Maak een nieuwe Domain GPO: Executable restriction policy
Rechtermuisknop > bewerken
Computerconfiguratie > Beleidsregels > Windows-instellingen > Beveiligingsinstellingen > Softwarerestrictiebeleid
Rechtermuisknop: Nieuwe softwarerestrictiebeleidsregels
Rechtermuisknop: Extra regels > Regel voor nieuw pad
Voeg de volgende restricties toe met beveiligingsniveau: Niet toegestaan:
%AppData%\*.exe %AppData%\*\*.exe %LocalAppData%\Temp\*.zip\*.exe %LocalAppData%\Temp\*\*.zip\*.exe %LocalAppData%\Temp\7z*\*.exe %LocalAppData%\Temp\Rar*\*.exe %LocalAppData%\Temp\wz*\*.exe %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\*.zip\*.exe %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\7z*\*.exe %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\Rar*\*.exe %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\wz*\*.exe *.*.exe *.*.scr
Voeg de volgende uitsluitingen toe met beveiligingsniveau: Onbeperkt:
C:\Users\%username%\Dropbox\.dropbox.cache\dropbox-upgrade-*.*.*.exe
C:\Program Files\Microsoft Silverlight\*.*.*.*\Silverlight.Configuration.exe
C:\Users\%username%\AppData\Local\Google\Update\Install\{*}\*.*.*.*.*.*.*.exe
%LocalAppData%\Dropbox\Update\Install\{*}\DropboxClient_*.*.*.exeZorg dat op alle werkstation de policy wordt bijgewerkt met het commando:
gpupdate /force /boot
Let er wel op dat met /boot de gebruiker automatisch wordt afgemeld.