Zapobiegaj wykonywaniu plików wykonywalnych systemu Windows

11

Czy jest jakiś sposób, aby powiedzieć systemowi Windows (XP i nowszym), aby nie wykonywał plików (* .exe), które są obecne w dyskach / folderach innych niż niektóre foldery, o których wspomniałem? Krótko mówiąc, chcę, aby pliki wykonywalne były tylko z „ białej listy ”.

Myślę, że jest to lepsze niż proszenie użytkowników, aby nie uruchamiali żadnych plików wykonywalnych z jakichkolwiek śmieciowych płyt CD, które przynoszą z domu.

windows security malware splattne
źródło

Odpowiedzi:

12

chcesz Zasady ograniczeń oprogramowania . Ta nie w pełni wykorzystana funkcja nowoczesnego systemu Windows pozwala administratorowi zezwolić na uruchamianie plików wykonywalnych na podstawie ścieżki lub nawet na podstawie podpisu kryptograficznego. Nawiasem mówiąc, chcesz więcej niż tylko pliki EXE. Zasady ograniczeń oprogramowania zawierają listę 30 lub 40 dodatkowych typów plików, które należy ograniczyć, takich jak CMD i SCR, wygaszacze ekranu. Ponadto możesz blokować biblioteki DLL.

Oceniłbym jego skuteczność jako znacznie lepszą niż antywirusowa, a także trudno jest edukować użytkowników na temat ataków socjotechniki wykorzystywanych przez współczesne złośliwe oprogramowanie, takich jak nakłonienie użytkownika do kliknięcia ListenToThisMusic.mp3.exe.

Knox
źródło
Uderzyłeś w gwóźdź. :) Przedsięwzięcie zakończyło się sukcesem.
5

Byłbym ostrożny z tym. Nie będziesz w stanie w 100% zablokować wszystkiego i sprawisz, że korzystanie z maszyn będzie prawie niemożliwe. Powinieneś spojrzeć na edukację użytkowników i wdrożenie procesu, zasad i edukacji. Musisz znaleźć właściwą równowagę między ograniczaniem działań a produktywnością użytkownika końcowego.

Widzę DUŻO zmarnowanych $$$ w firmach, w których użytkownicy żyją w absolutnym piekle tylko po to, aby ułatwić ludziom wsparcie.

Bruce McLeod
źródło
1
Nie jestem pewien, dlaczego ludzie ocenili Bruce'a tutaj. Podnosi dobrą rację. Jeśli nie masz bardzo jasno zdefiniowanej i małej listy aplikacji, z których chcesz, aby ludzie korzystali, ciasne SRP mogą być całkowitym utrudnieniem.
Rob Moir
Jest to odpowiedź na wszystkie problemy i działa tylko z użytkownikami, którzy naprawdę popełniają błędy. Jeśli masz do czynienia z typem użytkownika, który zawsze będzie zły, potrzebujesz silniejszej kontroli. Polityka wspierana przez HR może poradzić sobie z incydentem dopiero po jego wystąpieniu i do tego czasu możesz mieć znaczne spustoszenie. Chodzi bardziej o osiągnięcie właściwej równowagi niż o bycie smokowcem.
Maximus Minimus
Słuszna uwaga. Podobnie jak wiele innych rzeczy, ważne jest, aby upewnić się, że zasady IT są zgodne z tym, czego chce firma. Na przykład, gdybyśmy mieli bank, moglibyśmy mieć komputery w lobby dla klientów, kasjerów, programistów i dyrektora generalnego, który chce zagrać w Doom. Komputery w holu zostaną zablokowane za pomocą SRP i prawdopodobnie stanu ustalonego. Kasjerzy nie mogą instalować oprogramowania; nie są adminami; a SRP nie wymusza żadnego oprogramowania poza tym, co jest dla nich zainstalowane. Programiści są administrowani na własnych komputerach, a SRP jest również mniej restrykcyjny. A CIO dba o maszynę CEO.
Knox
W rzeczywistości można go zablokować w 100%, dzięki czemu maszyna jest znacznie mniej użyteczna. Zawsze używam SRP do tworzenia maszyn do wprowadzania danych.
Jim B,
Nie używam tego w osobistych systemach (szafach firmowych) użytkowników. Tylko w laboratoriach, w których ludzie współużytkują systemy, a my dokładnie wiemy, z jakiego oprogramowania będą korzystać. Rozróżnia się to, ponieważ systemy te zawierają poufne dane, podczas gdy systemy osobiste są zwykle używane do innych zadań, w tym sprawdzania poczty, pornografii (;-)) itp. Moją irytacją jest to, że niektórzy użytkownicy nie kontrolują się w krótkim czasie, który spędzają w laboratorium. Ergo idziemy drogą SRP. :)
1

