Internet Explorer: วิธีบล็อกไฟล์ที่ใช้งานได้ (exe / com / pif / scr / bat / ps1) ไม่ให้ดาวน์โหลด

สวัสดีฉันต้องการให้ผู้ใช้ดาวน์โหลดไฟล์ใด ๆ (เท่าที่จะทำได้) - แต่สำหรับไฟล์ปฏิบัติการ (exe / com / pif / scr / bat / ps1) ฉันต้องการให้ตัวเลือก 'Run' ถูกซ่อนหรือปิดการใช้งาน

หากไม่สามารถกระทำได้วิธีแก้ปัญหาที่ใกล้เคียงที่สุดคือการป้องกันไม่ให้ผู้ใช้เรียกใช้ไฟล์. bat ที่ดาวน์โหลดจากเว็บเพจบน Internet Explorer

เครื่องไม่ได้อยู่ในโดเมน แต่เราสามารถใช้ gpedit.msc ฉันลองใช้นโยบายการ จำกัด ซอฟต์แวร์ แต่บล็อกเฉพาะไฟล์. exe

ขอบคุณมาก

— servermanfail
แหล่งที่มา

พวกเขาจำเป็นต้องเรียกใช้ไฟล์เหล่านี้จากตัวสำรวจไฟล์หลังจากดาวน์โหลดหรือไม่?

— บ๊อบ

ฉันไม่แน่ใจว่าจะใช้งานได้หรือไม่ แต่ฉันไม่มีเวลาที่จะทดสอบเพื่อยืนยันว่าอนุญาตให้ดาวน์โหลดได้ แต่ไม่ได้ดำเนินการ แต่มีบางอย่างที่ต้องดูว่าhowtogeek.com/howto/6317/ ...... ฉันรู้ว่าคุณสามารถ ยังเพิ่มกฎการไม่อนุญาตให้รีจิสตรีคีย์เฉพาะและฉันคิดว่าคุณสามารถใช้ไวด์การ์ดเช่น * .bat, * .ps1 เป็นต้น แต่นี่เป็นคำตอบที่คล้ายกันที่ฉันเขียนและคุณอาจปรับแต่งทดสอบ ฯลฯsuperuser.com/ คำถาม / 1100828 / … ; ฉันไม่มีเวลาที่จะทดสอบเพื่อยืนยันตอนนี้

— Pimp Juice IT

คำตอบ:

สิ่งที่ใกล้เคียงที่สุดที่คุณสามารถทำได้คือบล็อกการดาวน์โหลดไฟล์ "ความเสี่ยงสูง" ใน Internet Explorer และให้วิธีการอื่นสำหรับผู้ใช้ในการดาวน์โหลด

บล็อกสามารถทำได้โดยการเปิดใช้นโยบายกลุ่มผู้ใช้กำหนดค่า→แม่แบบการดูแล→คอมโพเนนต์ของ Windows Internet Explorer →→อินเทอร์เน็ตแผงควบคุม→การรักษาความปลอดภัยหน้าค้นหา→โซนอินเทอร์เน็ต→แสดงการเตือนความปลอดภัยสำหรับไฟล์ที่ไม่ปลอดภัย (นโยบายจะต้องเปิดใช้งานและตั้งค่าตัวเลือกเป็นปิดใช้งาน )

ดูข้อมูลเกี่ยวกับ Attachment Manager ใน Microsoft Windowsสำหรับรายการประเภทไฟล์ที่ IE พิจารณาว่า "ไม่ปลอดภัย" (ซึ่งรวมถึงสิ่งที่คุณกล่าวถึงทั้งหมดยกเว้น. ps1)

โปรดทราบว่า Chromium และ Google Chrome ยังใช้ Windows Attachment Manager สำหรับการดาวน์โหลดดังนั้นการตั้งค่า IE จะบล็อกการดาวน์โหลดในเบราว์เซอร์เหล่านั้นด้วย ฉันไม่รู้เกี่ยวกับ Firefox

