มีวิธีใดบ้างที่จะบอก Windows (XP และสูงกว่า) ไม่ให้เรียกใช้ไฟล์ (* .exe files) ซึ่งมีอยู่ในไดรฟ์ / โฟลเดอร์อื่นนอกเหนือจากโฟลเดอร์ที่ฉันกล่าวถึง ในระยะสั้นฉันต้องการ executables จาก ' รายการที่อนุญาต ' เท่านั้นที่จะดำเนินการ
ฉันคิดว่ามันดีกว่าการขอให้ผู้ใช้ไม่เรียกใช้ไฟล์เอ็กซีคิวต์ใด ๆ ที่พวกเขานำมาจากบ้าน
คำตอบ:
คุณต้องการนโยบายการ จำกัด ซอฟต์แวร์ คุณลักษณะที่ใช้งานไม่ได้ของ Windows สมัยใหม่ช่วยให้ผู้ดูแลระบบสามารถอนุญาตหรือ จำกัด การเรียกใช้ไฟล์จากการทำงานตามเส้นทางหรือแม้แต่การเข้ารหัสลายเซ็น อย่างไรก็ตามคุณต้องการมากกว่าแค่ EXE นโยบายการ จำกัด ซอฟต์แวร์มีรายการไฟล์เพิ่มเติม 30 หรือ 40 ชนิดที่คุณต้องการ จำกัด เช่น CMD และ SCR, สกรีนเซฟเวอร์ นอกจากนี้คุณสามารถบล็อก DLL ได้
ฉันจะให้คะแนนความมีประสิทธิภาพที่ดีกว่าแอนติไวรัสอย่างมากนอกจากนี้ยังเป็นการยากที่จะให้ความรู้แก่ผู้ใช้เกี่ยวกับการโจมตีทางวิศวกรรมสังคมที่มัลแวร์สมัยใหม่ใช้เช่นการให้ผู้ใช้คลิกที่ ListenToThisMusic.mp3.exe
ฉันจะระวังให้ดี คุณจะไม่สามารถล็อคทุกอย่างได้ 100% และคุณจะทำให้ผู้ใช้ไม่สามารถใช้งานเครื่องได้เกือบ คุณควรดูการให้ความรู้แก่ผู้ใช้ของคุณและวางกระบวนการนโยบายและการศึกษาให้เข้าที่ คุณจำเป็นต้องหา BALANCE ที่ถูกต้องระหว่างการ จำกัด การกระทำและผลผลิตของผู้ใช้
ฉันเห็นการสูญเสียเงินจำนวนมากใน บริษัท ที่พวกเขาทำให้ผู้ใช้มีชีวิตอยู่อย่างสมบูรณ์แบบเพียงเพื่อทำให้สิ่งต่าง ๆ ง่ายขึ้นสำหรับผู้สนับสนุน
คุณสามารถขึ้นบัญชีขาวโดยใช้นโยบาย จำกัด ซอฟต์แวร์ใน GPO แต่ฉันไม่แน่ใจว่ามีประสิทธิภาพแค่ไหน ฉันพนันได้เลยว่าโดนัทตัวเล็ก ๆ นั้นทำงานกับผู้ใช้ที่ไม่ประสงค์ดีที่สุดในสถานที่ส่วนใหญ่ แต่ฉันจะไม่วางเดิมพันอาชีพของฉันที่ใดก็ได้และฉันจะไม่นับมันในที่ที่คาดว่าจะถูกโจมตี ( เช่นสภาพแวดล้อมทางการศึกษา)
แน่นอนคุณสามารถบล็อกรหัสจากการทำงานจากอุปกรณ์และพื้นที่บางส่วนของดิสก์ด้วยการรวมกันของ ACLs และ Software Restrictions และนั่นเป็นเครื่องมือความปลอดภัยที่มีประโยชน์ แต่ฉันทำให้มันเป็นส่วนเล็ก ๆ ของนโยบายความปลอดภัยไม่ใช่สิ่งสำคัญของหนึ่ง .
