Jak zatrzymać uruchamianie pliku .exe z nośników wymiennych, takich jak dyski USB?

10

Mam problem z użytkownikami korzystającymi z plików .exe z pamięci wymiennych, takich jak karty pamięci i karty SD.

Próbuję skonfigurować blokowanie uruchamiania plików exe ze wszystkich wymiennych pamięci masowych, aby temu przeciwdziałać, jednak w ustawieniach zasad grupy w sekcji „Konfiguracja użytkownika> Ustawienia systemu Windows> Ustawienia zabezpieczeń> Zasady ograniczeń oprogramowania> Zasady dodatkowe” możesz utworzyć „ścieżkę” zmienna. Chciałbym użyć zmiennej systemowej dla wszystkich pamięci wymiennych, ale nie wiem, czy istnieje taka, która działa. Czy muszę przejść i utworzyć listę bloków dla wszystkich potencjalnych liter dysków, które można przypisać do nośników wymiennych (od E: \ do około L: \), czy też istnieje taka, która faktycznie działa? Znalazłem, %~dp0który najwyraźniej działa tylko dla pętli, jeśli instrukcje i parametry wsadowe.

Jeśli istnieją inne, lepsze lub bardziej niezawodne środki, daj mi znać.

Och, patrzyłem na AppLocker, ale na naszym DC działa Server 2008 i uważam, że AppLocker jest częścią Windows 7 i 2008 R2. Jak wspomniano w komentarzach do odpowiedzi poniżej, nie sądzę, że Server 2008 ma ustawienie „Odmów wykonania dostępu”, więc czy są jakieś inne opcje?

windows-server-2008 group-policy tombull89
źródło

Odpowiedzi:

12

Możesz zatrzymać wykonywanie oprogramowania na urządzeniach wymiennych za pomocą obiektu zasad grupy. Ustawienie znajduje się w obszarze Komputer> Szablony administracyjne> System> Dostęp do magazynu wymiennego> Dyski wymienne: Odmów wykonania dostępu

wprowadź opis zdjęcia tutaj

Edytować:

Czy masz dostęp do systemu Server 2008 R2? Jeśli tak, możesz utworzyć ustawienie zasad, wykonać kopię zapasową na dysk i przenieść je do systemu Server 2008 i zaimportować zasady z powrotem. Nie daje to możliwości modyfikowania zasad, ale powinieneś widzieć ustawienia jako Extra Registry Settingsi powinno działać dobrze na klientach z Windows 7.

Jeśli to pomaga, właśnie utworzyłem kopię zapasową takiej zasady i umieściłem ją w Dropbox, abyś mógł ją pobrać. Obowiązuje zwykłe użycie na własne ryzyko itp.

Bryan
źródło
Czy jest to funkcja Server 2008 lub 2008 R2? Nie widzę „Odmów wykonania dostępu” (ani żadnej z funkcji Tape lub WPD).
tombull89,
Czy na pewno patrzysz na zasady dotyczące komputera, a nie zasady użytkownika? W 2008 R2 nie są one objęte zasadami użytkownika, ale działają w ramach zasad komputera. Może nie być dostępny w obszarze Zasady komputera w wersji innej niż R2, w takim przypadku przepraszam za wprowadzenie w błąd. Obawiam się, że nie mam systemu innego niż R2, aby to sprawdzić.
Bryan,
Przepraszam, myliłem się w moim komentarzu powyżej. I zrobić posiadają taśmę i WPD wyposażony, po prostu żaden z odcinków mają wykonać dostępu, tylko do odczytu / zapisu. Jestem również objęty zasadami komputerowymi. Jeśli wyświetlę „wszystkie ustawienia”, nie ma jej również na tej liście.
tombull89,
3
Nie mam systemu do przetestowania tego, ale może możesz spróbować pobrać szablony administracyjne dla Server 2008 R2 i Windows 7 . Może to zapewnić ustawienia zasad potrzebne do skonfigurowania klientów.
Bryan,
Zainstalowano szablony administracyjne, nadal nie pokazując dostępu do wykonania zgodnie z oczekiwaniami.
tombull89
2

Niektóre korporacyjne produkty antywirusowe (np. McAfee , Sophos , Symantec ) zawierają tę funkcję jako coś, co można włączyć korporacyjnie. Być może twoje korporacyjne rozwiązanie antywirusowe ma tę funkcję.

dunxd
źródło