你好,我希望用户可以下载任何文件(目前他们可以) - 但对于可执行文件(exe / com / pif / scr / bat / ps1),我希望隐藏或禁用“运行”选项。
如果这不可能,那么最接近的解决方案是什么,可以阻止用户运行从 Internet Explorer 网页下载的 .bat 文件
该机器不在域中,但我们可以使用 gpedit.msc。我尝试了软件限制策略,但它只能阻止 .exe
非常感谢
答案1
最接近的做法可能是阻止 Internet Explorer 下载“高风险”文件类型,并为用户提供其他下载方法。
可以通过启用组策略来实现阻止用户配置 → 管理模板 → Windows 组件 → Internet Explorer → Internet 控制面板 → 安全页面 → Internet 区域 → 显示不安全文件的安全警告.(该政策必须已启用,并将选项设置为禁用。
看有关 Microsoft Windows 中的附件管理器的信息IE 认为“不安全”的文件类型列表。(其中包括您提到的除 .ps1 之外的所有文件类型。)
请注意,Chromium 和 Google Chrome 也使用 Windows 附件管理器进行下载,因此 IE 设置也会阻止这些浏览器中的下载。我不知道 Firefox 是否如此。
答案2
如果你正在运行企业版本的 Windows 7、8/8.1 或 10,您可以使用 AppLocker 通过本地组策略编辑器 ( gpedit
) 配置此策略。
AppLocker 远胜于软件限制策略。您不仅可以像使用 SRP 一样配置可执行规则,还可以为 MSI 安装程序、脚本(.bat、.vbs、.ps1 等)和 Windows Universal (.appx) 包设置策略。您还可以根据证书中的路径、文件哈希和发布者/版本信息配置允许/拒绝规则(如果应用程序/脚本已使用证书签名)。
配置策略的位置是计算机配置->Windows 设置->安全设置->应用程序控制策略。
AppLocker 的缺点是它仅适用于 Windows 企业版,不适用于专业版。此外,您不能同时使用 AppLocker 和软件限制策略。
以下是微软关于该功能的文档。如果您有企业版,绝对值得一看。请注意,该链接引用的是 Windows 8/8.1,但它在 Win7 和 Win10 中同样有效。
答案3
Internet Explorer:如何阻止可执行文件 (exe/com/pif/scr/bat/ps1) 在下载时被“运行”
你可以这样做的一个方法是限制或明确否定关于 NTFS ACL 权限Traverse folder / execute file
对于此用户帐户(或他们所属的安全组),IE 11 下载可执行文件的文件夹(例如/Downloads
文件夹)。
这样,他们就可以使用 IE 顺利下载并保存到此文件夹,但是当他们执行时,他们会收到权限被拒绝等类型的消息,并且无法从此位置执行任何操作。
添加新的显式拒绝安全
右键单击文件夹,选择特性,转到安全选项卡,选择先进的, 选择添加, 选择显示高级权限, 选择选择校长,输入用户名或安全组以限制此访问。一旦在类型字段将值降至否定,以及适用于字段将其的值降低到此文件夹和文件,然后转到高级权限部分并检查遍历文件夹/执行文件并按好的。