Да. Если вы включите исполняемые правила по умолчанию, только приложения, установленные в Program Files / Program Files (x86) и Windows, будут разрешены для стандартного использования. Администраторы получают переопределение для запуска чего угодно и поэтому могут устанавливать программное обеспечение.
Также рассмотрите возможность включения функции DLL с набором правил по умолчанию. Это предотвращает неожиданное внедрение DLL. Несмотря на предупреждение о том, что правила DLL могут влиять на производительность, я не могу сказать разницу.
Одна проблема заключается в том, что Google Chrome, Amazon Kindle для ПК, Cisco WebEx и Citrix GoToMeeting и т. Д. Устанавливаются для каждого пользователя в AppData или глобальные папки AppData, которые не разрешено использовать. Все эти компании используют подписывание кода, поэтому вы можете создавать правила издателя, чтобы доверять коду от Amazon, Cisco, Google, Citrix и т. Д.
Я также рассмотрел бы включение скрипта и правил установщика. Мне нравится добавлять правило в Permit * .ps1, так как PowerShell имеет собственную политику выполнения скриптов.