批量导入不受信任的证书及软件限制策略的应用
2017-04-04 00:44
501 查看
我相信,在企业IT管理中比较恼火的就是员工电脑私装软件了。(我知道一些带客户端的行为管理设备可以搞,但那不是要额外花钱么?)
特别是国产四大垃圾——“卫士”、“管家”、“助手”、“精灵”。
但是好在这些垃圾现在都带着身份证(数字签名)上岗了,有了明确目标,搞起来还比较容易一些。
一个很简单的办法,把这些软件签名的证书提取出来,加入不受信任的证书列表中。
然后开启软件限制策略,有一个“受信任的发布者”策略,打开后选中“验证发布者证书是否被吊销”,“验证时间戳证书是否被吊销”。
最后更新一下组策略即可。
现在问题就是,要禁止的软件(签名证书)比较多,一个一个往里面导入很费劲啊。
看了一下,微软windows sdk里提供里一个工具——certmgr.exe。此工具可以用命令行形式导入、删除证书。
使用方法如下:
>certmgr.exe -add "360.cer" -s -r localMachine Disallowed
其中:
360.cer是证书文件;
localMachine是指本地计算机(相对的是当前用户);
Disallowed是证书存储分区——不信任的证书。其他的存储分区对应的名称可以到注册表HKLM\software\Microsoft\systemcertificates下面查找。
如此一来,写个批处理就万事大吉了。
提示:经测试,网上随便找的6.0.6001.17131版本的certmgr.exe可以用于win10 x64版本。
特别是国产四大垃圾——“卫士”、“管家”、“助手”、“精灵”。
但是好在这些垃圾现在都带着身份证(数字签名)上岗了,有了明确目标,搞起来还比较容易一些。
一个很简单的办法,把这些软件签名的证书提取出来,加入不受信任的证书列表中。
然后开启软件限制策略,有一个“受信任的发布者”策略,打开后选中“验证发布者证书是否被吊销”,“验证时间戳证书是否被吊销”。
最后更新一下组策略即可。
现在问题就是,要禁止的软件(签名证书)比较多,一个一个往里面导入很费劲啊。
看了一下,微软windows sdk里提供里一个工具——certmgr.exe。此工具可以用命令行形式导入、删除证书。
使用方法如下:
>certmgr.exe -add "360.cer" -s -r localMachine Disallowed
其中:
360.cer是证书文件;
localMachine是指本地计算机(相对的是当前用户);
Disallowed是证书存储分区——不信任的证书。其他的存储分区对应的名称可以到注册表HKLM\software\Microsoft\systemcertificates下面查找。
如此一来,写个批处理就万事大吉了。
提示:经测试,网上随便找的6.0.6001.17131版本的certmgr.exe可以用于win10 x64版本。
相关文章推荐
- 脚本和软件限制策略的应用
- 组策略应用之二――限制客户端软件安装及使用
- 活动目录系列之四:脚本和软件限制策略的应用
- 活动目录系列之四:脚本和软件限制策略的应用
- 活动目录系列之四:脚本和软件限制策略的应用
- 软件限制策略的简单应用应用简单策略限制软件运行所有
- Windows XP 客户端的软件限制策略一
- 利用组策略限制P2P软件(防止更改文件名称运行程序)
- 在Cisco IOS中应用QoS策略限制P2P流量
- IP网限制p2p应用流量的qos策略
- 组策略限制用户使用特定的软件
- 组策略对软件使用的限制
- 鹰网在线 - 软件行业解决方案 - 行业软件应用策略专家
- 用软件来解决电池供电应用功耗难题的策略
- 组策略应用之二——限制客户端软件安装及使用
- 13.软件限制策略
- 关于组策略软件限制策略规则
- 在Cisco IOS中应用QoS策略限制P2P流量
- windows server 2003 应用组策略部署和管理软件
- 软件限制策略使用小结