阻止可执行文件

系统管理中最具挑战性的任务之一是限制某些应用程序的使用。Desktop Central帮助您轻松地执行此任务。使用此功能可以根据您的需要阻止应用程序/可执行文件。您可以将这些限制应用于特定的计算机。Desktop Central的禁用软件功能可以帮助您检测和卸载网络中不允许的软件应用程序。阻止可执行文件功能,可以限制可执行文件在目标计算机上启动。您还可以阻止,像notepad.exe、putty.exe等等这样的,在没有安装到目标计算机上的情况下就启动的可执行文件。所有在Windows“软件限制策略”下支持的文件格式都可以使用Desktop Central来阻止。阻止一个应用程序/可执行文件有两种方法:

要阻止可执行文件,应满足以下先决条件

 

使用路径规则阻止

您可以选择此选项来创建策略以阻止可执行文件。路径规则,用于基于可执行文件名及其扩展名来阻止可执行文件。如果用户重命名应用程序,将无法识别应用程序,也意味着应用程序不会被阻止。此规则也会阻止网络中不可用的应用程序。您只需要知道可执行文件的名称及其文件扩展名。路径规则可以阻止特定应用程序的所有版本。   例如,如果您创建了一个路径规则来阻止特定版本(比如版本44.0)的谷歌Chrome浏览器,该策略将阻止所有版本的谷歌Chrome浏览器,前提是。可执行文件没有重命名。

使用Hash值阻止

Hash是一个代表可执行文件的唯一值。如果使用Hash值阻止可执行文件,那么即使重命名也会被阻止。如果使用Hash值阻止可执行文件,应该将其放在服务器上,以便Hash值可以被计算。

创建一个策略

如果您想在特定目标计算机上阻止可执行文件,那么您需要创建一个策略。第一步,选择目标计算机。如果要阻止的可执行文件存在于数据库中,首先要选中它。如果是第一次阻止该可执行文件,那么需要添加该可执行文件并选择阻止规则为路径或hash。可以为一个可执行文件创建两个不同的策略,一个使用路径规则,而另一个使用hash值规则。策略将在系统重新启动后首次应用于目标计算机。

阻止所有计算机上的可执行文件

默认情况下,Desktop Central有一个自定义组,其中包含所有托管计算机。如果您想要阻止所有托管计算机的可执行文件,那么您可以选择“所有托管计算机”组并选择需要阻止的可执行文件。您必须通过指定需要阻止的可执行文件和目标来创建策略。

阻止特定用户/计算机的可执行文件

要阻止特定目标的可执行文件,必须创建新的自定义组或使用现有的自定义组。自定义组可以是任何类型,例如唯一的或静态的。您可以通过选择包含用户或计算机的自定义组来阻止可执行文件。

不支持阻止由系统启动的可执行文件。

故障排除技巧:

  1. 如何在目标机器上启用“本地组策略”?
    你必须在目标计算机上手动执行以下步骤:
    1. 进入Run

    2. 输入gpedit.msc

    3. 点击组策略

    4. 单击“关闭本地组策略对象进程”,如下所示。

    5. 确保您选择了如下图所示的“未配置”。

      您已成功在目标机器上启用“本地组策略”。

  2. 如何在目标计算机上启用“本地组策略”?

    你必须在目标计算机上手动执行以下步骤:
    1. 进入Run

    2. 输入gpedit.msc

    3. 右键单击 "本地计算机策略", 选择属性确保“禁用计算机配置设置”没有被选中。

      您已成功在目标机器上启用“本地组策略”。
  3. 如何设置默认的安全策略为“无限制”
    您必须在目标计算机上手动执行以下步骤:
    1. 进入Run

    2. 输入gpedit.msc

    3. 点击“安全等级”,双击“无限制”,如下图所示
    4. 确保状态设置为“默认”,如下图所示。

      5. 您已成功在目标机器上启用“本地组策略”。
  4. 如何为管理员启用“本地组策略”?
    你必须在目标计算机上手动执行以下步骤:
    1. 进入Run

    2. 输入gpedit.msc

    3. 点击“软件限制策略”

    4. 双击 "执行"以确保“所有用户”都被选中,如下图所示

      现在您已为管理员启用了“本地组策略”。