คุณสามารถใช้ Cisco Security Agent กับกฎที่ (หลังจากช่วง "ดูเท่านั้น" สำหรับการฝึกอบรม) บล็อกการปฏิบัติการใด ๆ ที่ไม่ได้ทำงานมาก่อน
คุณสามารถอนุญาตให้ executables จากบางไดเรกทอรีถ้าคุณต้องการ
มันง่ายกว่า Blacklist มากกว่า Whitelist เป็นไปได้มากว่าคุณมีความคิดว่าคุณไม่ต้องการให้ผู้ใช้ทำงานอะไร วิธีที่ Windows จัดการสิ่งนี้คือผ่านนโยบายการ จำกัด ซอฟต์แวร์ใน GPO ของคุณ นโยบายการ จำกัด ซอฟต์แวร์สามารถนำมาใช้เพื่ออนุญาตให้ซอฟต์แวร์ทำงานรวมทั้งปฏิเสธได้ มีสี่วิธีที่แตกต่างกันให้ใช้คือ: กฎแฮช, กฎใบรับรอง, กฎพา ธ และกฎโซนอินเทอร์เน็ต
กฎแฮชกฎใช้แฮช MD5 หรือ SHA-1 ของไฟล์ในการจับคู่ นี่อาจเป็นการต่อสู้ที่ยากเย็นแสนเข็ญ การพยายามบล็อกบางอย่างเช่น pwdump โดยใช้กฎแฮชจะส่งผลให้มีรายการจำนวนมากสำหรับ pwdump แต่ละเวอร์ชันที่แตกต่างกัน และเมื่อมีเวอร์ชั่นใหม่ออกมาคุณจำเป็นต้องเพิ่มเวอร์ชั่นนั้นด้วย
กฎของเส้นทางจะขึ้นอยู่กับตำแหน่งของไฟล์ในระบบไฟล์ ดังนั้นคุณสามารถ จำกัด "\ program files \ aol \ aim.exe" ตัวอย่างเช่น แต่ถ้าผู้ใช้เลือกที่จะติดตั้งลงใน "\ myapps \ aol \ aim.exe" มันจะได้รับอนุญาต คุณสามารถใช้อักขระตัวแทนเพื่อครอบคลุมไดเรกทอรีเพิ่มเติม นอกจากนี้ยังเป็นไปได้ที่จะใช้เส้นทางรีจิสทรีหากซอฟต์แวร์มีรายการรีจิสทรี แต่คุณไม่ทราบว่าจะติดตั้งที่ใด
กฎใบรับรองมีประโยชน์สำหรับซอฟต์แวร์ที่มีใบรับรอง ซึ่งหมายถึงซอฟต์แวร์เชิงพาณิชย์ส่วนใหญ่ คุณสามารถสร้างรายการ Certs ที่ได้รับอนุญาตให้ทำงานบนระบบของคุณและปฏิเสธทุกอย่างอื่น
กฎของโซนอินเทอร์เน็ตใช้เฉพาะกับแพ็คเกจ Windows Installer ฉันไม่เคยใช้สิ่งนี้เลยฉันไม่สามารถแสดงความคิดเห็นได้มากนัก
GPO ที่เหมาะสมจะใช้กฎเหล่านี้หลายอย่างเพื่อครอบคลุมทุกอย่าง ซอฟต์แวร์ที่ จำกัด คุณต้องคิดถึงสิ่งที่คุณต้องการป้องกันเพื่อทำให้ถูกต้อง ถึงอย่างนั้นมันก็อาจจะไม่ถูกต้อง Technet มีบทความดีๆเกี่ยวกับการใช้นโยบายการ จำกัด ซอฟต์แวร์และฉันแน่ใจว่ามีเอกสารดีๆอื่น ๆ จากเว็บไซต์ของ Microsoft ที่พบในเครื่องมือค้นหาที่คุณชื่นชอบ
โชคดี!