none
Software Restriction Policies Запрет из любых каталогов. RRS feed

  • Общие обсуждения

  • Добрый день.

    Пытаюсь настроить Software Restriction Policies, наткнулся на проблему запрета запуска из подкаталогов.

    Указал в политике запрет на запуск .exe фалов по пути \\sys.local\system\home\*\*.exe

    Запрет работает только в папках которые находятся в корне  \sys.local\system\home\

    Если есть папки глубже, то приложение запускается.

    Как сделать, чтобы запрет распространялся на ВСЕ подкаталоги по нужному пути?

    Спасибо.

Все ответы

  • помимо srp на серверных ос так же доступен applocker который намного более интуитивно настраивается

    The opinion expressed by me is not an official position of Microsoft

    4 июля 2019 г. 11:09
    Модератор
  • Должно работать в подпапках, но обратите внимание как правильно использовать wildcard (примеры в RTFM)

    Path Rules

    A path rule can specify a folder or fully qualified path to a program. When a path rule specifies a folder, it matches any program contained in that folder and any programs contained in subfolders. Both local and UNC paths are supported.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-xp/bb457006(v=technet.10)

    4 июля 2019 г. 11:18
  • Должно работать в подпапках, но обратите внимание как правильно использовать wildcard (примеры в RTFM)

    Path Rules

    A path rule can specify a folder or fully qualified path to a program. When a path rule specifies a folder, it matches any program contained in that folder and any programs contained in subfolders. Both local and UNC paths are supported.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-xp/bb457006(v=technet.10)

    Чтото вот не работает оно..а делать как в этом примере (куча правил на глубину блокировки) не есть круто..

    https://community.spiceworks.com/topic/484957-software-restriction-policy-with-wildcards-not-working?page=1#entry-3256241

    Я так понимаю функционал не работает или я не так его настраиваю?


    • Изменено Void_x 4 июля 2019 г. 16:12
    4 июля 2019 г. 16:11
  • функционал работает 

    правила аплокера/srp/фаерволов работают от общего к частному, где частное имеет больший приоритет

    например при наличии 2х правил : запретить c:\* и разрешить c:\test\* второе будет иметь приоритет над первым

    дока же представленная выше говорит о возможности использования *.exe как универсального пути без *\*

    то есть  \\sys.local\system\home\*.exe должно работать в глубину если нет разрешающего более детального правила

    а еще много инфы можно почерпнуть в логах: там видно по какому правилу отработал тот или иной запрет/разрешение и белые списки предпочтительнее, так как замапленный путь \\sys.local\system\home как нетвор драйв даст возможность обойти такое правило


    The opinion expressed by me is not an official position of Microsoft

    4 июля 2019 г. 16:38
    Модератор
  • Вобщем смог сделать запрет по подпапкам только в том случае, когда все по умолчанию запрещено.

    Попробовал AppLocker, поудобнее функционал. Правда не понял, там только по преднастроеным типам блокировка идет?

    Например мне нужно заблокировать только .bat файлы, а Script Rules блокирует все скрипты.

    Можно по расширениям блокировать?