上文讲到了,如果基于程序的名称限制,用户可以更改可执行文件的名称,那么限制就会失效。而如果基于软件哈希值来限制,那么就算用户修改文件名,限制还是有效,配置步骤:
首先打开组策略管理,在需要编辑的GPO上右键点击编辑
在用户配置>策略>Windows设置>安全设置>软件限制策略>右键单击创建软件限制策略
点击 其他规则,在右侧空白地方右键,点击新建哈希规则
点击浏览,这里需要事先准备好需要禁止的应用程序,比如从客户机上拷贝一个过来,或者通过网络共享也可以选择,这里我事先准备了win7系统下的powershell文件,安全级别为默认的“不允许”即可
文件信息栏显示了该文件版本号等基本信息
最后点击确定,然后Win7客户机gpupdate ,注销重新登陆,运行powershell,看看效果:
这里需要注意的一点是,因为不同系统同一软件的版本可能并不相同,哈希值并不一样,那就需要创建多个软件限制策略,比如要限制powershell,win7和win8的powershell版本不同,哈希值不一样,那么需要针对多个powershell版本,建立多条策略。
