Запобігати виконанню виконуваних файлів Windows

11

Чи є спосіб сказати Windows (XP і новіші версії) не виконувати файли (* .exe-файли), які присутні в дисках / папках, окрім певних папок? Коротше кажучи, я хочу, щоб виконувані файли виконувалися лише з " білого списку ".

Я вважаю, що це краще, ніж просити користувачів не запускати будь-які виконувані файли з тих сміттєвих компакт-дисків, які вони приносять з дому.

windows security malware

— splattne
джерело

12

Ви хочете обмежити програмне забезпечення . Ця недостатньо використана функція сучасних Windows дозволяє адміністратору дозволити або обмежити виконання виконуваних файлів на основі шляху або навіть на основі криптографічного підпису. До речі, ви хочете більше, ніж просто EXE. Політика обмеження програмного забезпечення містить перелік 30 або 40 додаткових типів файлів, які потрібно обмежити, такі як CMD та SCR, Заставки. Крім того, ви можете заблокувати файли DLL.

Я б оцінив її ефективність як істотно кращу, ніж антивірус. Крім того, важко навчати користувачів про атаки соціальних інженерій, якими користуються сучасні зловмисне програмне забезпечення, наприклад, користувач натискає на ListenToThisMusic.mp3.exe.

— Нокс
джерело

Ти вдарив цвях. :) Підприємство було успішним.

5

Буду з цим обережним. Ви не зможете на 100% заблокувати все, і зробите машини майже неможливими для користувачів. Ви повинні дивитися на освіту своїх користувачів та налагоджувати процес, політику та освіту. Вам потрібно знайти правильний БАЛАНС між обмежувальними діями та продуктивністю кінцевого користувача.

Я бачу багато витраченого $$$ у компаніях, де вони перетворюють користувачів на абсолютне пекло лише для того, щоб полегшити справи хлопцям із підтримки.

— Брюс Маклеод
джерело

1

Я не впевнений, чому люди прихильнили Брюса сюди. Він піднімає хороший момент. Якщо у вас є чітко визначений і невеликий список програм, якими ви хочете користуватися, щільні SRP можуть стати загальним болем у обручі.

— Роб Моїр

Це трохи відповідь, і він працюватиме лише з користувачами, які справді помиляються. Якщо ви маєте справу з типом користувача, який завжди буде поганим, вам потрібен більш жорсткий контроль. Політика, що підтримується HR, може вирішувати інцидент лише після того, як він стався, і ви, можливо, вже тоді матимете значні наслідки для усунення. Це більше про досягнення правильного балансу, ніж про те, щоб бути драконічним.

— Максим Мінімус

Влучне зауваження. Як і багато речей, важливо переконатися, що ІТ-політика узгоджується з тим, що хоче компанія. Наприклад, якби у нас був банк, ми могли б мати у фойє комп'ютери для клієнтів, теллерів, розробників та генерального директора, який хоче грати в Doom. Комп'ютери лобі були заблоковані за допомогою SRP та, можливо, Steady State. Телефони не можуть встановити програмне забезпечення; вони не адміністратор; і SRP не застосовує іншого програмного забезпечення, крім встановленого для них. Розробники є адміністратором на власних машинах, і SRP також менш обмежуючий. А керівник компанії піклується про машину генерального директора.

— Нокс

Насправді ви можете заблокувати це на 100%, це просто робить машину набагато менш утилітарною. Я постійно використовую SRP для створення машин для введення даних.

— Джим Б

Я не використовую це в персональних системах користувачів (кабінет компанії). Тільки в лабораторіях, де люди діляться системами, і ми точно знаємо, яке програмне забезпечення вони будуть використовувати. Ця відмінність робиться, оскільки ці системи містять конфіденційні дані, тоді як персональні системи зазвичай використовуються для іншої роботи, включаючи перевірку пошти, порно (;-)) тощо. Моє роздратування полягає в тому, що деякі користувачі не можуть контролювати себе за невеликий час, який вони проводять у лабораторія. Ерго, ми йдемо SRP шляхом. :)

1

Ви можете додати білий список, використовуючи політику обмеження програмного забезпечення в GPO, але я не впевнений, наскільки це ефективно. Я б ставлю на себе невеликий пончик, який працює в більшості місць з недоброзичливими користувачами, але я б не ставлю на себе свою кар’єру, працюючи ніде, і я б не розраховував на нього в місцях, де я очікував, що він піддається атаці ( наприклад, освітнє середовище).

Ви, безумовно, можете заблокувати запуск коду з певних пристроїв та областей диска, поєднуючи ACL та обмеження програмного забезпечення, і це корисний інструмент безпеки, але я б зробив це невеликою частиною політики безпеки, а не наріжним каменем одного .

— Роб Муар
джерело

0

Ви можете використовувати агент Cisco Security Agent із правилом, яке (після періоду тренувань лише "дивитися") блокує будь-який виконуваний файл, який не працював раніше.

Ви можете дозволити виконувані файли з певних каталогів, якщо хочете.

— пекла
джерело

0

Це набагато простіше до Чорного списку, ніж до Білого списку. Швидше за все, ви маєте уявлення про те, що не хочете, щоб користувачі працювали. Спосіб, що займається Windows, здійснюється за допомогою Політики обмеження програмного забезпечення у вашій груповій групі. Політика обмеження програмного забезпечення може використовуватися для дозволу запуску програмного забезпечення, а також відмови від нього. Доступні для використання чотири різні методи, і це: правила хешу, правила сертифікатів, правила шляху та правила Інтернет-зони.

Правила хеш-правил використовує хеш файлу MD5 або SHA-1 у своєму збігу. Це може бути важкий бій. Якщо спробувати заблокувати щось на зразок pwdump, використовуючи лише хеш-правило, це призведе до ЛОТІВ записів для кожної різної версії pwdump. І коли вийде нова версія, вам потрібно також додати її.

Правила шляху засновані на розташуванні файлу у файловій системі. Так ви можете обмежити, наприклад, "\ програмні файли \ aol \ aim.exe", але якщо користувач вирішить встановити його у "\ myapps \ aol \ aim.exe", це буде дозволено. Ви можете використовувати символи, що охоплюють більше каталогів. Можна також використовувати шлях до реєстру, якщо програмне забезпечення має запис реєстру, але ви не знаєте, де воно буде встановлено.

Правила сертифікатів корисні для програмного забезпечення, яке включає сертифікат. Що означає переважно комерційне програмне забезпечення. Ви можете скласти список сертифікатів, яким дозволено запускатись у ваших системах, і заборонити все інше.

Правила Інтернет-зони поширюються лише на пакети встановлення Windows. Я ніколи цього не використовував, тому не можу це дуже коментувати.

Правильний GPO використовуватиме декілька цих правил, щоб покрити все. Обмеження програмного забезпечення вимагає, щоб ви дійсно подумали про те, що ви хочете запобігти, щоб його правильно. Навіть тоді це, мабуть, досі не вірно. Technet має кілька хороших статей щодо використання політик обмеження програмного забезпечення, і я впевнений, що на сайті Майкрософт знайдеться інші хороші документи, знайдені через вашу улюблену пошукову систему.

Щасти!