乍一看,这个问题似乎很愚蠢(或邪恶),但请允许我详细说明一下……
我们在公司网络和代理上实施了各种措施,以防止将某些类型的文件下载到公司机器上。大多数文件,甚至包含 exe 的 zip 文件,在单击下载时都会被阻止。
但一些“有进取心”的用户仍然设法让下载正常运行。例如,我站在某人身后(他不认识我,也不知道我在哪个部门工作),他当着我们的面将以“.exe”结尾的 URL 更改为“.exe?”,浏览器直接下载了“未知”文件类型。从那时起我们就堵住了这个漏洞,但我想知道是否有人知道任何绕过网络安全和检查软件下载文件的恶意手段。
或者如果你知道一些你可以保证是万无一失的商业软件,我们可以试用一段时间。
任何帮助都值得感激...
答案1
无论你想出什么技术解决方案,总会有人找到绕过它的方法。如果你是认真的(而不是为了阻止随意下载或履行某些不露面的政策要求),那么请请,
与您的用户交谈!
解释你为什么要屏蔽这些内容。帮助他们理解它的重要性。然后听当他们告诉你为什么仍然需要下载可执行文件时,请帮助他们找到一种方法来完成他们的工作,而不会让你的工作变得更加困难。
多年来,我们的一个供应商一直采用与您的类似的系统。不幸的是,他们还负责为我们提供其定价软件的定期更新,并且在测试期间,可执行文件经常在我们的网络之间来回传输。由于过滤器,我们都养成了重命名文件(.exe -> .ear 等)、压缩文件、压缩然后重命名文件的习惯,甚至使用个人机器传输文件……这不仅破坏了限制并放大了对两家公司的潜在危险,而且还摧毁了我们对限制背后那些人的尊重。
最后,有人收到了消息并为我们设置了一个安全的 FTP 服务器供我们使用。
人们通常只关注技术方面,而忘记了那些必须处理其后果的足智多谋的人类。当然,如果您已经这样做了,那么您将更加强大!
答案2
如果您在外部世界有适当的访问权限,最简单的方法是:加密文件,下载,解密。您可能需要将文件扩展名更改为扫描仪无法识别的内容,但基本上,如果您使用合理的加密,内容将“无法扫描”。
哎呀,只是一个受密码保护的 zip 文件可能工作 – 如果它们没有被明确阻止。
如果你只去允许您理解并认可的内容可能会更加有效,但同时也会因为误报而给所有相关人员带来更多痛苦。
答案3
将文件扩展名更改为 .pdf。据我所知,大多数检查器都会假定它是 pdf(因为 pdf 是二进制文件)并让它通过。
答案4
我们在公司网络和代理上实施了各种措施,以防止某些文件类型下载到公司机器上。
你可能做错了。Windows Active Directory 允许你设置策略来阻止特定的可执行文件,或者更实际地,只允许某些可执行文件运行。你必须花一点时间确保所有应用程序都在例外列表中,但之后你就可以简单地停止正在运行的其他所有可执行文件。