Ja. Wenn Sie die Standardregeln für ausführbare Dateien aktivieren, dürfen nur Anwendungen, die in Programme / Programme (x86) und Windows installiert sind, für Standardzwecke ausgeführt werden. Administratoren erhalten eine Außerkraftsetzung, um etwas auszuführen, und können daher Software installieren.
Erwägen Sie auch das Aktivieren der DLL-Funktion mit dem Standardregelsatz. Dies verhindert, dass eine Überraschungs-DLL-Injektion stattfindet. Trotz der Warnung, dass DLL-Regeln die Leistung beeinflussen können, kann ich keinen Unterschied feststellen.
Ein Problem besteht darin, dass sich Google Chrome, Amazon Kindle für PC, Cisco WebEx und Citrix GoToMeeting usw. pro Benutzer in AppData oder den globalen AppData-Ordnern installieren, die nicht zulässig sind. Alle diese Unternehmen verwenden Codesignaturen, sodass Sie Publisher-Regeln erstellen können, um dem Code von Amazon, Cisco, Google, Citrix usw. zu vertrauen.
Ich würde auch in Betracht ziehen, die Regeln für das Skript und das Installationsprogramm zu aktivieren. Ich mag es, Permit * .ps1 eine Regel hinzuzufügen, da PowerShell über eine eigene Skriptausführungsrichtlinie verfügt.