มันง่ายกว่า Blacklist มากกว่า Whitelist เป็นไปได้มากว่าคุณมีความคิดว่าคุณไม่ต้องการให้ผู้ใช้ทำงานอะไร วิธีที่ Windows จัดการสิ่งนี้คือผ่านนโยบายการ จำกัด ซอฟต์แวร์ใน GPO ของคุณ นโยบายการ จำกัด ซอฟต์แวร์สามารถนำมาใช้เพื่ออนุญาตให้ซอฟต์แวร์ทำงานรวมทั้งปฏิเสธได้ มีสี่วิธีที่แตกต่างกันให้ใช้คือ: กฎแฮช, กฎใบรับรอง, กฎพา ธ และกฎโซนอินเทอร์เน็ต
กฎแฮชกฎใช้แฮช MD5 หรือ SHA-1 ของไฟล์ในการจับคู่ นี่อาจเป็นการต่อสู้ที่ยากเย็นแสนเข็ญ การพยายามบล็อกบางอย่างเช่น pwdump โดยใช้กฎแฮชจะส่งผลให้มีรายการจำนวนมากสำหรับ pwdump แต่ละเวอร์ชันที่แตกต่างกัน และเมื่อมีเวอร์ชั่นใหม่ออกมาคุณจำเป็นต้องเพิ่มเวอร์ชั่นนั้นด้วย
กฎของเส้นทางจะขึ้นอยู่กับตำแหน่งของไฟล์ในระบบไฟล์ ดังนั้นคุณสามารถ จำกัด "\ program files \ aol \ aim.exe" ตัวอย่างเช่น แต่ถ้าผู้ใช้เลือกที่จะติดตั้งลงใน "\ myapps \ aol \ aim.exe" มันจะได้รับอนุญาต คุณสามารถใช้อักขระตัวแทนเพื่อครอบคลุมไดเรกทอรีเพิ่มเติม นอกจากนี้ยังเป็นไปได้ที่จะใช้เส้นทางรีจิสทรีหากซอฟต์แวร์มีรายการรีจิสทรี แต่คุณไม่ทราบว่าจะติดตั้งที่ใด
กฎใบรับรองมีประโยชน์สำหรับซอฟต์แวร์ที่มีใบรับรอง ซึ่งหมายถึงซอฟต์แวร์เชิงพาณิชย์ส่วนใหญ่ คุณสามารถสร้างรายการ Certs ที่ได้รับอนุญาตให้ทำงานบนระบบของคุณและปฏิเสธทุกอย่างอื่น
กฎของโซนอินเทอร์เน็ตใช้เฉพาะกับแพ็คเกจ Windows Installer ฉันไม่เคยใช้สิ่งนี้เลยฉันไม่สามารถแสดงความคิดเห็นได้มากนัก
GPO ที่เหมาะสมจะใช้กฎเหล่านี้หลายอย่างเพื่อครอบคลุมทุกอย่าง ซอฟต์แวร์ที่ จำกัด คุณต้องคิดถึงสิ่งที่คุณต้องการป้องกันเพื่อทำให้ถูกต้อง ถึงอย่างนั้นมันก็อาจจะไม่ถูกต้อง Technet มีบทความดีๆเกี่ยวกับการใช้นโยบายการ จำกัด ซอฟต์แวร์และฉันแน่ใจว่ามีเอกสารดีๆอื่น ๆ จากเว็บไซต์ของ Microsoft ที่พบในเครื่องมือค้นหาที่คุณชื่นชอบ
โชคดี!