Неявные правила, о которых необходимо помнить
При создании правил во время проектирования политики примите во внимание следующие аспекты.
Сценарии входа
Сценарии входа хранятся на центральном сервере. Часто эти серверы могут меняться при каждом входе пользователя в систему. Если Вы используете правило по умолчанию Не разрешено (Disallowed), убедитесь, что Вы создали правила, определяющие местонахождение файлов сценариев входа. Рассмотрите возможность использования подстановочных знаков для определения этих местоположений, если серверы входа имеют похожие имена.
Служба защиты файлов
Служба защиты файлов содержит архивные копии многих системных программ в папке, которая называется dllcache. Эти программы могут быть запущены пользователем, который знает полный путь к архивной копии. Если Вы не хотите разрешать пользователям запускать программы, находящиеся в архивной папке, Вы можете создать следующее правило: %WINDIR%\system32\dllcache, Не разрешено (Disallowed).
Общие местоположения файлов автозагрузки
Windows имеет много местоположений, содержащие ссылки на программы, автоматически выполняемые при загрузке. Если Вы забудете разрешить выполнение этих программ, пользователи будут получать сообщения об ошибках во время входа в систему.
Общие местоположения файлов автозагрузки включают в себя:
- %USERPROFILE%\Start Menu\Programs\Startup
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup
- Win.ini, System.ini lines beginning with "run=" and "load="
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Антивирусные программы
Большинство антивирусных пакетов имеют программу-сканер, работающую в режиме реального времени и запускающуюся при входе пользователя в систему. Эта программа сканирует все файлы, к которым обращается пользователь, проверяя их на предмет возможного заражения вирусом. Убедитесь, что Ваши правила позволяют выполняться антивирусным программам.