Я большой поклонник Политики ограниченного использования программ для Microsoft Windows и недавно обновлял наши настройки для этого. Мне стало любопытно, где Microsoft реализовала эту технологию в стеке. Я могу представить себе очень наивную реализацию в проводнике Windows, где, когда вы дважды щелкаете по exe или другому заблокированному типу файла, этот проводник проверяет политику. Я называю это наивным, потому что, очевидно, это не защитит от того, что кто-то что-то напечатает в окне CMD. Или, что еще хуже, Adobe Reader запускает внешнее приложение. С другой стороны, я могу представить, что политики ограниченного использования программ могут быть реализованы глубоко в стеке почти на чистом уровне. В этом случае загрузчик низкого уровня загрузит в память сомнительный файл, но пометит память в диспетчере памяти как неисполняемые данные.
Я почти уверен, что Microsoft сделала не самую наивную реализацию, потому что, если я заблокирую Java с помощью блока пути, Internet Explorer выйдет из строя, если он попытается загрузить Java. Вот чего я хочу. Но я не уверен, насколько глубоко он реализован в стеке, и я буду благодарен за любое понимание.