3. 展开用户配置-策略-管理模板-控制面板-隐藏指定的控制面板项-勾选已启用-单击
显示-输入Windows防火墙(windows与防火墙之间有个空格)
4. 到客户端计算机上利用业务组内任意账户登录打开控制面板-系统和安全,可以看到
windows防火墙没有出现。
域组策略实例演示2-限制可执行文件的运行
假设要针对业务部内的所有计算机(图中只有一台计算机)进行设置,并且禁止所有用户在这些计算机上运行浏览器IE。我们将利用前一个实例创建的测试用GPO来练习。 我们要通过图中组织单位业务部内的计算机PC1进行练习,如果要练习的计算机在Computer容器,将其移动到组织单位业务部(请不要移动位于DomainControlles内的域控)。
APPLocker基本概念
我们将利用APPLocker功能来阻止IE。AppLocker可以让你针对不同类别的程序来设置不同的规则,它共分为以下5大类别。
? 可执行文件规则:适用于.exe与.com程序。 ? Windows安装程序规则:适用于.msi.msp.mst程序。 ? 脚本规则:适用于.ps1 .bat .cmd .vbs .js程序。
? 已封装的应用程序规则:适用于.appx程序(windows应用商店的程序)。 ? DLL规则:适用于.dll .ocx程序。
注:支持AppLocker的域成员:Win8Sta/Ent/Pro, Win7ult/Ent,Win2012 Data/Sta,Win 2008R2 Data/Ent/Sta。
如果要针对Win XP等旧客户端来封锁,请利用软件限制策略。
域组策略与AppLocker实例演示
Win8可以通过菜单中IE来打开浏览器,默认位置profile\\ie\\ie.exe中。以下范例将禁用ie.exe,但是不阻止其他动态磁贴程序。 1. 编辑测试用GPO。
2. 计算机配置-策略-Windows设置-安全设置-应用程序控制策略-AppLocker-选中可执
行规则并单击鼠标右键-创建默认规则。
注:一旦创建规则后,凡是未在规则内的执行文件都会被阻止,因此我们需要先通过此步骤来创建默认规则,这些默认规则允许普通用户执行ProgramFiles与Windows文件夹内的所有程序,允许系统管理员执行所有程序。
3. 右侧的3个允许规则是前一个步骤所创建的默认规则,接着选中可执行规则并右键
-创建新规则

