替代标题:如何更改执行文件的默认(系统范围)权限?
我安装了新的 Windows 11 Pro 系统(不适合我),现在我必须保护系统免受病毒侵害。我不想安装任何防病毒软件,而是想做一些更严格的事情。我想允许用户仅执行我以某种方式在某个地方指定的特定程序或特定目录中的程序。如果我想从另一个文件夹执行,我需要更改可执行文件的属性中的权限,我不想使用带有密码提示的安全屏幕等等……现在我有一些想法,我的问题是建议怎么做。
目前唯一的用户是名为“Admin”的管理员用户
现在我的想法是:
1- 可能创建一个新的常规用户并切换自动登录以登录该用户
2- 更改默认用户(自动登录的用户)在系统磁盘上的文件系统、机箱中的其他磁盘以及所有可安装的存储介质上的默认执行权限。然后,明确允许用户从目录列表执行。
我不知道如何更改此默认执行权限?
我的猜测是检查组策略中的某些选项,但我对此很业余...
答案1
您想要实现的目标绝对是可能的。在 Windows 中,你可以把事情做得非常严格,以至于每个想要运行的文件都需要通过 4 种类型的哈希值才能运行。但如果它是你每天安装和更新新应用程序的系统,维护工作量就很大。如果它是 ATM 或固定用途的机器,那么它是完美的。
我对此进行过多次练习,并且可以将其分为两类。
首先我建议看一下我在 GitHub 上的 Windows Hardening PowerShell 脚本: https://github.com/HotCakeX/Harden-Windows-Security
关于它有很多细节,你可以在那个页面找到所有信息。它可以免费强化 Windows,只使用 Microsoft 推荐和支持的官方方法,无需任何第三方工具。
在阅读了有关它的所有细节、使用它、测试了系统,并且仍然不满意之后,我建议探索第二类,涉及 Windows Defender 应用程序控制 (WDAC)。同样,关于它的信息很多,我建议花些时间熟悉它,准备好后,使用我制作的 PowerShell 模块WDAC配置开始您的旅程。我很乐意回答有关我在此处提到的任何内容的任何问题,无论是在 GitHub 讨论中还是在这篇文章下的评论中。
什么是 Windows Defender 应用程序控制?
鉴于当今的威胁形势,应用程序控制是保护企业的关键防线,它比传统的防病毒解决方案具有固有优势。具体而言,应用程序控制从假定所有应用程序都值得信赖的应用程序信任模型转变为应用程序必须赢得信任才能运行的模型。
部署了 Windows Defender 应用程序控制 (WDAC) 策略的设备可以通过 MDM、Intune 等进行集中管理,也可以是家庭设备、不属于任何组织的私人设备、您想要 100% 安全的某人的计算机这样设备所有者就无法自愿或强迫自己妥协,可能性是无止境。
Windows Defender 应用程序控制 (WDAC) wiki 文章
- 介绍
- WDAC配置模块
- 适用于轻度管理设备的 WDAC
- 完全托管设备的 WDAC - 变体 1
- 适用于完全托管设备的 WDAC - 变体 2
- 适用于完全托管设备的 WDAC - 变体 3
- 适用于完全托管设备的 WDAC - 变体 4
- WDAC 注意事项
- 如何创建和部署签名的 WDAC 策略
- 快速自动更新 Microsoft 推荐的驱动程序阻止规则
我的 WDACConfig 模块
WDAC配置是一个高级 PowerShell 模块,旨在实现自动化Windows 中的应用程序和文件白名单使用 Windows Defender 应用程序控制。从PowerShell 库。
WDAC 使用级别
您可以通过多种方式利用 WDAC 功能,这里按它们提供的限制和保护级别进行排序;从顶部(限制和保护最少)到底部(限制和保护最多)。
使用 Microsoft 推荐的驱动程序阻止规则。
- 无需用户操作从 Windows 11 2022 更新开始,所有设备默认启用易受攻击的驱动程序阻止列表,使用 HVCI 或内存完整性。
- 内置驱动程序阻止列表会随着 Windows 的每个新主要版本的发布而更新,通常每年 1-2 次。
更新 Microsoft 推荐的驱动程序阻止规则在一年两次的计划之外。
