Có cách nào để bảo Windows (XP trở lên) không thực thi các tệp (* .exe), có trong các ổ đĩa / thư mục khác với các thư mục nhất định mà tôi đề cập không? Nói tóm lại, tôi muốn các tệp thực thi chỉ từ một ' danh sách trắng ' được thực thi.
Tôi nghĩ rằng điều này tốt hơn là yêu cầu người dùng không chạy bất kỳ tệp thực thi nào từ bất kỳ đĩa CD rác nào họ mang từ nhà.
Câu trả lời:
bạn muốn Chính sách hạn chế phần mềm . Tính năng không được sử dụng đúng mức này của Windows hiện đại cho phép người quản trị cho phép hoặc hạn chế các tệp thực thi chạy dựa trên đường dẫn hoặc thậm chí dựa trên chữ ký mã hóa. Nhân tiện, bạn muốn nhiều hơn là chỉ EXE. Chính sách hạn chế phần mềm có danh sách 30 hoặc 40 loại tệp bổ sung mà bạn cần hạn chế, chẳng hạn như CMD và SCR, Trình bảo vệ màn hình. Ngoài ra, bạn có thể chặn DLL.
Tôi đánh giá hiệu quả của nó tốt hơn đáng kể so với chống vi-rút. Ngoài ra, thật khó để giáo dục người dùng về các cuộc tấn công kỹ thuật xã hội mà phần mềm độc hại hiện đại sử dụng, chẳng hạn như khiến người dùng nhấp vào ListenTo ThisMusic.mp3.exe.
Tôi sẽ cẩn thận với điều này. Bạn sẽ không thể khóa 100% mọi thứ và bạn sẽ khiến người dùng gần như không thể sử dụng. Bạn nên nhìn vào việc giáo dục người dùng của mình và đưa quá trình, chính sách và giáo dục vào vị trí. Bạn cần tìm CÂN B withNG đúng giữa việc hạn chế các hành động và năng suất của người dùng cuối.
Tôi thấy RẤT NHIỀU $$$ bị lãng phí trong các công ty nơi họ khiến người dùng sống tuyệt đối chỉ để làm mọi thứ dễ dàng hơn một chút cho những người hỗ trợ.
Bạn có thể lập danh sách trắng bằng cách sử dụng các chính sách hạn chế phần mềm trong GPO nhưng tôi không chắc hiệu quả của nó. Tôi đã đặt cược một chiếc bánh rán nhỏ trên nó hoạt động với hầu hết người dùng không độc hại ở hầu hết các nơi nhưng tôi sẽ không đặt cược sự nghiệp của mình vào nó hoạt động ở bất cứ đâu và tôi sẽ không tin vào nó ở những nơi mà tôi dự đoán nó sẽ bị tấn công ( ví dụ môi trường giáo dục).
Bạn chắc chắn có thể chặn mã chạy từ một số thiết bị và khu vực nhất định của đĩa bằng sự kết hợp giữa ACL và Hạn chế phần mềm và đó là một công cụ bảo mật hữu ích, nhưng tôi sẽ biến nó thành một phần nhỏ của chính sách bảo mật, không phải là nền tảng của một chính sách .
Danh sách đen của nó dễ dàng hơn nhiều so với Whitelist. Nhiều khả năng bạn có một ý tưởng về những gì bạn không muốn người dùng chạy. Cách Windows xử lý việc này là thông qua Chính sách hạn chế phần mềm trong GPO của bạn. Chính sách hạn chế phần mềm có thể được sử dụng để cho phép phần mềm chạy cũng như từ chối nó. Có bốn phương pháp khác nhau có sẵn để sử dụng và đó là: quy tắc Hash, quy tắc chứng chỉ, quy tắc đường dẫn và quy tắc vùng Internet.
Quy tắc băm sử dụng hàm băm MD5 hoặc SHA-1 của tệp trong trận đấu. Đây có thể là một trận chiến khó khăn. Cố gắng chặn một cái gì đó như pwdump chỉ bằng quy tắc băm sẽ dẫn đến RẤT NHIỀU mục, cho mỗi phiên bản pwdump khác nhau. Và khi một phiên bản mới xuất hiện, bạn cũng cần phải thêm nó.
Quy tắc đường dẫn dựa trên vị trí của tệp trên hệ thống tệp. Vì vậy, bạn có thể hạn chế "\ chương trình tập tin \ aol \ aim.exe", nhưng nếu người dùng chọn cài đặt nó vào "\ myapps \ aol \ aim.exe" thì điều đó sẽ được cho phép. Bạn có thể sử dụng ký tự đại diện để bao gồm nhiều thư mục hơn. Cũng có thể sử dụng đường dẫn đăng ký nếu phần mềm có mục đăng ký nhưng bạn không biết nơi nào sẽ được cài đặt.
Quy tắc chứng chỉ rất hữu ích cho phần mềm bao gồm chứng chỉ. Có nghĩa là phần mềm thương mại. Bạn có thể xây dựng một danh sách các Certs được phép chạy trên hệ thống của mình và từ chối mọi thứ khác.
Quy tắc vùng Internet chỉ áp dụng cho các gói cài đặt Windows. Tôi chưa bao giờ sử dụng nó vì vậy tôi không thể nhận xét về nó nhiều.
Một GPO thích hợp sẽ sử dụng một vài trong số các quy tắc này để bao quát mọi thứ. Hạn chế phần mềm đòi hỏi bạn phải thực sự nghĩ về những gì bạn muốn ngăn chặn để làm cho đúng. Ngay cả sau đó, nó có lẽ vẫn không đúng. Technet có một số bài viết hay về việc sử dụng Chính sách hạn chế phần mềm và tôi chắc chắn có những tài liệu hay khác ngoài trang web của Microsoft được tìm thấy thông qua công cụ tìm kiếm yêu thích của bạn.
Chúc may mắn!