Windows 2003 GPO软件限制

我们正在Windows 2003域中运行终端服务器场，并且发现应用于TS服务器的软件限制GPO设置存在问题。以下是我们的配置和问题的详细信息：

我们所有的服务器（域控制器和终端服务器）都在运行Windows Server 2003 SP2，域和林都处于Windows 2003级别。我们的TS服务器位于一个OU中，在该OU中我们链接了特定的GPO并阻止了继承，因此只有TS特定的GPO应用于这些TS服务器。我们的用户都是远程用户，没有工作站加入我们的域，因此我们不使用环回策略处理。我们采用“白名单”方法来允许用户运行应用程序，因此只有我们批准并添加为路径或哈希规则的应用程序才能运行。我们将“软件限制”中的“安全级别”设置为“不允许”，并且“强制执行”设置为“除库之外的所有软件文件”。

我发现，如果我给用户一个应用程序的快捷方式，即使该应用程序不在“列入白名单的”应用程序的“其他规则”列表中，他们也可以启动该应用程序。如果我给用户该应用程序的主要可执行文件的副本，并且他们尝试启动它，则会收到预期的“此程序已被限制...”消息。似乎软件限制确实有效，除了当用户使用快捷方式启动应用程序而不是从主可执行文件本身启动应用程序时，这似乎与使用软件限制的目的相矛盾。

我的问题是：还有其他人看到过这种行为吗？任何人都可以重现这种行为吗？我对软件限制的了解中缺少什么吗？我是否可能在“软件限制”中配置了错误的内容？

编辑

为了稍微澄清这个问题：

没有更高级别的GPO被执行。运行gpresults表明，实际上，仅应用了TS级别的GPO，我确实可以看到我的软件限制正在应用。没有使用路径通配符。我正在使用位于“ C：\ Program Files \ Application \ executable.exe”的应用程序进行测试，并且该应用程序可执行文件不在任何路径或哈希规则中。如果用户直接从应用程序的文件夹中启动主应用程序可执行文件，则将实施软件限制。如果我为用户提供了指向“ C：\ Program Files \ Application \ executable.exe”中的应用程序可执行文件的快捷方式，则他们可以启动该程序。

编辑

另外，LNK文件在“指定文件类型”中列出，因此应将它们视为可执行文件，这意味着它们受相同的软件限制设置和规则约束。

所以我终于找到了答案。在我们的软件限制规则中，存在如下路径规则：

％HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir％

这允许Program Files目录及其子目录中的所有可执行文件不受阻碍地运行。配置软件限制时，默认情况下会添加此路径。删除此路径规则将导致所有程序被拒绝，即使已将其可执行文件显式添加为不受限制的路径也是如此。

这就引出了一个问题：如果所有程序中有99％安装到Program Files目录中，但是我想限制某些程序，那么如何使用软件限制来实现这一目标？

同样重要的问题是，除了那些不在程序文件中的程序或可执行文件之外，软件限制到底有什么用？

我将检查您为用户创建的快捷方式上的ACL。根据软件限制策略最佳实践：安全策略；安全服务，

用户可能会尝试通过重命名或移动不允许的文件或覆盖未限制的文件来规避软件限制策略。因此，建议您使用访问控制列表（ACL）拒绝用户执行这些任务所需的访问权限

您可能要尝试删除LNK作为指定的文件类型。即使它们被视为可执行文件，也不应该这样。这样，应将软件限制应用于LNK文件目标的可执行文件，而不是LNK文件本身。

我已经经历了您所说的话，这很烦人。我敢肯定，默认情况下，您的用户可以运行程序文件中安装的应用程序。

您是否尝试过以NTFS权限和白名单方式限制对应用程序的访问？

然后，用户可以使用快捷方式访问所需的内容，这对他们没有帮助，因为他们将无法访问该程序。

参考：http : //www.virtualizationadmin.com/articles-tutorials/terminal-services/security/locking-down-windows-terminal-services.html