan memaparkan kotak teks 'Maklumat file'. Sekiranya maklumat ini tidak wujud, anda boleh memasukkannya secara manual.

Dalam contoh kami, kami akan mengehadkan 'Freecell'.

Di bawah ini, anda boleh menetapkan tahap Keselamatan kepada 'Tidak Dikenakan' atau 'Tidak Terikat' - anda mungkin mahu 'Tanpa Terhad' jika anda mengunci segala-galanya dan ingin membuat beberapa pengecualian ...

Akhirnya, dalam bidang Perihalan, anda boleh memasukkan apa sahaja teks yang anda suka.

Apabila anda memukul 'OK', peraturan akan dikenakan kepada GPO ini.

Langkah 7: Semak semula penciptaan peraturan


Anda kini harus melihat peraturan baru anda muncul dalam senarai peraturan dalam dasar anda.

Langkah 8: Guna GPO anda ke OU


Langkah akhir anda adalah untuk memohon GPO ini kepada OU yang mengandungi objek pengguna, dengan mengklik kanan OU yang dimaksudkan> 'Pautan GPO sedia ada'. Sekali GPO ini digunakan, ia mesti dimuat semula secara automatik (masa lalai adalah 90 minit), membenarkan akses kepada program yang anda nyatakan.

Jika anda ingin mempercepatkan proses kemas kini GP pada komputer tertentu, anda boleh menjalankan 'GPUpdate / force' pada komputer yang dipersoalkan.

Tidak pasti sama ada dasar itu digunakan dengan betul? Jalankan 'GPResult' di kotak dan dapatkan output terperinci mengenai dasar dan tetapan yang diterapkan pada pengguna dan komputer yang dilog masuk.

Jadi, sekarang, apabila pengguna cuba untuk menjalankan program terhad, mereka akan melihat mesej seperti yang berikut:

"Windows tidak dapat membuka program ini kerana ia telah dihalang oleh dasar sekatan perisian. Untuk maklumat lanjut, buka Penonton Acara atau hubungi pentadbir sistem anda."

Sekiranya anda masih menghadapi masalah dengan sesetengah orang yang boleh menjalankan freecell, dan sebagainya, anda mungkin perlu membuat peraturan baru menggunakan executable mereka sebagai fail asas, kerana ia mungkin versi yang berbeza daripada yang anda buat peraturan itu.

FYI: Anda akan mahu melakukan ujian yang luas dengan komputer uji dan / atau OU.

Seperti yang dapat anda lihat, menggunakan GPO boleh membantu anda untuk mengawal akses kepada program atau folder pada komputer klien anda, tetapi bukan bukti palsu. Sekiranya anda terus menghadapi masalah dengan pengguna yang membawa masuk permainan video, perisian tidak berlesen atau secara umumnya tidak dibenarkan, tidak ada jumlah pengehadan GPO yang akan menyelesaikan masalah ini ... anda akan mahu bertukar kepada HR atau pengurusan untuk membuat dasar penggunaan boleh diterima yang boleh dikuatkuasakan.