首页 » 阻止可执行文件

阻止可执行文件

目录

  1. 什么是阻止可执行文件
  2. 创建和删除阻止可执行文件策略
  3. 使用路径规则阻止可执行文件
  4. 使用哈希值阻止可执行文件
  5. 为所有计算机组阻止可执行文件
  6. 为特定计算机阻止可执行文件
  7. 故障排除提示

IT 管理员通常需要为其 IT 环境管理大量软件和应用程序。由于需要处理许多应用程序,IT 管理员往往需要限制某些应用程序的使用,此时可以利用 Endpoint Central 的“阻止可执行文件”功能。

什么是阻止可执行文件

“阻止可执行文件”是一项功能,IT 管理员可以借助它限制可执行文件的初始化和运行。这会阻止网络中未经安装即启动的 exe 文件运行。 如果某个软件需要在您的网络中被禁止使用,则可以配置禁用软件来实现相同目的。


 

阻止一个可执行文件

  1. 使用路径规则
  2. 使用哈希规则

在部署阻止可执行文件规则之前,请检查以下前提条件

点击此处观看视频:

阻止可执行文件

链接

创建和删除阻止可执行文件策略

  1. 要创建阻止可执行文件规则,请导航至 清单 > 阻止可执行文件 > 添加策略
  2. 添加要应用此规则的自定义组。
  3. 接下来,使用路径规则或哈希规则添加需要阻止的可执行文件。

要删除规则,请导航至 清单 > 阻止可执行文件,选择您希望删除的策略,然后点击“删除策略”按钮。

使用路径规则阻止可执行文件

当目标文件名/路径名保持不变时,IT 管理员可以使用路径规则来阻止可执行文件。路径规则基于文件名及其扩展名的逻辑运行。文件重命名或重新定位将导致已应用规则的执行失败。即使应用程序在您的网络中不可用,也可以使用此规则进行阻止。借助路径规则,IT 管理员可以阻止位于给定值中的可执行文件。

使用哈希值阻止

哈希是表示可执行文件的唯一值。要使用此方法,IT 管理员应计算目标应用程序的哈希值,并将其添加到规则中以阻止该可执行文件。如果您想阻止大于 200 MB 的可执行文件,请使用下面附带的代码片段来计算哈希值。计算哈希值时,请提供您要使用哈希值阻止的软件文件所在的完整路径。

注意:

  • 使用 AppLocker 哈希值阻止可执行文件仅适用于 Windows 10 build 1803 及更高版本,以及 Windows Server 2019 及更高版本。
  • 要计算 AppLocker 哈希值,请使用 Microsoft PowerShell,因为命令提示符不支持 AppLocker 哈希值代码片段。

Windows 命令

文件大小

dir <"FILE LOCATION">

示例命令:dir "C:\Program Files\Google\Chrome\Application\chrome.exe"

File Size Block exe

文件哈希 MD5

certutil -hashfile <"FILE LOCATION"> md5

示例命令:certutil -hashfile "C:\Program Files\Google\Chrome\Application\chrome.exe" md5

MD5 Hash Generation for Block exe

文件哈希 SHA256

certutil -hashfile <"FILE LOCATION"> sha256

示例命令:certutil -hashfile "C:\Program Files\Google\Chrome\Application\chrome.exe" sha256

SHA256 Hash Generation for Block exe

文件哈希 AppLocker

(Get-AppLockerFileInformation -Path <"FILE LOCATION">).Hash -replace '^SHA256 0x', 'Hash: '

示例命令:(Get-AppLockerFileInformation -Path "C:\Program Files\Google\Chrome\Application\chrome.exe").Hash -replace '^SHA256 0x', 'Hash: '

Applocker Hash for Block exe

 

为所有计算机阻止可执行文件

Endpoint Central 默认具有一个名为“所有计算机组”的自定义组,其中包含所有受管计算机。如果您想为所有受管计算机阻止某个可执行文件,则可以选择默认自定义组,并选择需要阻止的可执行文件。

为特定计算机阻止可执行文件

要为特定目标阻止可执行文件,请创建一个新的自定义组或使用现有的自定义组。自定义组可以是任意类型,例如唯一组或静态组。您可以通过选择包含计算机的自定义组来阻止可执行文件。

阻止可执行文件不支持阻止由系统启动的可执行文件。

故障排除提示:

  1. 如何在目标计算机上启用本地组策略?
    请在目标计算机上手动执行以下操作:
    1. 转到 运行

    2. 输入 gpedit.msc

    3. 点击组策略

    4. 点击如下所示的“关闭本地组策略对象处理”。

    5. 确保您已选择“未配置”,如下图所示。

      现在,您已在目标计算机上启用本地组策略。

  2. 如何在目标计算机上启用本地组策略?

    请在目标计算机上手动执行以下操作:
    1. 转到 运行

    2. 输入 gpedit.msc

    3. 右键点击“本地计算机策略”,选择 属性 以确保未选中“禁用计算机配置设置”。

      现在,您已在目标计算机上启用本地组策略。

  3. 如何将默认安全策略设置为“无限制”
    请在目标计算机上执行以下操作:

    1. 转到 运行

    2. 输入 gpedit.msc

    3. 点击“安全级别”,然后双击“无限制”,如下所示
    4. 确保状态设置为“默认”,如下图所示。


    现在,您已在目标计算机上启用本地组策略。

  4. 如何为管理员启用本地组策略?
    请在目标计算机上执行以下操作:
    1. 转到 运行

    2. 输入 gpedit.msc

    3. 点击 “软件限制策略”

    4. 双击“强制”,确保选择了“所有用户”,如下图所示

      现在,您已为管理员启用本地组策略。

 

我们的客户