我相信,在企业IT管理中比较恼火的就是员工电脑私装软件了。(我知道一些带客户端的行为管理设备可以搞,但那不是要额外花钱么?)
特别是国产四大垃圾——“卫士”、“管家”、“助手”、“精灵”。
但是好在这些垃圾现在都带着身份证(数字签名)上岗了,有了明确目标,搞起来还比较容易一些。
一个很简单的办法,把这些软件签名的证书提取出来,加入不受信任的证书列表中。
然后开启软件限制策略,有一个“受信任的发布者”策略,打开后选中“验证发布者证书是否被吊销”,“验证时间戳证书是否被吊销”。
最后更新一下组策略即可。
现在问题就是,要禁止的软件(签名证书)比较多,一个一个往里面导入很费劲啊。
看了一下,微软windows sdk里提供里一个工具——certmgr.exe。此工具可以用命令行形式导入、删除证书。
使用方法如下:
>certmgr.exe -add "360.cer" -s -r localMachine Disallowed
其中:
360.cer是证书文件;
localMachine是指本地计算机(相对的是当前用户);
Disallowed是证书存储分区——不信任的证书。其他的存储分区对应的名称可以到注册表HKLM\software\Microsoft\systemcertificates下面查找。
如此一来,写个批处理就万事大吉了。
提示:经测试,网上随便找的6.0.6001.17131版本的certmgr.exe可以用于win10 x64版本。
