ป้องกันการประมวลผลไฟล์ปฏิบัติการ Windows


11

มีวิธีใดบ้างที่จะบอก Windows (XP และสูงกว่า) ไม่ให้เรียกใช้ไฟล์ (* .exe files) ซึ่งมีอยู่ในไดรฟ์ / โฟลเดอร์อื่นนอกเหนือจากโฟลเดอร์ที่ฉันกล่าวถึง ในระยะสั้นฉันต้องการ executables จาก ' รายการที่อนุญาต ' เท่านั้นที่จะดำเนินการ

ฉันคิดว่ามันดีกว่าการขอให้ผู้ใช้ไม่เรียกใช้ไฟล์เอ็กซีคิวต์ใด ๆ ที่พวกเขานำมาจากบ้าน

คำตอบ:


12

คุณต้องการนโยบายการ จำกัด ซอฟต์แวร์ คุณลักษณะที่ใช้งานไม่ได้ของ Windows สมัยใหม่ช่วยให้ผู้ดูแลระบบสามารถอนุญาตหรือ จำกัด การเรียกใช้ไฟล์จากการทำงานตามเส้นทางหรือแม้แต่การเข้ารหัสลายเซ็น อย่างไรก็ตามคุณต้องการมากกว่าแค่ EXE นโยบายการ จำกัด ซอฟต์แวร์มีรายการไฟล์เพิ่มเติม 30 หรือ 40 ชนิดที่คุณต้องการ จำกัด เช่น CMD และ SCR, สกรีนเซฟเวอร์ นอกจากนี้คุณสามารถบล็อก DLL ได้

ฉันจะให้คะแนนความมีประสิทธิภาพที่ดีกว่าแอนติไวรัสอย่างมากนอกจากนี้ยังเป็นการยากที่จะให้ความรู้แก่ผู้ใช้เกี่ยวกับการโจมตีทางวิศวกรรมสังคมที่มัลแวร์สมัยใหม่ใช้เช่นการให้ผู้ใช้คลิกที่ ListenToThisMusic.mp3.exe


คุณโดนเล็บ :) กิจการประสบความสำเร็จ

5

ฉันจะระวังให้ดี คุณจะไม่สามารถล็อคทุกอย่างได้ 100% และคุณจะทำให้ผู้ใช้ไม่สามารถใช้งานเครื่องได้เกือบ คุณควรดูการให้ความรู้แก่ผู้ใช้ของคุณและวางกระบวนการนโยบายและการศึกษาให้เข้าที่ คุณจำเป็นต้องหา BALANCE ที่ถูกต้องระหว่างการ จำกัด การกระทำและผลผลิตของผู้ใช้

ฉันเห็นการสูญเสียเงินจำนวนมากใน บริษัท ที่พวกเขาทำให้ผู้ใช้มีชีวิตอยู่อย่างสมบูรณ์แบบเพียงเพื่อทำให้สิ่งต่าง ๆ ง่ายขึ้นสำหรับผู้สนับสนุน


1
ฉันไม่แน่ใจว่าทำไมคนลงคะแนนบรูซที่นี่ เขายกประเด็นที่ดี หากคุณไม่มีแอพที่ชัดเจนและมีรายการแอพขนาดเล็กที่คุณต้องการให้คนใช้ SRP ที่แน่นอาจเป็นปัญหาทั้งหมดในห่วง
Rob Moir

มันเป็นคำตอบที่ออกมาเล็กน้อยและจะทำงานกับผู้ใช้ที่ทำผิดอย่างแท้จริงเท่านั้น หากคุณกำลังจัดการกับประเภทของผู้ใช้ที่ไม่ดีอยู่เสมอคุณต้องมีการควบคุมที่กระชับยิ่งขึ้น นโยบายที่ได้รับการสนับสนุนจาก HR นั้นสามารถจัดการกับเหตุการณ์ที่เกิดขึ้นหลังจากที่เกิดขึ้นแล้วและคุณอาจมีความเสียหายอย่างมากในการทำความสะอาด มันเกี่ยวกับการบรรลุความสมดุลที่ถูกต้องมากกว่าการเป็นคนที่เข้มงวด
Maximus Minimus

จุดดี. เช่นเดียวกับหลายสิ่งสิ่งสำคัญคือต้องแน่ใจว่านโยบาย IT เห็นด้วยกับสิ่งที่ บริษัท ต้องการ ตัวอย่างเช่นหากเรามีธนาคารเราอาจมีคอมพิวเตอร์ในล็อบบี้สำหรับลูกค้าพนักงานรับเงินนักพัฒนาและซีอีโอที่ต้องการเล่น Doom คอมพิวเตอร์ที่ล็อบบี้จะถูกล็อคด้วย SRP และอาจจะเป็นสถานะที่มั่นคง Tellers ไม่สามารถติดตั้งซอฟต์แวร์ได้ พวกเขาไม่ใช่ผู้ดูแลระบบ และ SRP ไม่บังคับใช้ซอฟต์แวร์อื่นนอกจากสิ่งที่ติดตั้งไว้ นักพัฒนาเป็นผู้ดูแลระบบบนเครื่องของตัวเองและ SRP ก็มีข้อ จำกัด น้อยกว่าเช่นเดียวกัน และ CIO จะดูแลเครื่องของ CEO
Knox

ที่จริงคุณสามารถล็อคมันลงได้ 100% มันแค่ทำให้เครื่องมีประโยชน์น้อยลง ฉันใช้ SRP ตลอดเวลาเพื่อสร้างเครื่องป้อนข้อมูล
Jim B