— Brian Nixon
แหล่งที่มา

PS1 ไม่ถูกบล็อกเนื่องจากไม่สามารถเรียกใช้งานได้โดยการออกแบบเพื่อความปลอดภัย คุณต้องรันเชลล์หรือ ISE และรันมัน แน่นอนคุณสามารถแฮ็คระบบของคุณเพื่อดำเนินการ แต่แล้วคุณจะสูญเสียการป้องกันในตัว สำหรับปฏิบัติการอื่นคำตอบนี้นำไปสู่วิธีที่ดีที่สุดในการจัดการสิ่งนี้ซึ่งเป็น GPO บังคับใช้การตั้งค่านี้ นอกจากนี้ยังมีโปรแกรมของบุคคลที่สามซึ่ง จำกัด การใช้งานโปรแกรมผ่านรายการที่อนุญาตหรือขึ้นบัญชีดำโชคไม่ดีที่ฉันไม่รู้ว่าเพิ่งลบปุ่ม 'run' ออกจากแถบดาวน์โหลด IE

— Xalorous

@Xalorous: จุดที่ดีที่การตั้งค่าจะต้องมีการบังคับใช้โดย GPO ฉันได้อัปเดตคำตอบเพื่ออ้างถึงแทนที่จะเป็นกล่องโต้ตอบตัวเลือกอินเทอร์เน็ต (ไม่มากนักถ้าผู้ใช้สามารถเปลี่ยนการตั้งค่ากลับมาได้ ... ) OP กล่าวว่า "ไม่มีโซลูชันของบุคคลที่สาม" ดังนั้นฉันจึงไม่คิดว่าสิ่งที่ต้องการจะทำได้

— Brian Nixon

หากคุณใช้งานWindows 7, 8 / 8.1 หรือ 10 รุ่นEnterpriseคุณสามารถใช้ AppLocker เพื่อกำหนดค่านโยบายนี้ผ่านตัวแก้ไขนโยบายกลุ่มภายใน ( gpedit)

AppLocker นั้นเหนือกว่านโยบาย จำกัด ซอฟต์แวร์ ไม่เพียง แต่คุณสามารถกำหนดค่ากฎที่ใช้งานได้เช่นเดียวกับ SRP คุณยังสามารถกำหนดนโยบายสำหรับตัวติดตั้ง MSI สคริปต์ (.bat, .vbs, .ps1 ฯลฯ ) และแพ็คเกจ Windows Universal (.appx) นอกจากนี้คุณยังสามารถกำหนดค่ากฎการอนุญาต / ปฏิเสธตามพา ธ แฮชไฟล์และข้อมูลผู้เผยแพร่ / รุ่นในใบรับรอง (หากมีการเซ็นชื่อแอปพลิเคชัน / สคริปต์ด้วย)

ตำแหน่งที่จะกำหนดค่านโยบายอยู่ในการกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายการควบคุมแอปพลิเคชัน

ข้อเสียของ AppLocker คือสามารถใช้งานได้กับ Windows รุ่น Enterprise เท่านั้นไม่ใช่รุ่น Pro นอกจากนี้คุณไม่สามารถใช้นโยบาย AppLocker และ Software Restriction ร่วมกันได้

นี่คือเอกสารไมโครซอฟท์ของคุณลักษณะ หากคุณมีรุ่น Enterprise ก็คุ้มค่าที่จะดู หมายเหตุลิงค์นั้นอ้างถึง Windows 8 / 8.1 แต่ทำงานได้ดีพอ ๆ กันใน Win7 และ Win10

— เวสต์ซายิด
แหล่งที่มา

Internet Explorer: วิธีบล็อกไฟล์ที่ใช้งานได้ (exe / com / pif / scr / bat / ps1) ไม่ให้ดาวน์โหลด

วิธีหนึ่งที่คุณสามารถทำได้คือ จำกัด หรือทำให้ปฏิเสธอย่างชัดเจนในการอนุญาต NTFS ACL Traverse folder / execute fileสำหรับบัญชีผู้ใช้นี้ (หรือกลุ่มความปลอดภัยที่เป็นสมาชิก) ในโฟลเดอร์ที่ IE 11 ดาวน์โหลดไฟล์ที่สามารถดำเนินการได้ (เช่น/Downloadsโฟลเดอร์)

