Come posso interrompere l'esecuzione di .exe da supporti rimovibili, come unità USB?

10

Ho un problema con gli utenti che eseguono .exe da archivi rimovibili come Memory Stick e schede SD.

Sto cercando di impostare il blocco dell'esecuzione di exe da tutti gli archivi rimovibili per combatterlo, tuttavia nelle impostazioni dei Criteri di gruppo in "Configurazione utente> Impostazioni di Windows> Impostazioni di sicurezza> Criteri di restrizione software> Regole aggiuntive" puoi creare un "percorso" variabile. Vorrei utilizzare una variabile di sistema per tutti gli archivi rimovibili, ma non so se ce n'è uno che funzioni. Devo passare in rassegna e creare una block list per tutte le potenziali lettere di unità che potrebbero essere assegnate a supporti rimovibili (da E: \ a circa L: \) o ce n'è una che funziona davvero? Ho scoperto %~dp0che, a quanto pare, funziona solo per loop, se istruzioni e parametri batch.

Se ci sono altre misure migliori o più affidabili, per favore fatemelo sapere.

Oh, ho visto AppLocker ma il nostro controller di dominio esegue Server 2008 e credo che AppLocker faccia parte di Windows 7 e 2008 R2. Come menzionato nei commenti alla risposta seguente, non credo che Server 2008 abbia l'impostazione "Nega accesso eseguito", quindi ci sono altre opzioni?

windows-server-2008  group-policy 
tombull89
fonte

Risposte:

12

È possibile interrompere l'esecuzione del software su dispositivi rimovibili tramite un oggetto Criteri di gruppo. L'impostazione è in Computer> Modelli amministrativi> Sistema> Accesso all'archivio rimovibile> Dischi rimovibili: Nega esecuzione accesso

inserisci qui la descrizione dell'immagine

Modificare:

Hai accesso a un sistema Server 2008 R2? In tal caso, è possibile creare l'impostazione del criterio, eseguirne il backup su disco e trasferirlo sul sistema Server 2008 e importare nuovamente il criterio. Questo non ti darà la possibilità di modificare il criterio, ma dovresti essere in grado di vedere le impostazioni come Extra Registry Settingse dovrebbe funzionare bene sui tuoi client Windows 7.

Se aiuta, ho appena creato un backup di tale politica e l'ho messo su Dropbox per il download. Si applica l'uso normale a proprio rischio, ecc.

Bryan
fonte
È una funzionalità Server 2008 o 2008 R2? Non vedo il "Deny Execute Access" (o nessuna delle funzionalità Tape o WPD).
tombull89,
Stai sicuramente esaminando le politiche del computer e non le politiche dell'utente? Nel 2008 R2, non sono presenti nelle politiche dell'utente, ma nelle politiche del computer. Potrebbe non essere disponibile in Criteri informatici sulla versione non R2, nel qual caso mi scuso per averti ingannato. Temo però di non avere un sistema non R2 per verificarlo.
Bryan,
Mi scuso, non ero corretto nel mio commento sopra. Ho fare avere il nastro e WPD caratteristiche, proprio nessuna delle sezioni hanno Esegui l'accesso, solo lettura / scrittura. Anch'io sono sotto Politiche informatiche. Se visualizzo "tutte le impostazioni" non è neanche nell'elenco.
tombull89,
3
Non ho un sistema disponibile per testarlo, ma forse potresti provare a scaricare i modelli amministrativi per Server 2008 R2 e Windows 7 . Ciò potrebbe fornire le impostazioni dei criteri necessarie per configurare i client.
Bryan,
Installati i Modelli amministrativi, non mostrando ancora l'accesso di esecuzione come sperato.
tombull89,
2

Alcuni prodotti antivirus aziendali (ad esempio McAfee , Sophos , Symantec ) includono questa funzione come qualcosa che può essere abilitato a livello aziendale. Forse la tua soluzione antivirus aziendale ha questa funzionalità.

dunxd
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.