Impedire l'esecuzione di file eseguibili di Windows


11

Esiste un modo per dire a Windows (XP e versioni successive) di non eseguire i file (file * .exe), che sono presenti in unità / cartelle diverse da determinate cartelle, che cito? In breve, voglio eseguibili solo da una ' lista bianca ' da eseguire.

Penso che sia meglio che chiedere agli utenti di non eseguire alcun file eseguibile da qualsiasi CD di immondizia che portano da casa.

Risposte:


12

si desidera politiche di restrizione del software . Questa funzionalità sottoutilizzata delle moderne finestre consente all'amministratore di consentire o limitare l'esecuzione di eseguibili in base al percorso o persino in base a una firma crittografica. A proposito, vuoi più di un semplice EXE. Politiche di restrizione software ha un elenco di 30 o 40 tipi di file aggiuntivi che è necessario limitare, come CMD e SCR, Screen saver. Inoltre, è possibile bloccare le DLL.

Direi che la sua efficacia è sostanzialmente migliore dell'antivirus. Inoltre, è difficile educare gli utenti sugli attacchi di social engineering che utilizza il malware moderno, come far sì che un utente faccia clic su ListenToThisMusic.mp3.exe.


Hai colpito l'unghia. :) L'avventura ha avuto successo.

5

Starei attento con questo. Non sarai in grado di bloccare al 100% tutto e renderai le macchine quasi impossibili da usare per gli utenti. Dovresti cercare di educare i tuoi utenti e mettere in atto processi, politiche e formazione. È necessario trovare il giusto SALDO tra le azioni restrittive e la produttività dell'utente finale.

Vedo un sacco di soldi sprecati nelle aziende in cui rendono gli utenti un vero inferno solo per rendere le cose un po 'più facili per i ragazzi del supporto.


1
Non sono sicuro del motivo per cui le persone hanno sottovalutato Bruce qui. Solleva un buon punto. A meno che tu non abbia un elenco ben definito e un piccolo elenco di app che desideri che le persone utilizzino, gli SRP stretti possono essere un dolore totale nel telaio.
Rob Moir,

È un po 'una risposta da cop-out e funzionerà solo con utenti che commettono davvero errori. Se hai a che fare con il tipo di utente che sarà sempre cattivo, hai bisogno di un controllo più solido. Una politica sostenuta dalle risorse umane può gestire l'incidente solo dopo che si è verificato, e potresti benissimo avere un caos significativo per ripulire da allora. Si tratta più di ottenere il giusto equilibrio che di essere draconiani.
Maximus Minimus,

Buon punto. Come molte altre cose, è importante assicurarsi che le politiche IT concordino con ciò che l'azienda desidera. Ad esempio, se avessimo una banca, potremmo avere computer nella hall per clienti, narratori, sviluppatori e un CEO che vuole giocare a Doom. I computer della lobby sarebbero bloccati con SRP e probabilmente Steady State. I rivenditori non possono installare software; non sono amministratori; e SRP non applica software diverso da quello installato per loro. Gli sviluppatori sono amministratori sui propri computer e SRP è altrettanto meno restrittivo. E il CIO si occupa della macchina del CEO.
Knox,

In realtà puoi bloccarlo al 100%, rende la macchina molto meno utilitaria. Uso sempre SRP per creare macchine per l'immissione di dati.
Jim B,

Non lo sto usando sui sistemi personali (cubicolo dell'azienda) degli utenti. Solo nei laboratori in cui le persone condividono i sistemi e sappiamo esattamente quale software useranno. Questa distinzione viene fatta in quanto questi sistemi contengono dati sensibili mentre i sistemi personali sono normalmente utilizzati per le loro altre attività tra cui controllo della posta, porno (;-)) ecc. La mia irritazione è che alcuni utenti non si controllano da soli nel poco tempo che trascorrono in laboratorio. Ergo andiamo via SRP. :)

1

È possibile inserire nella whitelist i criteri di restrizione software negli oggetti Criteri di gruppo, ma non sono sicuro di quanto sia efficace. Scommetterei una piccola ciambella su di essa lavorando con la maggior parte degli utenti non malvagi nella maggior parte dei luoghi, ma non scommetterei che la mia carriera su di essa funzionasse ovunque e non conterei su di essa in luoghi in cui mi aspettavo che venisse attaccato ( ad es. ambiente educativo).

Puoi sicuramente bloccare l'esecuzione del codice da determinati dispositivi e aree del disco con una combinazione di ACL e restrizioni software e questo è un utile strumento di sicurezza, ma lo farei una piccola parte di una politica di sicurezza, non la pietra angolare di una .


0

È possibile utilizzare Cisco Security Agent con una regola che (dopo un periodo di "solo monitoraggio" per l'addestramento) blocca qualsiasi eseguibile che non è mai stato eseguito prima.

Se lo desideri, puoi consentire gli eseguibili da determinate directory.


0

È molto più facile nella lista nera che nella lista bianca. Molto probabilmente hai un'idea di ciò che non vuoi che gli utenti eseguano. Il modo in cui Windows gestisce questo è attraverso i criteri di restrizione software nel tuo oggetto Criteri di gruppo. Le politiche di restrizione del software possono essere utilizzate per consentire l'esecuzione del software e negarlo. Esistono quattro diversi metodi disponibili da utilizzare e sono: Regole hash, Regole certificato, Regole percorso e Regole zona Internet.

Le regole delle regole hash utilizzano un hash MD5 o SHA-1 di un file nella sua corrispondenza. Questa può essere una battaglia in salita. Cercare di bloccare qualcosa come pwdump usando solo una regola hash comporterà MOLTE voci, per ogni diversa versione di pwdump. E quando esce una nuova versione è necessario aggiungere anche quella.

Le regole del percorso si basano sulla posizione del file nel file system. Quindi potresti limitare "\ program files \ aol \ aim.exe" per esempio, ma se l'utente sceglie di installarlo in "\ myapps \ aol \ aim.exe" sarebbe permesso. È possibile utilizzare i caratteri jolly per coprire più directory. È anche possibile utilizzare il percorso di registro se il software ha una voce di registro ma non si sa dove verrà installato.

Le regole del certificato sono utili per il software che include un certificato. Il che significa principalmente software commerciale. È possibile creare un elenco di certificati che possono essere eseguiti sui propri sistemi e negare tutto il resto.

Le regole della zona Internet si applicano solo ai pacchetti di Windows Installer. Non l'ho mai usato, quindi non posso commentarlo molto.

Un oggetto Criteri di gruppo corretto utilizzerà diverse di queste regole per coprire tutto. La limitazione del software richiede di pensare davvero a ciò che si desidera impedire per farlo correttamente. Anche allora, probabilmente non è ancora giusto. Technet ha alcuni buoni articoli sull'uso delle politiche di restrizione del software e sono sicuro che ci sono altri buoni documenti sul sito di Microsoft trovati attraverso il tuo motore di ricerca preferito.

In bocca al lupo!

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.