วิธีนี้พวกเขาสามารถดาวน์โหลดและบันทึกลงในโฟลเดอร์นี้ได้ดีกับ IE แต่เมื่อพวกเขาไปดำเนินการพวกเขาจะได้รับอนุญาตปฏิเสธ ฯลฯ พิมพ์ข้อความและป้องกันไม่ให้มีการดำเนินการใด ๆ จากตำแหน่งนี้

เพิ่มการปฏิเสธความปลอดภัยที่ชัดเจนใหม่

คลิกขวาที่โฟลเดอร์เลือกคุณสมบัติไปที่แท็บความปลอดภัยเลือกขั้นสูงเลือกเพิ่มเลือกแสดงสิทธิ์ขั้นสูงเลือกเลือกเงินต้นพิมพ์ชื่อผู้ใช้หรือกลุ่มความปลอดภัยเพื่อ จำกัด การเข้าถึงนี้ เมื่อเลือกตัวการในช่องType ให้ปล่อยค่าเป็นDenyและช่องApply to toนั้นจะเป็นค่าของโฟลเดอร์และไฟล์นี้จากนั้นไปที่หัวข้อAdvanced Permissionsและตรวจสอบไฟล์Traverse / execute ไฟล์และกดตกลง

— Pimp Juice IT
แหล่งที่มา

ใช้งานได้กับไฟล์ EXE และ BAT แต่ดูเหมือนว่าจะไม่มีผลกับสคริปต์ VBS (อาจเป็นเพราะไม่ใช่ไฟล์ที่กำลังดำเนินการ แต่เป็นไฟล์ที่ถูกส่งไปยังล่ามที่ดำเนินการสิ่งต่าง ๆ จากข้อมูลที่พบในไฟล์) ตัวเลือก "Run with PowerShell" สำหรับสคริปต์ PS1 ก็ไม่เหมือนกัน ดูเหมือนจะสนใจที่จะไม่ใช้สิทธิ

— เบ็น N

ความคิดที่ดี. แต่จะเกิดอะไรขึ้นหากผู้ใช้บันทึกไฟล์ที่ดาวน์โหลดไว้ที่อื่นก่อนคลิกเรียกใช้

— ตัวปลอมตัว Twisty

@ Twisty ฉันเข้าใจว่าคุณกำลังคิดอะไรอยู่และฉันก็คิดถึงเรื่องนั้นเช่นกัน แต่ชื่อคำถามที่ระบุไว้โดยเฉพาะ"วิธีการบล็อกไฟล์ปฏิบัติการ (exe / com / pif / scr / bat / ps1) จากการ" เรียกใช้ "ในการดาวน์โหลด"และ นอกจากนี้ยังมี"วิธีการแก้ปัญหาที่อยู่ใกล้ที่สุดเพื่อป้องกันไม่ให้ผู้ใช้ที่ใช้ไฟล์ค้างคาวพวกเขาดาวน์โหลดได้จากหน้าเว็บบน Internet Explorer เป็น"ดังนั้นคำต่อคำตามที่เป็นนี้เหมาะกับความต้องการที่ เห็นได้ชัดว่าพวกเขาสามารถคัดลอกไฟล์ปฏิบัติการอื่น ๆ ที่พวกเขามีการเข้าถึงที่เหมาะสมมันจะดำเนินการ แต่สำหรับการดาวน์โหลดและจากเว็บเพจบน Internet Explorerนั้นคืออะไร

— Pimp Juice IT

พูดได้ดี. คนอื่นที่ถามคำถามเดียวกันของ OP จะทำได้ดีในการพิจารณาว่า OP ได้กำหนดข้อกำหนดของเขาไว้อย่างแคบและอาจจบลงด้วยคำตอบที่บรรลุวัตถุประสงค์ทางเทคนิคโดยไม่บรรลุสิ่งที่อาจเป็นเจตนาที่แท้จริงในการ จำกัด การเรียกใช้โค้ดที่ดาวน์โหลด

— ตัวปลอมตัว Twisty

สำหรับไฟล์สคริปต์คุณสามารถเปลี่ยนการกระทำเริ่มต้นเพื่อให้พวกเขาเปิดในโปรแกรมแก้ไขข้อความ จากนั้นในการเรียกใช้ไฟล์สคริปต์คุณต้องมีล่ามสคริปต์ (cscript) อย่างชัดเจน

— Eric Johnson