Możesz dodać do białej listy za pomocą zasad ograniczeń oprogramowania w obiektach GPO, ale nie jestem pewien, jak skuteczna jest. Założę się o mały pączek działający z większością nie złośliwych użytkowników w większości miejsc, ale nie postawiłbym na to, że moja kariera działa wszędzie i nie liczyłbym na to w miejscach, w których spodziewałem się, że zostanie zaatakowany ( np. środowisko edukacyjne).

Z pewnością możesz zablokować uruchamianie kodu z niektórych urządzeń i obszarów dysku za pomocą kombinacji list ACL i ograniczeń oprogramowania i jest to przydatne narzędzie bezpieczeństwa, ale uczyniłbym to małą częścią polityki bezpieczeństwa, a nie kamieniem węgielnym jednego .

Rob Moir
źródło
0

Możesz użyć programu Cisco Security Agent z regułą, która (po okresie szkolenia „tylko obserwuj”) blokuje każdy plik wykonywalny, który nie był wcześniej uruchamiany.

Jeśli chcesz, możesz zezwolić na pliki wykonywalne z niektórych katalogów.

hellimat
źródło
0

Dużo łatwiej jest znaleźć na czarnej liście niż na białej liście. Najprawdopodobniej masz pojęcie o tym, czego użytkownicy nie chcą uruchamiać. Sposób, w jaki system Windows sobie z tym radzi, polega na zasadach ograniczeń oprogramowania w obiekcie zasad grupy. Zasad ograniczeń oprogramowania można używać do zezwalania na uruchamianie oprogramowania, jak również do blokowania go. Dostępne są cztery różne metody: są to: reguły mieszania, reguły certyfikatów, reguły ścieżek i reguły stref internetowych.

Reguły Hash Rules używają skrótu MD5 lub SHA-1 pliku w swoim dopasowaniu. To może być bitwa pod górę. Próba zablokowania czegoś takiego jak pwdump przy użyciu tylko reguły skrótu spowoduje WIELE MIEJSC, dla każdej innej wersji pwdump. A kiedy pojawi się nowa wersja, musisz ją również dodać.

Reguły ścieżki są oparte na lokalizacji pliku w systemie plików. Można na przykład ograniczyć „\ program files \ aol \ aim.exe”, ale jeśli użytkownik zdecyduje się zainstalować go w „\ myapps \ aol \ aim.exe”, będzie to dozwolone. Możesz użyć symboli wieloznacznych, aby objąć więcej katalogów. Można również użyć ścieżki rejestru, jeśli oprogramowanie ma wpis rejestru, ale nie wiesz, gdzie zostanie zainstalowany.

Reguły certyfikatów są przydatne w przypadku oprogramowania zawierającego certyfikat. Co oznacza głównie oprogramowanie komercyjne. Możesz zbudować listę certyfikatów, które mogą być uruchamiane w twoich systemach i odrzucić wszystko inne.

Reguły strefy internetowej dotyczą tylko pakietów Instalatora Windows. Nigdy tego nie używałem, więc nie mogę komentować tego zbyt wiele.

Właściwy obiekt zasad grupy wykorzysta kilka z tych zasad, aby objąć wszystko. Ograniczanie oprogramowania wymaga, abyś naprawdę pomyślał o tym, co chcesz zapobiec, aby uzyskać prawidłowe działanie. Nawet wtedy prawdopodobnie nadal nie jest w porządku. W Technet jest kilka dobrych artykułów na temat korzystania z Zasad ograniczeń oprogramowania i jestem pewien, że istnieją inne dobre dokumenty z witryny Microsoft znalezione w Twojej ulubionej wyszukiwarce.

Powodzenia!


źródło