Запретить выполнение исполняемых файлов Windows

11

Есть ли способ сказать Windows (XP и выше) не выполнять файлы (* .exe файлы), которые присутствуют в дисках / папках, кроме определенных папок, которые я упоминаю? Короче говоря, я хочу, чтобы исполняемые файлы выполнялись только из « белого списка ».

Я думаю, что это лучше, чем просить пользователей не запускать исполняемые файлы с мусорных компакт-дисков, которые они приносят из дома.

windows security malware splattne
источник

Ответы:

12

вы хотите политики ограниченного использования программ . Эта недостаточно используемая функция современной Windows позволяет администратору разрешать или запрещать запуск исполняемых файлов на основе пути или даже на основе криптографической подписи. Кстати, вы хотите больше, чем просто EXE. Политики ограниченного использования программ содержат список из 30 или 40 дополнительных типов файлов, которые необходимо ограничить, таких как CMD и SCR, Хранители экрана. Кроме того, вы можете заблокировать DLL.

Я бы оценил его эффективность значительно лучше, чем антивирус. Кроме того, сложно информировать пользователей о атаках социальной инженерии, которые использует современное вредоносное ПО, например, о том, как заставить пользователя щелкнуть по ListenToThisMusic.mp3.exe.

Нокс
источник
Вы попали в гвоздь. :) Предприятие было успешным.
5

Я был бы осторожен с этим. Вы не сможете на 100% заблокировать все, и вы практически не сможете использовать машины для пользователей. Вы должны обратить внимание на обучение своих пользователей и внедрение процесса, политики и образования. Вам нужно найти правильный баланс между ограничением действий и производительностью конечного пользователя.

Я вижу МНОГО потраченных впустую $$$ в компаниях, где они делают пользователей, живущих в абсолютном аду, просто чтобы немного облегчить задачу ребятам из службы поддержки.

Брюс Маклеод
источник
1
Я не уверен, почему люди отвергли Брюса здесь. Он поднимает хорошую мысль. Если у вас нет четко определенного и небольшого списка приложений, которые вы хотите, чтобы люди использовали, тесные SRP могут стать серьезной проблемой.
Роб Мойр
Это небольшой ответ, и он будет работать только с теми пользователями, которые действительно допускают ошибки. Если вы имеете дело с типом пользователя, который всегда будет плохим, вам нужен более жесткий контроль. Политика, поддерживаемая HR, может иметь дело с инцидентом только после того, как он произошел, и к тому времени у вас может возникнуть значительный хаос для его устранения. Это больше о достижении правильного баланса, чем о том, чтобы быть драконовским.
Максимус Минимус
Хорошая точка зрения. Как и многие другие вещи, важно убедиться, что ИТ-политика соответствует тому, что хочет компания. Например, если бы у нас был банк, у нас могли бы быть компьютеры в лобби для клиентов, кассиров, разработчиков и генерального директора, который хочет играть в Doom. Лобби-компьютеры будут заблокированы с помощью SRP и, возможно, Steady State. Кассиры не могут устанавливать программное обеспечение; они не администраторы; и SRP не применяет никакого программного обеспечения, кроме того, которое установлено для них. Разработчики являются администраторами на своих машинах, и SRP также менее ограничен. И CIO заботится о машине генерального директора.
Нокс
На самом деле вы можете заблокировать его на 100%, это просто делает машину гораздо менее утилитарной. Я все время использую SRP для создания машин ввода данных.
Джим Б
Я не использую это в личных системах (кабина компании) пользователей. Только в лабораториях, где люди делят системы, и мы точно знаем, какое программное обеспечение они будут использовать. Это различие , поскольку эти системы содержат конфиденциальные данные , в то время как персональные системы , как правило , используются для их других работ , включая проверку почты, порно (;-)) и т.д. Мое раздражение является то , что некоторые пользователи cuoldn't контролировать себя в короткое время они проводят в лаборатория Поэтому мы идем SRP путем. :)
1

Вы можете внести в белый список использование политик ограниченного использования программ в объектах групповой политики, но я не уверен, насколько это эффективно. Я бы поставил на это небольшой пончик, работающий с большинством не злонамеренных пользователей в большинстве мест, но я бы не поставил свою карьеру на то, чтобы он работал везде, и я бы не стал рассчитывать на это в тех местах, где я ожидал, что он подвергнется атаке ( например, образовательная среда).

Конечно, вы можете заблокировать запуск кода с определенных устройств и областей диска с помощью комбинации ACL и Software Restrictions, и это полезный инструмент безопасности, но я бы сделал его небольшой частью политики безопасности, а не краеугольным камнем ,

Роб Моир
источник
0

Вы можете использовать Cisco Security Agent с правилом, которое (после периода «только просмотр» для обучения) блокирует любой исполняемый файл, который ранее не запускался.

Вы можете разрешить выполнение исполняемых файлов из определенных каталогов, если хотите.

hellimat
источник
0

В черный список гораздо проще, чем в белый список. Скорее всего, у вас есть представление о том, что вы не хотите, чтобы пользователи запускали. Windows справляется с этим с помощью политик ограниченного использования программ в вашем объекте групповой политики. Политики ограниченного использования программ могут использоваться как для разрешения, так и для запуска программного обеспечения. Существует четыре различных метода, доступных для использования: правила хеширования, правила сертификатов, правила путей и правила зон Интернета.

Правила хеш-правил используют хеш-код файла MD5 или SHA-1 в своем совпадении. Это может быть тяжелая битва. Попытка заблокировать что-то вроде pwdump с использованием только правила хеширования приведет к большому количеству записей для каждой отдельной версии pwdump. И когда выйдет новая версия, вам нужно добавить и ее.

Правила пути основаны на расположении файла в файловой системе. Таким образом, вы можете, например, ограничить «\ program files \ aol \ aim.exe», но если пользователь решит установить его в «\ myapps \ aol \ aim.exe», это будет разрешено. Вы можете использовать подстановочные знаки, чтобы покрыть больше каталогов. Можно также использовать путь к реестру, если в программном обеспечении есть запись в реестре, но вы не знаете, где она будет установлена.

Правила сертификатов полезны для программного обеспечения, которое включает сертификат. Что означает в основном коммерческое программное обеспечение. Вы можете создать список сертификатов, которым разрешено работать в ваших системах, и запретить все остальное.

Правила зоны Интернета применяются только к пакетам установщика Windows. Я никогда не использовал это, поэтому я не могу комментировать это много.

Правильный GPO будет использовать несколько из этих правил, чтобы охватить все. Ограничение программного обеспечения требует, чтобы вы действительно думали о том, что вы хотите предотвратить, чтобы сделать это правильно. Даже тогда это, вероятно, все еще не правильно. У Technet есть несколько хороших статей об использовании политик ограниченного использования программ, и я уверен, что есть другие хорошие документы с сайта Microsoft, найденные через вашу любимую поисковую систему.

Удачи!


источник