Как я могу остановить запуск .exe со съемных носителей, таких как USB-накопители?

10

У меня проблема с пользователями, работающими с .exe со съемного носителя, такого как Memory Stick и SD-карты.

Я пытаюсь настроить блокировку запуска exe из всех съемных хранилищ для борьбы с этим, однако в настройках групповой политики в «Конфигурация пользователя> Параметры Windows> Параметры безопасности> Политики ограниченного использования программ> Дополнительные правила» вы можете создать «путь» переменная. Я хотел бы использовать системную переменную для всех съемных носителей, но не знаю, есть ли такая, которая работает. Должен ли я пройти и создать список блокировки для всех потенциальных букв дисков, которые могут быть назначены съемным носителям (от E: \ до до L: \), или есть такой, который действительно работает? Я обнаружил, %~dp0что, по-видимому, работает только для циклов, если операторы и параметры пакета.

Если есть другие, лучшие или более надежные меры, пожалуйста, дайте мне знать.

О, я посмотрел на AppLocker, но на нашем DC работает Server 2008, и я считаю, что AppLocker является частью Windows 7 и 2008 R2. Как упоминалось в комментариях к ответу ниже, я не думаю, что в Server 2008 есть параметр «Запретить выполнение», есть ли другие варианты?

windows-server-2008 group-policy tombull89
источник

Ответы:

12

Вы можете остановить выполнение программного обеспечения на съемных устройствах через объект групповой политики. Параметр находится в разделе «Компьютер»> «Административные шаблоны»> «Система»> «Доступ к съемному хранилищу»> «Съемные диски»: «Запретить доступ к выполнению».

введите описание изображения здесь

Редактировать:

Есть ли у вас доступ к системе Server 2008 R2? Если это так, вы можете создать параметр политики, скопировать его на диск, перенести в систему Server 2008 и импортировать политику обратно. Это не даст вам возможности изменить политику, но вы сможете увидеть настройки, как Extra Registry Settingsи они должны нормально работать на ваших клиентах Windows 7.

Если это поможет, я только что создал резервную копию такой политики и разместил ее в Dropbox для загрузки. Обычное использование на свой страх и риск применяется.

Bryan
источник
Это функция Server 2008 или 2008 R2? Я не вижу «Запретить доступ к выполнению» (или какие-либо функции ленты или WPD).
tombull89
Вы определенно смотрите на политики компьютера, а не политики пользователя? В 2008 R2 они не отображаются в соответствии с политиками пользователя, но включены в политики компьютера. Он может быть недоступен в разделе «Политики компьютера» в версии, отличной от R2, и в этом случае я извиняюсь за то, что ввел вас в заблуждение. Боюсь, у меня нет системы не R2, чтобы проверить это, хотя.
Брайан
Извините, я ошибся в своем комментарии выше. У меня есть функции ленты и WPD, только ни один из разделов не имеет права «Выполнить», только чтение / запись. Я нахожусь под компьютерными политиками также. Если я просматриваю «все настройки», то его тоже нет в этом списке.
tombull89
3
У меня нет системы для тестирования, но, возможно, вы можете попробовать загрузить административные шаблоны для Server 2008 R2 и Windows 7 . Это может обеспечить параметры политики, необходимые для настройки ваших клиентов.
Брайан
Установил административные шаблоны, по-прежнему не показывая доступ к исполнению, как ожидалось.
tombull89
2

Некоторые корпоративные антивирусные продукты (например, McAfee , Sophos , Symantec ) включают эту функцию как нечто, что можно включить на корпоративном уровне. Может быть, это есть в вашем корпоративном антивирусном решении.

dunxd
источник