ฉันไม่ได้ใช้สิ่งนี้ในระบบส่วนบุคคล (บริษัท เล็ก ๆ ) ของผู้ใช้ เฉพาะในแล็บที่ผู้คนใช้ระบบร่วมกันและเรารู้ทันทีว่าซอฟต์แวร์ใดที่พวกเขาจะใช้ ความแตกต่างนี้เกิดขึ้นเนื่องจากระบบเหล่านี้มีข้อมูลที่ละเอียดอ่อนในขณะที่ระบบส่วนบุคคลมักใช้สำหรับงานอื่น ๆ ของพวกเขารวมถึงการตรวจสอบจดหมายโป๊ (;-)) ฯลฯ การระคายเคืองของฉันคือผู้ใช้บางคนไม่สามารถควบคุมตัวเองได้ ห้องปฏิบัติการ พวกเราไปทาง SRP :)

1

คุณสามารถขึ้นบัญชีขาวโดยใช้นโยบาย จำกัด ซอฟต์แวร์ใน GPO แต่ฉันไม่แน่ใจว่ามีประสิทธิภาพแค่ไหน ฉันพนันได้เลยว่าโดนัทตัวเล็ก ๆ นั้นทำงานกับผู้ใช้ที่ไม่ประสงค์ดีที่สุดในสถานที่ส่วนใหญ่ แต่ฉันจะไม่วางเดิมพันอาชีพของฉันที่ใดก็ได้และฉันจะไม่นับมันในที่ที่คาดว่าจะถูกโจมตี ( เช่นสภาพแวดล้อมทางการศึกษา)

แน่นอนคุณสามารถบล็อกรหัสจากการทำงานจากอุปกรณ์และพื้นที่บางส่วนของดิสก์ด้วยการรวมกันของ ACLs และ Software Restrictions และนั่นเป็นเครื่องมือความปลอดภัยที่มีประโยชน์ แต่ฉันทำให้มันเป็นส่วนเล็ก ๆ ของนโยบายความปลอดภัยไม่ใช่สิ่งสำคัญของหนึ่ง .


0

คุณสามารถใช้ Cisco Security Agent กับกฎที่ (หลังจากช่วง "ดูเท่านั้น" สำหรับการฝึกอบรม) บล็อกการปฏิบัติการใด ๆ ที่ไม่ได้ทำงานมาก่อน

คุณสามารถอนุญาตให้ executables จากบางไดเรกทอรีถ้าคุณต้องการ


0

มันง่ายกว่า Blacklist มากกว่า Whitelist เป็นไปได้มากว่าคุณมีความคิดว่าคุณไม่ต้องการให้ผู้ใช้ทำงานอะไร วิธีที่ Windows จัดการสิ่งนี้คือผ่านนโยบายการ จำกัด ซอฟต์แวร์ใน GPO ของคุณ นโยบายการ จำกัด ซอฟต์แวร์สามารถนำมาใช้เพื่ออนุญาตให้ซอฟต์แวร์ทำงานรวมทั้งปฏิเสธได้ มีสี่วิธีที่แตกต่างกันให้ใช้คือ: กฎแฮช, กฎใบรับรอง, กฎพา ธ และกฎโซนอินเทอร์เน็ต

กฎแฮชกฎใช้แฮช MD5 หรือ SHA-1 ของไฟล์ในการจับคู่ นี่อาจเป็นการต่อสู้ที่ยากเย็นแสนเข็ญ การพยายามบล็อกบางอย่างเช่น pwdump โดยใช้กฎแฮชจะส่งผลให้มีรายการจำนวนมากสำหรับ pwdump แต่ละเวอร์ชันที่แตกต่างกัน และเมื่อมีเวอร์ชั่นใหม่ออกมาคุณจำเป็นต้องเพิ่มเวอร์ชั่นนั้นด้วย

กฎของเส้นทางจะขึ้นอยู่กับตำแหน่งของไฟล์ในระบบไฟล์ ดังนั้นคุณสามารถ จำกัด "\ program files \ aol \ aim.exe" ตัวอย่างเช่น แต่ถ้าผู้ใช้เลือกที่จะติดตั้งลงใน "\ myapps \ aol \ aim.exe" มันจะได้รับอนุญาต คุณสามารถใช้อักขระตัวแทนเพื่อครอบคลุมไดเรกทอรีเพิ่มเติม นอกจากนี้ยังเป็นไปได้ที่จะใช้เส้นทางรีจิสทรีหากซอฟต์แวร์มีรายการรีจิสทรี แต่คุณไม่ทราบว่าจะติดตั้งที่ใด

กฎใบรับรองมีประโยชน์สำหรับซอฟต์แวร์ที่มีใบรับรอง ซึ่งหมายถึงซอฟต์แวร์เชิงพาณิชย์ส่วนใหญ่ คุณสามารถสร้างรายการ Certs ที่ได้รับอนุญาตให้ทำงานบนระบบของคุณและปฏิเสธทุกอย่างอื่น

กฎของโซนอินเทอร์เน็ตใช้เฉพาะกับแพ็คเกจ Windows Installer ฉันไม่เคยใช้สิ่งนี้เลยฉันไม่สามารถแสดงความคิดเห็นได้มากนัก

GPO ที่เหมาะสมจะใช้กฎเหล่านี้หลายอย่างเพื่อครอบคลุมทุกอย่าง ซอฟต์แวร์ที่ จำกัด คุณต้องคิดถึงสิ่งที่คุณต้องการป้องกันเพื่อทำให้ถูกต้อง ถึงอย่างนั้นมันก็อาจจะไม่ถูกต้อง Technet มีบทความดีๆเกี่ยวกับการใช้นโยบายการ จำกัด ซอฟต์แวร์และฉันแน่ใจว่ามีเอกสารดีๆอื่น ๆ จากเว็บไซต์ของ Microsoft ที่พบในเครื่องมือค้นหาที่คุณชื่นชอบ

โชคดี!

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.