Apakah ada cara untuk memberi tahu Windows (XP dan yang lebih tinggi) untuk tidak mengeksekusi file (* .exe file), yang ada di drive / folder selain folder tertentu, yang saya sebutkan? Singkatnya saya ingin dieksekusi dari hanya ' daftar putih ' yang akan dieksekusi.
Saya pikir ini lebih baik daripada meminta pengguna untuk tidak menjalankan executable dari CD sampah apa pun yang mereka bawa dari rumah.
Saya akan berhati-hati dengan ini. Anda tidak akan dapat mengunci 100% semuanya dan Anda akan membuat mesin hampir mustahil bagi pengguna untuk menggunakannya. Anda harus memperhatikan pendidikan pengguna Anda dan menerapkan proses, kebijakan, dan pendidikan. Anda perlu menemukan BALANCE yang tepat antara membatasi tindakan dan produktivitas pengguna akhir.
Saya melihat BANYAK $$$ yang dihamburkan di perusahaan tempat mereka membuat pengguna benar-benar mati hanya untuk membuat segalanya sedikit lebih mudah bagi para pendukung.
sumber
Anda dapat memasukkan daftar putih menggunakan kebijakan pembatasan perangkat lunak dalam GPO tetapi saya tidak yakin seberapa efektif itu. Saya berani bertaruh donat kecil di atasnya bekerja dengan sebagian besar pengguna tidak jahat di sebagian besar tempat, tetapi saya tidak akan bertaruh karier saya akan berhasil di mana saja dan saya tidak akan mengandalkannya di tempat-tempat yang saya harapkan akan diserang ( misalnya lingkungan pendidikan).
Anda tentu saja dapat memblokir kode agar tidak berjalan dari perangkat dan area tertentu dari disk dengan kombinasi ACL dan Pembatasan Perangkat Lunak dan itu adalah alat keamanan yang berguna, tetapi saya akan membuatnya menjadi bagian kecil dari kebijakan keamanan, bukan landasan dari satu .
sumber
Anda bisa menggunakan Agen Keamanan Cisco dengan aturan yang (setelah periode "hanya menonton" untuk pelatihan) memblokir semua executable yang belum berjalan sebelumnya.
Anda dapat mengizinkan executable dari direktori tertentu jika Anda mau.
sumber
Jauh lebih mudah untuk Daftar Hitam daripada Daftar Putih. Kemungkinan besar Anda memiliki gagasan tentang apa yang tidak Anda inginkan dijalankan oleh pengguna. Cara Windows menangani hal ini adalah melalui Kebijakan Pembatasan Perangkat Lunak di GPO Anda. Kebijakan Pembatasan Perangkat Lunak dapat digunakan untuk memungkinkan perangkat lunak untuk menjalankan serta menolaknya. Ada empat metode berbeda yang tersedia untuk digunakan dan mereka adalah: Aturan hash, aturan sertifikat, aturan jalur, dan aturan zona internet.
Aturan Hash Rules menggunakan hash MD5 atau SHA-1 dari file dalam kecocokannya. Ini bisa menjadi pertempuran yang sulit. Mencoba memblokir sesuatu seperti pwdump hanya dengan menggunakan aturan hash akan menghasilkan BANYAK entri, untuk setiap versi pwdump yang berbeda. Dan ketika versi baru keluar, Anda perlu menambahkan itu juga.
Aturan Jalan didasarkan pada lokasi file pada sistem file. Jadi Anda dapat membatasi "\ program file \ aol \ aim.exe" misalnya, tetapi jika pengguna memilih untuk menginstalnya ke "\ myapps \ aol \ aim.exe" itu akan diizinkan. Anda dapat menggunakan wildcard untuk membahas lebih banyak direktori. Dimungkinkan juga untuk menggunakan jalur registri jika perangkat lunak memiliki entri registri tetapi Anda tidak tahu di mana itu akan diinstal.
Aturan sertifikat berguna untuk perangkat lunak yang menyertakan sertifikat. Yang berarti sebagian besar perangkat lunak komersial. Anda bisa membuat daftar Sertifikat yang diizinkan berjalan di sistem Anda dan menolak yang lainnya.
Aturan Zona Internet hanya berlaku untuk Paket Pemasang Windows. Saya tidak pernah menggunakan ini jadi saya tidak bisa berkomentar banyak.
GPO yang tepat akan menggunakan beberapa aturan ini untuk mencakup semuanya. Membatasi perangkat lunak mengharuskan Anda untuk benar-benar memikirkan apa yang ingin Anda cegah agar benar. Meski begitu, itu mungkin masih tidak benar. Technet memiliki beberapa artikel bagus tentang penggunaan Kebijakan Pembatasan Perangkat Lunak, dan saya yakin ada dokumen bagus lain dari situs Microsoft yang ditemukan melalui mesin pencari favorit Anda.
Semoga berhasil!
sumber