有什么方法可以告诉 Windows(XP 及以上版本)不要执行我提到的某些文件夹以外的驱动器/文件夹中的文件(*.exe 文件)?简而言之,我只想要来自“白名单' 被执行。
我认为这比要求用户不要运行他们从家里带来的垃圾 CD 上的任何可执行文件要好。
答案1
你要软件限制策略。现代 Windows 的这一未充分利用的功能允许管理员根据路径甚至加密签名允许或限制可执行文件的运行。顺便说一句,您想要的不仅仅是 EXE。软件限制策略列出了您需要限制的 30 或 40 种其他文件类型,例如 CMD 和 SCR、屏幕保护程序。此外,您还可以阻止 DLL。
我认为它的有效性远远好于防病毒软件。此外,很难教育用户了解现代恶意软件使用的社会工程攻击,例如让用户点击 ListenToThisMusic.mp3.exe。
答案2
我会小心处理这个问题。你不可能 100% 锁定所有东西,而且用户几乎无法使用机器。你应该考虑教育你的用户,并制定流程、政策和教育。你需要在限制操作和最终用户生产力之间找到正确的平衡。
我看到很多公司浪费了大量的钱,他们让用户的生活变得非常痛苦,只是为了让支持人员的工作变得轻松一点。
答案3
您可以使用 GPO 中的软件限制策略将软件列入白名单,但我不确定它有多有效。我敢打赌,它在大多数地方对大多数非恶意用户都有效,但我不敢拿我的职业生涯来打赌它在任何地方都有效,而且我不会指望它在我预计会受到攻击的地方(例如教育环境)发挥作用。
您当然可以通过结合使用 ACL 和软件限制来阻止代码从某些设备和磁盘区域运行,这是一个有用的安全工具,但我会将其作为安全策略的一小部分,而不是安全策略的基石。
答案4
列入黑名单比列入白名单容易得多。您很可能知道您不希望用户运行什么。Windows 处理此问题的方式是通过 GPO 中的软件限制策略。软件限制策略可用于允许软件运行以及拒绝软件运行。有四种不同的方法可供使用,它们是:哈希规则、证书规则、路径规则和 Internet 区域规则。
哈希规则在匹配中使用文件的 MD5 或 SHA-1 哈希。这可能是一场艰苦的战斗。尝试仅使用哈希规则阻止 pwdump 之类的东西将导致每个不同版本的 pwdump 产生大量条目。当新版本发布时,您也需要添加它。
路径规则基于文件在文件系统上的位置。因此,例如,您可以限制“\program files\aol\aim.exe”,但如果用户选择将其安装到“\myapps\aol\aim.exe”,则允许这样做。您可以使用通配符来覆盖更多目录。如果软件有注册表项但您不知道它将安装在哪里,也可以使用注册表路径。
证书规则对于包含证书的软件很有用。这意味着大多数商业软件。您可以建立一个允许在您的系统上运行的证书列表,并拒绝其他所有证书。
Internet 区域规则仅适用于 Windows 安装程序包。我从未使用过它,因此无法对此发表太多评论。
正确的 GPO 将使用其中几条规则来覆盖所有内容。限制软件需要您真正考虑要阻止什么才能做到正确。即便如此,它可能仍然不正确。Technet 上有一些关于使用软件限制策略的好文章,我相信通过您最喜欢的搜索引擎在 Microsoft 网站上还可以找到其他好的文档。
祝你好运!