阻止可执行文件

系统管理中最具挑战性的任务之一是限制某些应用程序的使用。 Endpoint Central MSP 方便您轻松完成这项任务。您可以使用此功能阻止所需的应用程序/可执行文件。您可以针对特定计算机应用这些限制。 Endpoint Central MSP'的 禁止的软件 帮助您卸载网络中不允许使用的软件应用程序。阻止可执行文件功能允许您在目标计算机上启动时限制该可执行文件。您甚至可以阻止诸如 notepad.exe、putty.exe 等未安装在目标计算机上的可执行文件。所有 Windows “软件限制策略”支持的文件格式均可通过 Endpoint Central MSP进行阻止。阻止应用程序/可执行文件有两种方式：

• 使用路径规则阻止
• 使用哈希值阻止

阻止可执行文件前应满足以下先决条件 目标计算机上应启用本地组策略 目标计算机上应启用本地组策略 默认安全策略应设置为“无限制” 应为管理员启用本地组策略

使用路径规则阻止

您可以选择此选项创建策略以阻止可执行文件。路径规则用于基于可执行文件名称及其扩展名来阻止可执行文件。如果用户重命名了该应用程序，则无法识别该应用程序，这意味着该应用程序不会被阻止。如果您想阻止网络中即使不存在的应用程序，则可使用此规则。您只需知道可执行文件的名称及其文件扩展名。采用路径规则将阻止指定应用程序的所有版本。举例而言，如果您为特定版本（例如版本 44.0）创建了阻止 Google Chrome 浏览器的路径规则，此策略将阻止 Google Chrome 浏览器的所有版本，除非可执行文件被重命名。

使用哈希值阻止

哈希是代表可执行文件的唯一值。如果选择使用哈希值阻止可执行文件，则即使其被重命名也会被阻止。如果您想使用哈希值阻止可执行文件，需在服务器上定位该文件以计算哈希值。

创建策略

如果您想阻止特定目标的可执行文件，则必须创建策略。选择目标计算机是创建策略的第一步。您需要选择数据库中存在的需阻止的可执行文件。如果是首次阻止某个可执行文件，则需要添加该可执行文件并选择阻止规则为路径或哈希。针对单个可执行文件，您可以创建两条不同策略，一条使用路径规则，另一条使用哈希值。该策略将在系统重启后首次应用于目标计算机。

为所有计算机阻止可执行文件

Endpoint Central MSP 默认情况下，包含所有管理计算机的自定义组已创建。如果您想为所有管理计算机阻止可执行文件，可以选择“All Managed Computers”组并选择需阻止的可执行文件。需指定目标和需阻止的可执行文件来创建策略。

为特定用户/计算机阻止可执行文件

若想为特定目标阻止可执行文件，您必须创建新的自定义组或使用现有自定义组。自定义组可为唯一组或静态组。您可以通过选择包含用户或计算机的自定义组来阻止可执行文件。

“阻止可执行文件”不支持阻止系统启动的可执行文件。

故障排除提示：

1. 如何在目标计算机上启用本地组策略？
   您需要在目标计算机上手动执行以下步骤：
   1. 转到 运行

   2. 输入 gpedit.msc

   3. 点击组策略

   4. 点击“关闭本地组策略对象处理”，如下所示。
      
      

   5. 确保选择了“未配置”，如下图所示。
      
      您已在目标计算机上启用本地组策略。

2. 如何在目标计算机上启用本地组策略？
   
   您需要在目标计算机上手动执行以下步骤：
   1. 转到 运行

   2. 输入 gpedit.msc

   3. 右键点击“本地计算机策略”，选择 属性 确保未选中“禁用计算机配置设置”。
      
      您已在目标计算机上启用本地组策略。
3. 如何将默认安全策略设置为“无限制”？
   您需要在目标计算机上手动执行以下步骤：
   1. 转到 运行

   2. 输入 gpedit.msc

   3. 点击“安全级别”，双击“无限制”，如下所示
      
   4. 确保状态设置为“默认”，如图所示。
   
   您已在目标计算机上启用本地组策略。
4. 如何为管理员启用本地组策略？
   您需要在目标计算机上手动执行以下步骤：
   1. 转到 运行

   2. 输入 gpedit.msc

   3. 点击 “软件限制策略”

   4. 双击  “执行” 确保所有用户 已选中，如下图所示
      
      您已为管理员启用本地组策略。