Hạn chế quyền truy cập vào các ứng dụng

0

Tôi muốn ngăn người dùng cụ thể có thể thực thi các ứng dụng (.exe, .msi, .vbs) trên mọi ổ đĩa của PC (bao gồm cả ổ đĩa di động), ngoại trừ các thư mục C: \ ProgramFiles \, và C: \ Windows. Điều này là do virus; đặc biệt là nếu ai đó tải xuống .exe và vô tình thực thi nó.

Tôi có Windows 7 Professional. Tôi đã tìm thấy một chủ đề rất giống nhau ( Applocker ), nhưng Applocker không hoạt động với tôi. Tôi đã sao chép putty.exe trong C: \ Temp \ và đã thực hiện các bước cho người dùng Foo (cũng đã khởi động AppIDSvc), được mô tả tại liên kết, PC đã khởi động lại, nhưng nó không có tác dụng gì; Foo đã có thể thực thi putty.exe.


Bạn có thể giúp tôi giải quyết nó?
Có thể có bất kỳ sự thay thế khác? Nó không phải là Applocker ...

windows-7  restrictions 
linh hồn
nguồn
1
tốt, bạn đang yêu cầu một lớp con MAC cho windows, nhưng thực sự không có. bạn có lẽ nên nhìn vào emet. Lưu ý rằng hỗ trợ chính của Win7 đã kết thúc, vì vậy nếu bạn lo lắng về phần mềm độc hại này, bạn nên xem xét nâng cấp hệ điều hành của mình. vi.wikipedia.org/wiki/Mandatory_access_control arstechnica.com/inatures-t Technology / 2017/06 / Kẻ
Frank Thomas

Câu trả lời:

0

Bạn có thể chặn thực thi chương trình từ các thư mục nhất định bằng cách từ chối quyền NTFS Traverse folder/execute file. Tôi đã thực hiện điều này trên các thư mục cụ thể như thư mục Tải xuống rất thành công. Tuy nhiên, tôi nên thận trọng khi áp dụng quyền từ chối như vậy cho toàn bộ cây thư mục.

Nếu bạn quyết định làm điều này, hãy làm như sau để bạn có thể dễ dàng vô hiệu hóa các hạn chế hoặc hạn chế những người dùng khác nhau theo ý muốn:

  1. Tạo một nhóm cục bộ có tên Vô hiệu hóa người dùng thực thi NTFS
  2. Từ chối các quyền đối với nhóm đó
  3. Làm cho người dùng của bạn trở thành thành viên của nhóm đó

Để nâng hạn chế, chỉ cần xóa người dùng khỏi nhóm.

Hãy nhớ rằng người dùng không phải là quản trị viên có thể chỉnh sửa quyền NTFS trên bất kỳ thư mục nào mà họ là Chủ sở hữu. Ngoài ra, Quản trị viên luôn có thể chỉnh sửa quyền và đánh bại chiến lược này.

Lưu ý rằng phương pháp này chỉ hoạt động cho các thực thi thực tế. Ví dụ: tệp script .vbs không phải là chương trình và không bị chặn bởi điều này. Sau đó, chúng được đọc bởi các tệp thực thi wscript.exe hoặc cscript.exe nằm trong cấu trúc thư mục Windows. Tương tự với các loại tập lệnh khác, bao gồm PowerShell.

Kẻ giả mạo xoắn
nguồn
Thanx cho câu trả lời của bạn. Tôi đang trải nghiệm với Parental Control. Có một danh sách tất cả các chương trình hiện đang cài đặt. Tôi đã kiểm tra tất cả. Sau đó, khi tôi sao chép một .exe mới trong bất kỳ thư mục nào của C: \, tôi nhận được một thông báo: "Ứng dụng bị chặn do hạn chế." Quyền NTFS có vẻ cũng tốt. Tôi có một câu hỏi: tôi có thể vô hiệu hóa quyền thực thi cho toàn bộ ổ đĩa C: \ không? (trong Linux tôi có thể làm điều đó cho một thư mục gốc) Nếu có, điều đó có nghĩa là, nếu người dùng tạo một thư mục mới trong C: \, điều này cũng sẽ không có quyền thực thi?
deemon
Nếu bạn tắt quyền thực thi cho toàn bộ ổ C: bạn sẽ khiến máy không thể hoạt động cho người dùng bị ảnh hưởng, vì Windows và các ứng dụng sẽ không thể chạy mã của họ.
Kẻ giả mạo Twisty
Bạn nói đúng :-) Ý tôi là toàn bộ ổ C: ngoại trừ các thư mục Windows \ và ProgramFiles \. Điều này có bất kỳ tác dụng phụ khác?
deemon
Đó là một cách khá không chuẩn để hoàn thành những gì bạn đang theo đuổi, vì vậy tôi không thể chứng minh cho phương pháp này (hoặc tác dụng phụ của nó) từ kinh nghiệm. Nhưng nếu bạn làm theo cách tôi đã trình bày ở đây, thật dễ dàng để loại bỏ người dùng bị ảnh hưởng khỏi nhóm bị hạn chế nếu bạn gặp phải các tác dụng phụ không mong muốn. Và vâng, tôi đã chuẩn bị cho họ.
Kẻ giả mạo Twisty
Có lẽ công cụ này sẽ phù hợp với tôi Inteset Secure Lockdown ? Thật không may, nó không miễn phí. Tìm thấy ở đây .
deemon
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.