Есть ли эквивалентная опция файловой системы в Windows, такая как опция монтирования noexec в Linux? Будет ли то же самое, если я установлю разрешение «Чтение», но отключу разрешение «Чтение и выполнение» для корневого каталога (всего диска)? Для локальных пользователей, но также и для пользователей LAn, имеющих доступ к общему каталогу на машине Windows Server.
Я хочу знать, могу ли я отключить какой-либо вид или возможность запуска программ с диска / раздела с данными, в том числе запретить создание собственного подкаталога и установить для него разрешение на выполнение. Таким образом, пользователь должен иметь возможность читать и писать, но не выполнять какие-либо программы, включая BAT. Конечно, речь идет о защите от вредоносных программ. Возможно ли это?
В Windows нет аналога монтированию "noexec" для файловых систем. Концепция Microsoft простого разрешения «Чтение» включает в себя право на выполнение (поскольку на самом деле выполнение - это просто загрузчик, считывающий изображение в память).
Вы можете изменить «расширенную» версию разрешения, чтобы удалить (или запретить) разрешение «Перемещение папки / выполнение файла». Это предотвратит выполнение файлов .EXE двойным щелчком или запуском из командной строки. Файлы .BAT и .CMD не будут запускаться при двойном щелчке мыши в проводнике, но они все равно будут выполняться из командной строки или с использованием синтаксиса «CMD / c» в меню «Пуск / Выполнить».
Изменение разрешения нарушает «аналогию» монтирования «noexec», так как «noexec» не требует каких-либо изменений разрешений подключенного тома.
Тебе бы лучше посмотреть на Политики ограниченного использования программ как способ достичь того, что вы ищете. Эта возможность изменяет поведение API, используемого для выполнения программ, чтобы ограничить пути (или с помощью цифровой подписи или криптографического хеша), из которых могут выполняться программы. Предполагая, что ваши локальные пользователи не имеют прав «Администратор», эта функция будет в некоторой степени эффективной.
В конечном счете, однако, если на компьютере есть место в файловой системе, где пользователю разрешено как записывать файлы, так и выполнять их, пользователь может копировать программы из путей с ограниченным выполнением в это место и выполнять программу оттуда. Вам нужно будет очень внимательно следить за тем, чтобы таких мест не было.
В качестве альтернативы, политики ограниченного использования программного обеспечения могут использоваться в режиме «запрета по умолчанию», в котором только указанные пути (или цифровые подписи или криптографические хэши) разрешают выполнение. Это также довольно сложно настроить, поскольку вам нужно протестировать все свои приложения, чтобы убедиться, что их выполнение успешно.
Вы не упоминаете, о какой версии Windows говорите. Для Windows 7 и Windows Server 2008 R2 политики ограниченного использования программ являются частью AppLocker и функциональность аналогичная.
Перейдите к параметрам безопасности для диска (щелкните правой кнопкой мыши, вкладка «Безопасность»), затем нажмите «Изменить»; если вы хотите запретить обычным пользователям выполнять что-либо на диске, вы можете выбрать запись «Пользователи», снять флажок «Прочитать и выполнить» и оставить флажок «Чтение».