我之前在看这里
现在,能够限制程序的执行位置,确保它们仅从 %PROGFILES% 和 %WINDIR% 执行,这听起来很有希望,但我不得不怀疑这样做的可执行性和可锁定性如何。假设遵循该页面,并且当前没有漏洞(仅出于我的问题的目的)。
您能否确保程序无法从 %TEMP% 执行,程序无法仅从 cmd 或 start 命令启动,或从其他程序中启动?基本上,有什么方法可以解决这个问题,如果有,您又如何锁定它们?
答案1
我认为 Windows XP 和 Windows Server 2003 中引入的软件限制策略是防止有害程序运行的有效工具。
如果您认为描述的路径规则不够安全,您可以随时添加哈希规则(无论文件名或位置如何,可执行文件的加密“指纹”都保持不变)和证书。
我知道的绕过 Windows XP 中的软件限制策略的唯一方法是使用辅助登录帐户(以“运行身份”开始)。
答案2
Windows 7 Enterprise 和 Server 2008 R2 中即将推出: 应用程序锁
我在最近的 TechNet 大会上看到了这个演示。您可以根据可执行文件的以下特征来限制/允许:
-路径规则
-哈希规则
-出版商规则
结合使用上述规则,你可以“确保程序不能从 %TEMP% 执行,程序不能仅从 cmd 或 start 命令或从其他程序内部启动?”
阿纳波洛杰托斯
答案3
我们大学的一个公共实验室显然在 Vista 环境中使用了此策略,但似乎没有完全限制。我不确定规则是什么。例如,便携式 Putty 可以在我的桌面上运行。有一次我想从我的桌面运行简单的无意义可执行文件来编码波形文件,但它无法运行。
答案4
我个人并不是它的忠实粉丝,但 McAfee Enterprise 8.5i(以及其他产品)可让您轻松创建自定义规则,以限制 .exe 的启动位置。