Политика Windows GPO Software Restrictions, не работающая с %TEMP переменной %

Я пытаюсь вставить некоторые худые дополнительные вредоносные меры по предотвращению путем ограничения выполнения *.exe в горстке местоположений - в частности, временные папки, к которым разархивировали различные инструменты сжатия, когда пользователь мог бы принять решение открыть исполняемый файл прямо из zip-файла.

Из статьи TechNet, http://technet.microsoft.com/nl-nl/library/cc786941%28v=ws.10%29.aspx:

Можно использовать переменные среды в правиле пути. Так как правила пути оценены в клиентской среде, способность к переменным условий применения (например, %Windir %) позволяет правилу адаптироваться к среде конкретного пользователя.

...

Правило пути может соединиться? и * подстановочные знаки, позволяя правилам, таким как "*.vbs" соответствовать всем файлам Сценария Visual Basic. Следующие примеры иллюстрируют использование подстановочных знаков:

• DC “\\-??\login$” соответствует \DC-01\login$, \DC-02\login$
• “*\Windows” соответствует C:\Windows, D:\Windows, E:\Windows
• “c:\win*” соответствует c:\winnt, c:\windows, c:\windir

У меня есть эти правила Пути (который я применил и особенно и в различных комбинациях):

• %APPDATA%\*.exe
• %APPDATA%\*\*.exe
• %LOCALAPPDATA%\*.exe
• %LOCALAPPDATA%\*\*.exe
• %TEMP%\*.exe
• %TEMP%\7z*\*.exe
• %TEMP%\wz*\*.exe
• %TEMP%\Rar*\*.exe

... который теоретически должен представить исполняемые файлы непосредственно под временной папкой пользователя, и исполняемые файлы во временных папках назвали таким образом, что Winzip, WinRAR и с 7 zip могли бы назвать их временные папки (например. %TEMP%\7zSF20.tmp\the_file.exe).

%APPDATA% и %LOCALAPPDATA% работа; %TEMP% не делают. Исполняемые файлы, кажется, заблокированы под %TEMP %, но это - то, только потому, что в установке по умолчанию они также соответствуют %LOCALAPPDATA%\*\*.exe правило (Временный файл находится под AppData\Local, по умолчанию).

Я первоначально думал, что это было проблемой с подстановочными знаками на частичные имена папок, но кажется, что это характерно для использования %TEMP переменной % (следовательно переписывание).

Эти два обходных решения, которые я подтвердил (и почему я предпочел бы не использовать их):

1. использование %LOCALAPPDATA%\Temp вместо %TEMP%

   • Строго говоря это не корректно, как %TEMP% переменная может быть установлена отличаться от %LOCALAPPDATA%\Temp.

2. использование %HKEY_CURRENT_USER\Environment\TEMP%

   • Основанные на реестре правила пути, кажется, относятся ко всем подпапкам - я предпочел бы немного более легкое касание (таким образом, я не должен обходить белый список всего остального),
   • Основанные на реестре правила, кажется, ограничены таким образом, что у Вас не может быть ничего более определенного, например. %HKEY_CURRENT_USER\Environment\TEMP%\7z*\*.exe
     • Я с тех пор обнаружил %HKEY_CURRENT_USER\Environment\TEMP%7z* будет рядом ( \ между переменной и подпапкой не должен быть указан, и Вы не можете указать маску имени файла впоследствии),
   • Это также также технически неправильно, поскольку это местоположение реестра только содержит значение, поскольку это должно быть в начале процесса и не, на что это могло бы быть изменено в ходе того процесса - например, это не применялось бы при открытии Command Prompt, выпущенного SET TEMP=C:\ и запустил программу от подсказки).

(Если это имеет значение я попытался настроить SRP и в Компьютерных и в Пользовательских разделах GPO, и независимо и одновременно, в случае, если каждый перезаписал другой, или %TEMP% был разрешен по-другому в Computer и Уровне пользователя.)

Что является настолько особенным о %TEMP% переменная, как которая это не применялось бы здесь, тогда как что-то %LOCALAPPDATA%\Temp\\wz*\\*.exe был бы?

Обновление:

Кажется, что ограничение конкретно с %TEMP% переменная среды. Я отредактировал вопрос, как таковой.