Есть ли способ запретить Windows (XP и выше) запускать файлы (файлы * .exe), которые находятся на дисках / в папках, отличных от определенных папок, о которых я упоминал? Короче говоря, мне нужны исполняемые файлы только избелый список'быть выполненным.
Я думаю, это лучше, чем просить пользователей не запускать исполняемые файлы с мусорных компакт-дисков, которые они приносят из дома.
вы хотите Политики ограниченного использования программ. Эта малоиспользуемая функция современной Windows позволяет администратору разрешать или ограничивать запуск исполняемых файлов в зависимости от пути или даже на основе криптографической подписи. Кстати, вам нужно больше, чем просто EXE. Политики ограниченного использования программ содержат список из 30 или 40 дополнительных типов файлов, которые необходимо ограничить, например CMD и SCR, хранители экрана. Кроме того, вы можете заблокировать библиотеки DLL.
Я бы оценил его эффективность как значительно лучшую, чем антивирус. Кроме того, трудно обучить пользователей атакам социальной инженерии, которые используют современные вредоносные программы, например, заставляя пользователя нажимать на ListenToThisMusic.mp3.exe.
Я буду осторожен с этим. Вы не сможете заблокировать все на 100% и сделаете машины практически невозможными для пользователей. Вам следует обратить внимание на обучение пользователей и внедрение процесса, политики и обучения. Вам необходимо найти правильный БАЛАНС между ограничением действий и производительностью конечного пользователя.
Я вижу МНОГО потраченных впустую долларов в компаниях, где они превращают жизнь пользователей в настоящий ад, просто чтобы немного облегчить жизнь ребятам из службы поддержки.
Вы можете внести в белый список, используя политики ограниченного использования программ в объектах групповой политики, но я не уверен, насколько это эффективно. Я бы поставил небольшой пончик на то, что он будет работать с большинством незащищенных пользователей в большинстве мест, но я бы не ставил свою карьеру на то, что он будет работать где угодно, и я бы не стал рассчитывать на него там, где я ожидал, что он подвергнется атаке ( например, образовательная среда).
Вы, безусловно, можете заблокировать запуск кода с определенных устройств и областей диска с помощью комбинации списков ACL и ограничений программного обеспечения, и это полезный инструмент безопасности, но я бы сделал его небольшой частью политики безопасности, а не краеугольным камнем ее. .
Вы можете использовать Cisco Security Agent с правилом, которое (после периода «только наблюдение» для обучения) блокирует любой исполняемый файл, который не запускался раньше.
Вы можете разрешить исполняемые файлы из определенных каталогов, если хотите.
Внести в черный список гораздо проще, чем в белый. Скорее всего, у вас есть представление о том, что вы не хотите, чтобы пользователи запускали. Windows обрабатывает это с помощью политик ограниченного использования программ в вашем объекте групповой политики. Политики ограниченного использования программ могут использоваться как для разрешения запуска программ, так и для их запрета. Доступны четыре различных метода: правила хеширования, правила сертификатов, правила пути и правила зоны Интернета.
Правила Hash Rules используют хэш файла MD5 или SHA-1 в своем совпадении. Это может быть тяжелая битва. Попытка заблокировать что-то вроде pwdump, используя только правило хеширования, приведет к МНОГО записей для каждой версии pwdump. И когда выйдет новая версия, вам нужно будет добавить и ее.
Правила пути основаны на расположении файла в файловой системе. Таким образом, вы можете ограничить, например, «\ program files \ aol \ aim.exe», но если пользователь решит установить его в «\ myapps \ aol \ aim.exe», это будет разрешено. Вы можете использовать подстановочные знаки, чтобы охватить больше каталогов. Также можно использовать путь в реестре, если в программе есть запись в реестре, но вы не знаете, где она будет установлена.
Правила сертификата полезны для программного обеспечения, которое включает сертификат. Что означает в основном коммерческое программное обеспечение. Вы можете создать список сертификатов, которым разрешено работать в ваших системах, и запретить все остальное.
Правила зоны Интернета применяются только к пакетам установщика Windows. Я никогда этим не пользовался, поэтому особо не могу это комментировать.
Правильный GPO будет использовать несколько из этих правил, чтобы охватить все. Ограничение программного обеспечения требует, чтобы вы действительно думали о том, что вы хотите предотвратить, чтобы сделать это правильно. Даже тогда это, вероятно, все еще не так. У Technet есть несколько хороших статей об использовании политик ограниченного использования программ, и я уверен, что на сайте Microsoft есть и другие полезные документы, которые можно найти с помощью вашей любимой поисковой системы.
Удачи!