有没有办法阻止 Windows 10 用户(或整个系统)打开整个分区上的任何可执行文件?(例如,仅在 D:\ 驱动器上包括所有子文件夹。)
或者也可以(甚至更好的解决方案)只是允许执行 C:\ 驱动器上的文件。
目的是防止用户意外执行virus.exe诸如trojan.jpg.exe保留他们能够使用所有系统软件并创建/删除/移动所有文件/文件夹以及解压档案等。(基本上,除了可执行文件之外,不应有任何缓解措施。)
答案1
经过一番研究,我们找到了这个问题的解决方案。
重申/阐述问题:
我们有多个半公开访问的系统,但出于安全和管理的原因必须受到限制(不能意外执行.exe 和脚本文件,不能进行用户空间安装)。
我们的系统有一个 Windows 管理员和本地用户帐户。管理员可以访问 C:\ 来安装和管理软件,用户只能访问单独的 D:\ 分区(通过组策略:管理模板 - Windows 组件 - 文件资源管理器 - 阻止访问驱动器)。
为了防止执行来自 D: 的任何文件,我们创建了一个新的软件限制策略 (SRP)(也可以在组策略中找到,但在 Windows 设置 - 安全设置 - 软件限制策略中)。
在这种情况下,我们使用了白名单方法(默认安全级别设置为:“不允许”)并添加以下路径作为允许的:,,%SystemDirectory%(路径规则递归尊重这些 Windows 环境变量。)%SystemDrive%%ProgramFiles(x86)%
这样,只有驱动器 C:\ 中的软件才被允许运行。由于只有系统管理员才能访问 C:,因此没有管理员权限的用户空间软件无法运行,用户会收到通知。
任何事件都将被记录并显示在系统日志中,因此可以根据需要添加路径。
这可能或不可能绝对安全地抵御有针对性的攻击,但可以防止一般用户意外执行软件或安装各种不需要的程序。