Як я можу зупинити запуск .exe зі знімних носіїв, таких як USB-накопичувачі?

10

У мене є проблема з користувачами, які працюють .exe зі змінних сховищ, таких як картки пам'яті Memory Sticks та SD-карти.

Я намагаюся налаштувати блокування запущеного exe з усіх знімних сховищ для боротьби з цим, однак за налаштуваннями групової політики в розділі "Конфігурація користувача> Налаштування Windows> Налаштування безпеки> Політика обмеження програмного забезпечення> Додаткові правила" ви можете створити "шлях" змінна. Я хотів би використовувати системну змінну для всіх знімних сховищ, але не знаю, чи є така, яка працює. Чи потрібно пройти і створити список блоків для всіх потенційних літер диска, які можна було б призначити видаляється носіям (від E: \ до L: \), чи є такий, який насправді працює? Я виявив, %~dp0що, мабуть, працює лише для циклів, якщо оператори та параметри партії.

Якщо є інші, кращі або надійніші заходи, будь ласка, повідомте мене про це.

О, я переглянув AppLocker, але наш DC працює під керуванням Server 2008, і я вважаю, що AppLocker є частиною Windows 7 та 2008 R2. Як згадувалося в коментарях до відповіді нижче, я не думаю, що Сервер 2008 має налаштування "Заборонити виконувати доступ", тож чи є інші варіанти?

windows-server-2008  group-policy 
tombull89
джерело

Відповіді:

12

Ви можете зупинити виконання програмного забезпечення на знімних пристроях через GPO. Налаштування знаходиться в розділі Комп'ютер> Адміністративні шаблони> Система> Знімний доступ до пам’яті> Знімні диски: Заборонити виконувати доступ

введіть тут опис зображення

Редагувати:

Чи маєте ви доступ до системи Server 2008 R2? Якщо це так, ви можете створити налаштування політики, створити резервну копію на диску та перенести її до системи Server 2008 та імпортувати політику назад. Це не дасть вам можливості змінювати політику, але ви повинні мати можливість бачити параметри як Extra Registry Settingsі це добре працює для ваших клієнтів Windows 7.

Якщо це допомагає, я щойно створив резервну копію такої політики і розмістив її на Dropbox для завантаження. Звичайне використання на власний ризик тощо.

Брайан
джерело
Це функція Server 2008 або 2008 R2? Я не бачу "Заборонити доступ до виконання" (або будь-яку з функцій стрічки або WPD).
tombull89
Ви точно дивитесь на політику "Комп'ютер", а не на політику користувача? У 2008 році R2 вони не розміщені в рамках Політики користувачів, а є в рамках Комп'ютерної політики. Вона може бути недоступною в розділі "Комп'ютерна політика" для версії, що не належить до R2, і тоді я вибачаюся за те, що вас ввели в оману. Я боюся, що у мене немає системи R2, яка б перевірила це.
Брайан
Вибачте, я був невірним у своєму коментарі вище. У мене є функції Tape та WPD, лише в жодному з розділів немає доступу Execute, лише Read / Write. Я також перебуваю під комп’ютерною політикою. Якщо я переглядаю "всі налаштування", це також не в цьому списку.
tombull89
3
У мене немає системи для тестування цього, але, можливо, ви можете спробувати завантажити адміністративні шаблони для сервера 2008 R2 та Windows 7 . Це може забезпечити налаштування політики, необхідні для налаштування клієнтів.
Браян
Встановлено адміністративні шаблони, але все ще не відображається доступ до виконання, як сподівалося.
tombull89
2

Деякі корпоративні антивірусні продукти (наприклад, McAfee , Sophos , Symantec ) включають цю функцію як щось, що може бути включено корпоративно. Можливо, ваше корпоративне антивірусне рішення має це як особливість.

dunxd
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.