Server上定義非Administrator群組使用者禁用的執行程式
當Windows Server開啟遠端面連線服務後,一般我們會開放某些特定使用者利用RDP遠端桌面服務由外地連線至主機進行應用程式的操作,但由於連上主機之後該使用者在環境設定上預設是可以執行應用程式(例如:ERP、瀏覽器…..)甚是可以進入本機安全性原則…等,包含變更Windows的內部設定控制程式,因此我們就會將這些使用者定義為非Administrator群組人員,並將其限制禁用程式讓非Administrator群組人員禁止使用該程式(例如:瀏覽器、本機安全性原則….),如此就可以避免使用者透過RDP遠端桌面服務連上主機之後,透過主機瀏覽器上網進行下載程式,也可以避免使用者變更到Windows安全性設定,但又保有Administrator的執行程式權限功能。以下就是透過本機安全性原則的設定步驟來達到防堵的動作。
開啟本機安全性原則:
軟體限制原則–>強制–>將軟體限制原則套用到下列使用者–>設定為:本機系統管理員之外的使用者
軟體限制原則–>其他原則–>新增要增加禁止執行的程式(採用雜湊規則)