Czy jest jakiś sposób, aby powiedzieć systemowi Windows (XP i nowszym), aby nie wykonywał plików (* .exe), które są obecne w dyskach / folderach innych niż niektóre foldery, o których wspomniałem? Krótko mówiąc, chcę, aby pliki wykonywalne były tylko z „ białej listy ”.
Myślę, że jest to lepsze niż proszenie użytkowników, aby nie uruchamiali żadnych plików wykonywalnych z jakichkolwiek śmieciowych płyt CD, które przynoszą z domu.
Byłbym ostrożny z tym. Nie będziesz w stanie w 100% zablokować wszystkiego i sprawisz, że korzystanie z maszyn będzie prawie niemożliwe. Powinieneś spojrzeć na edukację użytkowników i wdrożenie procesu, zasad i edukacji. Musisz znaleźć właściwą równowagę między ograniczaniem działań a produktywnością użytkownika końcowego.
Widzę DUŻO zmarnowanych $$$ w firmach, w których użytkownicy żyją w absolutnym piekle tylko po to, aby ułatwić ludziom wsparcie.
źródło
Możesz dodać do białej listy za pomocą zasad ograniczeń oprogramowania w obiektach GPO, ale nie jestem pewien, jak skuteczna jest. Założę się o mały pączek działający z większością nie złośliwych użytkowników w większości miejsc, ale nie postawiłbym na to, że moja kariera działa wszędzie i nie liczyłbym na to w miejscach, w których spodziewałem się, że zostanie zaatakowany ( np. środowisko edukacyjne).
Z pewnością możesz zablokować uruchamianie kodu z niektórych urządzeń i obszarów dysku za pomocą kombinacji list ACL i ograniczeń oprogramowania i jest to przydatne narzędzie bezpieczeństwa, ale uczyniłbym to małą częścią polityki bezpieczeństwa, a nie kamieniem węgielnym jednego .
źródło
Możesz użyć programu Cisco Security Agent z regułą, która (po okresie szkolenia „tylko obserwuj”) blokuje każdy plik wykonywalny, który nie był wcześniej uruchamiany.
Jeśli chcesz, możesz zezwolić na pliki wykonywalne z niektórych katalogów.
źródło
Dużo łatwiej jest znaleźć na czarnej liście niż na białej liście. Najprawdopodobniej masz pojęcie o tym, czego użytkownicy nie chcą uruchamiać. Sposób, w jaki system Windows sobie z tym radzi, polega na zasadach ograniczeń oprogramowania w obiekcie zasad grupy. Zasad ograniczeń oprogramowania można używać do zezwalania na uruchamianie oprogramowania, jak również do blokowania go. Dostępne są cztery różne metody: są to: reguły mieszania, reguły certyfikatów, reguły ścieżek i reguły stref internetowych.
Reguły Hash Rules używają skrótu MD5 lub SHA-1 pliku w swoim dopasowaniu. To może być bitwa pod górę. Próba zablokowania czegoś takiego jak pwdump przy użyciu tylko reguły skrótu spowoduje WIELE MIEJSC, dla każdej innej wersji pwdump. A kiedy pojawi się nowa wersja, musisz ją również dodać.
Reguły ścieżki są oparte na lokalizacji pliku w systemie plików. Można na przykład ograniczyć „\ program files \ aol \ aim.exe”, ale jeśli użytkownik zdecyduje się zainstalować go w „\ myapps \ aol \ aim.exe”, będzie to dozwolone. Możesz użyć symboli wieloznacznych, aby objąć więcej katalogów. Można również użyć ścieżki rejestru, jeśli oprogramowanie ma wpis rejestru, ale nie wiesz, gdzie zostanie zainstalowany.
Reguły certyfikatów są przydatne w przypadku oprogramowania zawierającego certyfikat. Co oznacza głównie oprogramowanie komercyjne. Możesz zbudować listę certyfikatów, które mogą być uruchamiane w twoich systemach i odrzucić wszystko inne.
Reguły strefy internetowej dotyczą tylko pakietów Instalatora Windows. Nigdy tego nie używałem, więc nie mogę komentować tego zbyt wiele.
Właściwy obiekt zasad grupy wykorzysta kilka z tych zasad, aby objąć wszystko. Ograniczanie oprogramowania wymaga, abyś naprawdę pomyślał o tym, co chcesz zapobiec, aby uzyskać prawidłowe działanie. Nawet wtedy prawdopodobnie nadal nie jest w porządku. W Technet jest kilka dobrych artykułów na temat korzystania z Zasad ograniczeń oprogramowania i jestem pewien, że istnieją inne dobre dokumenty z witryny Microsoft znalezione w Twojej ulubionej wyszukiwarce.
Powodzenia!
źródło