Назад | Перейти на главную страницу

Как остановить запуск .exes со съемных носителей, например USB-накопителей?

У меня проблема с пользователями, запускающими .exe со съемных носителей, таких как Memory Stick и SD-карты.

Я пытаюсь настроить блокировку запуска exe со всех съемных носителей для борьбы с этим, однако в настройках групповой политики в разделе «Конфигурация пользователя> Настройки Windows> Настройки безопасности> Политики ограниченного использования программ> Дополнительные правила» вы можете создать «путь» переменная. Я хотел бы использовать системную переменную для все съемный носитель, но не знаю, работает ли он. Должен ли я пройти и создать черный список для всех потенциальных букв дисков, которые могут быть назначены съемным носителям (от E: \ до примерно L: \), или есть тот, который действительно работает? я обнаружил %~dp0 который, по-видимому, работает только для циклов, операторов if и параметров пакета.

Если есть другие, лучшие или более надежные меры, пожалуйста, дайте мне знать.

О, я посмотрел на AppLocker, но наш DC работает под управлением Server 2008, и я считаю, что AppLocker является частью Windows 7 и 2008 R2. Как упоминалось в комментариях к ответу ниже, я не думаю, что в Server 2008 есть параметр «Запретить доступ к выполнению», так есть ли другие варианты?

Вы можете остановить выполнение программного обеспечения на съемных устройствах с помощью объекта групповой политики. Этот параметр находится в разделе Компьютер> Административные шаблоны> Система> Доступ к съемным носителям> Съемные диски: запретить доступ для выполнения.

Редактировать:

У вас есть доступ к системе Server 2008 R2? Если это так, вы можете создать параметр политики, создать резервную копию на диске, перенести в систему Server 2008 и импортировать политику обратно. Это не даст вам возможности изменить политику, но вы сможете увидеть настройки как Extra Registry Settings и он должен нормально работать на ваших клиентах Windows 7.

Если это поможет, я только что создал резервную копию такой политики и разместил ее на Dropbox для скачивания. Применяется обычное использование на свой страх и риск и т. Д.

Некоторые корпоративные антивирусные продукты (например, McAfee, Sophos, Symantec) включите эту функцию как нечто, что может быть включено корпоративно. Возможно, в вашем корпоративном антивирусном решении это есть особенность.