鉴于最近的新闻我们正在寻求有关如何阻止 Oracle Java 安装在所有加入域的 Windows 计算机上的智慧。最令人头疼的是该组织不使用 AppLocker。
对每个可能的安装路径进行硬编码似乎很麻烦,并且将每个 Java 安装程序添加到我们的防病毒软件中会给我们为其提供托管 AV 服务的客户带来问题。
有没有其他方法可以防止不使用 AppLocker 而安装特定的应用程序?
答案1
您可以做两类事情。实施软件允许列表,只允许授权的软件运行。清点所有已安装的软件,并查看正在运行的软件。
允许列表是一个大项目,很少有人能完成它,但它将可靠地提高您的安全性和软件许可合规性。AppLocker 或 Windows Defender 应用程序控制并不是唯一的实现,但 Server Fault 并不是推荐的,您必须找到适合您需求的东西。
显然,人们仍然需要软件来完成他们的工作,因此允许列表实施的主要部分就是让他们这样做。获取人们的意见,并让他们轻松批准他们想要的软件。也许可以逐步开始,阻止任何由 Oracle 签名的东西,但允许大多数其他东西。理想情况下,最终达到所有软件提供商都已知的地步,并阻止任何未知的东西。
锁定已知安装路径是一种薄弱的防御措施。聪明的用户可能会通过使用其他位置的可移植二进制文件来解决这个问题。或者该软件有一些不断更新的版本路径。如果您无论如何都要尝试一些高维护性的东西,不妨考虑获取能够完全控制和查看运行内容的工具。
至于清单,找到列出主机上所有已安装软件包的方法。查看这些内容并确定平台。您提到了 Java,您可以制定策略,让 Java 应用使用首选的 OpenJDK 版本,并保持更新。
答案2
是的。
还有其他方法可以防止特定应用程序在不使用 AppLocker 的情况下安装在已加入域的 Windows 计算机上。一种选择是使用组策略来限制软件安装,另一种选择是使用第三方软件,如 EMET 或 SRP。但是,对任何第三方软件进行彻底测试非常重要,以确保它不会干扰正常的系统运行。