Tambahkan batasan grup lokal dengan cmd

1

Bagaimana saya bisa menambahkan Aturan Tambahan dalam Kebijakan Pembatasan Perangkat Lunak dengan cmd menggunakan skrip yang akan bekerja dengan Windows 7 dan Windows Vista .

Saya ingin membuat beberapa aturan jalur dengan tingkat keamanan diatur ke " Dilarang ".

Berikut adalah beberapa baris yang ingin saya sertakan ke dalam skrip ini: 

C:\Documents and Settings\%username%\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Users\%username%\AppData\Local\Google\Chrome\Application\chrome.exe
Chrome.exe
chrome_installer.exe
Gears-chrome-opt.msi
GoogleUpdate.exe
windows-7 windows windows-vista cmd.exe group-policy marcius jodeika
sumber
Apa yang terjadi pada semua garis miring terbalik Anda \?
DavidPostill
tidak tahu ke mana perginya, tetapi ini tidak penting
marcius jodeika
Crossposted ke Stack Overflow . Tambahkan batasan grup lokal dengan cmd
DavidPostill
Silakan lakukan tidak tiang penyeberangan. Lihat Apakah posting silang pertanyaan di beberapa situs Stack Exchange diizinkan jika pertanyaan itu sesuai topik untuk setiap situs?
DavidPostill
Bukankah Anda lebih suka menggunakan aturan jalur AppLocker saja?
NetwOrchestration

Jawaban:

0

Jadi Anda perlu cara untuk melarang dijalankannya file yang dapat dieksekusi tertentu untuk setiap pengguna yang masuk ke PC Windows 7 dan / atau Windows Vista , dan Anda perlu menerapkannya melalui mode CMD untuk diterapkan secara lokal di tingkat mesin.

Instruksi dan Detail

Lihat Cara Memblokir Aplikasi atau .EXE dari Menjalankan di Windows dan dari beberapa informasi sebagaimana tercantum di sana, saya telah membuat skrip batch di bawah ini yang dapat dijalankan ke " Melarang "ini dapat dieksekusi dari dieksekusi dari akun pengguna itu.

Jika Anda perlu skala metode CMD ini untuk menambahkan nama file yang dapat dieksekusi lebih lanjut dari empat yang Anda berikan, Anda cukup naik berurutan ke nomor berikutnya dan kemudian pasang nama yang dapat dieksekusi seperti dalam contoh di bawah ini misalnya: 

ECHO "3"="Gears-chrome-opt.msi"              >> "%TmpRegFile%"
ECHO "4"="GoogleUpdate.exe"                  >> "%TmpRegFile%"
ECHO "5"="App5toBlock.exe"                   >> "%TmpRegFile%"
ECHO "6"="App6toBlock.msi"                   >> "%TmpRegFile%"

Lihat Cara Memblokir Aplikasi atau .EXE dari Menjalankan di Windows untuk penjelasan lebih lanjut.

Anda dapat mempertimbangkan pengujian dan penggantian HKEY_CURRENT_USER dengan HKEY_LOCAL_MACHINE dalam skrip di bawah ini untuk mengunci tidak mengizinkan file yang dapat dieksekusi ini dijalankan di seluruh level PC daripada akun pengguna yang masuk saat skrip dijalankan.

Anda mungkin juga perlu menjalankan skrip kumpulan sebagai administrator juga atau REG IMPOR perintah bisa mendapatkan akses ditolak pesan ketika mencoba memperbarui registri. Anda dapat menyalin dan menempelkan semua di bawah ini ke CMD secara langsung juga, tetapi jangan menempel di baris terakhir EXIT /B jadi teks buffer layar tetap menyala.

Skrip Batch

Saya menggunakan TASKKILL perintah dalam skrip di bawah ini untuk secara paksa membunuh semua contoh dari nama file yang dapat dieksekusi yang sama untuk melarang dengan impor registri. Jika ada yang berjalan di memori pada mesin saat ini berjalan maka mereka akan terbunuh; skala logika yang berlaku sesuai kebutuhan untuk menambahkan proses selanjutnya untuk membunuh.

Windows Explorer Shell perlu dimatikan dan dihidupkan ulang dalam memori sebelum pengaturan ini menjadi efektif. Melakukan siklus daya lengkap mesin akan melakukan trik, dan berpotensi masuk dan kembali dapat berfungsi. Saya menggunakan WMIC untuk menyegarkan Windows Explorer dengan DIMANA klausa dan PANGGILAN ing MENGAKHIRI saat restart itu. 

@ECHO OFF

SET TmpRegFile=%temp%\~DisallowExe.reg
IF EXIST "%TmpRegFile%" DEL /Q /F "%TmpRegFile%"

ECHO Windows Registry Editor Version 5.00  >> "%TmpRegFile%"
ECHO.                                      >> "%TmpRegFile%"
ECHO [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]             >> "%TmpRegFile%"
ECHO "DisallowRun"=dword:00000001                                                                >> "%TmpRegFile%"
ECHO [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun] >> "%TmpRegFile%"
ECHO "1"="Chrome.exe"                        >> "%TmpRegFile%"
ECHO "2"="chrome_installer.exe"              >> "%TmpRegFile%"
ECHO "3"="Gears-chrome-opt.msi"              >> "%TmpRegFile%"
ECHO "4"="GoogleUpdate.exe"                  >> "%TmpRegFile%"

TASKKILL /F /IM "Chrome.exe"
TASKKILL /F /IM "chrome_installer.exe"
TASKKILL /F /IM "Gears-chrome-opt.msi"
TASKKILL /F /IM "GoogleUpdate.exe"

REG IMPORT "%TmpRegFile%"
PING -n 05 127.0.0.1 > nil
WMIC PROCESS WHERE "Caption = 'explorer.exe'" CALL TERMINATE

EXIT /B

Sumber Daya Lebih Lanjut

Pimp Juice IT
sumber
Sepertinya nilai tambah skrip or oreg tetapi nilai-nilai itu tidak berfungsi, saya masih dapat meluncurkan chrome.exe, ada ide mengapa? (Saat menggunakan mesin lokal)
marcius jodeika
Kawan, maaf mengganggu. Mungkin saya salah (karena saya menguji pada Windows 10) tetapi sebenarnya menyimpan kunci registri di jalur ini: HKLM\Software\Microsoft\Windows\safer dan dengan gaya yang tidak mudah ditiru. Saya mengerti Anda sebenarnya menetapkan larangan eksekusi, tetapi ia meminta aturan jalur pembatasan perangkat lunak ?!
NetwOrchestration
menarik. Saya masih dapat menjalankan chrome setelah menambahkan register. s32.postimg.org/qa0kwytat/11004397871143533672.jpg
marcius jodeika
P.S. Saya perlu membuat ini semua di mesin lokal untuk mencegah beberapa pengguna menggunakan chrome ada di domain, tapi saya tidak bisa memodifikasi domain dengan register
marcius jodeika
ya, tapi seperti yang saya katakan saya lebih suka membuat di mesin lokal
marcius jodeika