- 驱动程序阻止列表本身更新更频繁而不是每年两次的计划,使用我的 WDAC 模块定期下载和应用它们,自动地。
使用 Microsoft 推荐的阻止规则 PLUS 推荐的驱动程序阻止规则
- 此处提供了 WDAC XML 策略内容,复制它们,创建一个新的XML文件并将内容粘贴到其中并保存。重置其策略ID并将其转换为多策略格式。将其转换为
.cip
策略二进制文件进而部署它. 定期重复此操作以保持最新状态。
- 此处提供了 WDAC XML 策略内容,复制它们,创建一个新的XML文件并将内容粘贴到其中并保存。重置其策略ID并将其转换为多策略格式。将其转换为
创建 WDAC 策略轻度管理的设备
使用智能应用控制
- 它只是 Windows 安全中“应用和浏览器控制”下的切换按钮。它使用一种特殊的 WDAC 策略,该策略提供的保护比轻度管理的工作站更多,但比完全管理的工作站更少。
- 它使用了 Microsoft 推荐的两种阻止规则。
创建 WDAC 策略完全托管的设备
我们可以使用方法来创建 WDAC 策略
规划 Windows Defender 应用程序控制生命周期策略管理
微软提供了以下是官方文档了解您需要做出哪些决定来建立管理和维护 Windows Defender 应用程序控制 (WDAC) 策略的流程。其余的将在下文中提及资源部分。
资源
微软网站上还有更多的 WDAC 资源和 cmdlet。
命令
文件
- Windows 应用程序控制
- 了解 Windows Defender 应用程序控制策略设计决策
- 部署 Windows Defender 应用程序控制 (WDAC) 策略
- 使用多个 Windows Defender 应用程序控制策略
- 使用审核事件创建 WDAC 策略规则
- 合并 Windows Defender 应用程序控制 (WDAC) 策略
- 了解 Windows Defender 应用程序控制 (WDAC) 策略规则和文件规则
- 测试和调试 AppId 标记策略
- 使用向导编辑现有的基本和补充 WDAC 策略
- 使用向导创建新的补充政策
- 在线生成 Windows Defender 应用程序控制 (WDAC) 策略
- Windows Defender 应用程序控制 (WDAC) 示例基础策略
- 配置应用程序标识服务
- Microsoft 推荐的驱动程序阻止规则
- Microsoft 推荐的阻止规则
- 使用参考计算机创建 WDAC 策略(适用于固定工作负载设备)
- 为完全托管的设备创建 WDAC 策略
- 为轻度管理的设备创建 WDAC 策略
- 创建 WDAC 拒绝策略的指南
- 受虚拟机管理程序保护的代码完整性实现
答案2
创建新的常规用户
是的,创建第二个没有管理权限的“常规”用户是实现更好安全性的最佳第一步。
我不想要带有密码提示的安全屏幕
用户帐户控制将总是提示您输入管理员权限。完全可以将软件设置为不需要管理员权限即可运行(将其保持在单用户范围内)。另一个易于使用的选项是使用物理密钥而不是密码来提示 UAC。
我想允许用户仅执行我指定的特定程序
Windows 10 和 Windows 11 包含两种可用于应用程序控制的技术,具体取决于您的特定场景和要求。我将复制/粘贴它们的基本描述,但它们本质上都是应用程序白名单:
- Windows Defender 应用程序控制 (WDAC):WDAC 随 Windows 10 推出,允许组织控制哪些驱动程序和应用程序可以在其 Windows 客户端上运行。
- 应用程序锁:AppLocker 可帮助您控制用户可以运行哪些应用和文件。这些包括可执行文件、脚本、Windows 安装程序文件、动态链接库 (DLL)、打包应用和打包应用安装程序。
两者都会让您定义允许通过各种规则运行的内容。文件夹路径、文件哈希、作者签名等。
他们是一个很多随着时间的推移,需要配置和管理的工作量会增多,而不是在 PC 上设置一次然后交给其他人。
应用程序控制是对防病毒等技术的一大补充,但它不会阻止任何程序以您已允许的进程形式运行。例如,浏览器或 PDF 查看器从网站/扩展程序/文件/宏等运行恶意代码。