非企业Windows PC上的应用程序白化方法/选项

Question

有一段时间，我一直在尝试在我管理的一些机器(由2-3个不同的咨询客户拥有)上实现应用程序白名单的想法，这些机器似乎适合它。这些PCI机处理敏感数据(例如PCI覆盖的卡信息)，但使用其中一种处理这些信息的员工几乎不需要使用一两个选定的桌面业务程序就可以做到这一点。因此，应用程序白名单机制(作为深入防御的一部分)似乎是一种自然考虑的可能性。实现其中一个目标是为了两个目的：(a)设置一个技术障碍--与政策相反--安装或使用程序，如浏览器或IM应用程序，这些程序可能对接触恶意软件感染病毒产生非常严重的影响，以及(b)实际上(希望)减少任何在这些PC上运行的恶意代码能够成功运行或在计算机上安装持久恶意软件元素的可能性。

问题是:这些机器都在运行Windows 7专业版或Windows 10专业版。意思是无阿波克无阿波克，没有设备保护(在Windows 10上)作为烘焙选项。我已经了解到，可以使用这种古老的技术来过滤文件名允许运行的可执行文件，这并不会让我觉得它是一种很好的支持，因为通过查看签名的代码或文件哈希来验证程序是允许的。现在，当然，有很多第三方应用程序白名单解决方案的there...and -大多数或所有到目前为止是相当昂贵的，往往需要购买一个完整的安全套件。这就要求我和其中一些客户一起进入内部预算流程，说服持怀疑态度的管理者，否则就会承受很大的痛苦。

所以，我想我是在问:这里有没有明显的方法，选项，等等，我错过了？有什么我没听说过的流行的免费/开源选项？任何已知的修改Windows设置的技巧(比如上面的过滤方法)，编写脚本，或者任何类似的我可以用Windows做的事情，可以让我曾傑瑞把一些可能很好的东西装配在一起吗？有什么想法？

Answer 1

我认为软件限制策略是您要寻找的。它基本上是Applocker的前身，仍然支持应用程序白名单或黑名单。它不像Applocker那样强大或全面，但是在没有Applocker的专业版上，它可以完成任务。

有关更多细节，请参见Spiceworks部署指南和微软Technet描述。