Mencegah eksekusi yang dapat dieksekusi Windows

11

Apakah ada cara untuk memberi tahu Windows (XP dan yang lebih tinggi) untuk tidak mengeksekusi file (* .exe file), yang ada di drive / folder selain folder tertentu, yang saya sebutkan? Singkatnya saya ingin dieksekusi dari hanya ' daftar putih ' yang akan dieksekusi.

Saya pikir ini lebih baik daripada meminta pengguna untuk tidak menjalankan executable dari CD sampah apa pun yang mereka bawa dari rumah.

windows security malware percikan
sumber

Jawaban:

12

Anda menginginkan Kebijakan Pembatasan Perangkat Lunak . Fitur Windows modern yang kurang dimanfaatkan ini memungkinkan administrator untuk mengizinkan atau membatasi executable berjalan berdasarkan path atau bahkan berdasarkan tanda tangan kriptografi. Omong-omong, Anda menginginkan lebih dari sekadar EXE. Kebijakan Pembatasan Perangkat Lunak memiliki daftar 30 atau 40 jenis file tambahan yang perlu Anda batasi, seperti CMD dan SCR, Screen saver. Selain itu, Anda dapat memblokir DLL.

Saya akan menilai efektifitasnya secara substansial lebih baik daripada anti-virus.

Knox
sumber
Anda memukul paku. :) Usaha itu berhasil.
5

Saya akan berhati-hati dengan ini. Anda tidak akan dapat mengunci 100% semuanya dan Anda akan membuat mesin hampir mustahil bagi pengguna untuk menggunakannya. Anda harus memperhatikan pendidikan pengguna Anda dan menerapkan proses, kebijakan, dan pendidikan. Anda perlu menemukan BALANCE yang tepat antara membatasi tindakan dan produktivitas pengguna akhir.

Saya melihat BANYAK $$$ yang dihamburkan di perusahaan tempat mereka membuat pengguna benar-benar mati hanya untuk membuat segalanya sedikit lebih mudah bagi para pendukung.

Bruce McLeod
sumber
1
Saya tidak yakin mengapa orang-orang menurunkan Bruce di sini. Dia memunculkan poin yang bagus. Kecuali Anda memiliki daftar aplikasi yang sangat jelas dan kecil yang Anda ingin orang lain gunakan, SRP yang ketat bisa sangat menyebalkan.
Rob Moir
Ini sedikit jawaban cop-out, dan hanya akan bekerja dengan pengguna yang benar-benar membuat kesalahan. Jika Anda berurusan dengan tipe pengguna yang selalu buruk, Anda perlu kontrol yang lebih kencang. Kebijakan yang didukung SDM hanya dapat menangani insiden setelah kejadian tersebut, dan Anda mungkin memiliki malapetaka yang signifikan untuk dibersihkan saat itu. Ini lebih tentang mencapai keseimbangan yang benar daripada tentang menjadi kejam.
Maximus Minimus
Poin bagus. Seperti banyak hal, penting untuk memastikan kebijakan TI sesuai dengan apa yang diinginkan perusahaan. Misalnya, jika kami memiliki bank, kami mungkin memiliki komputer di lobi untuk pelanggan, teller, pengembang, dan CEO yang ingin bermain Doom. Komputer lobi akan dikunci dengan SRP dan mungkin Steady State. Teller tidak dapat menginstal perangkat lunak; mereka bukan admin; dan SRP tidak memberlakukan perangkat lunak selain yang diinstal untuk mereka. Pengembang adalah admin pada mesin mereka sendiri dan SRP juga kurang membatasi. Dan CIO menangani mesin CEO.
Knox
Sebenarnya Anda dapat menguncinya 100%, itu hanya membuat mesin jauh lebih bermanfaat. Saya menggunakan SRP setiap saat untuk membuat mesin entri data.
Jim B
Saya tidak menggunakan ini pada sistem pribadi (bilik perusahaan) pengguna. Hanya di laboratorium tempat orang berbagi sistem dan kami mengetahui perangkat lunak mana yang akan mereka gunakan. Perbedaan ini dibuat karena sistem ini mengandung data sensitif sementara sistem pribadi biasanya digunakan untuk pekerjaan mereka yang lain termasuk memeriksa surat, porno (;-)) dll. Kekesalan saya adalah bahwa beberapa pengguna tidak dapat mengontrol diri mereka sendiri dalam waktu singkat yang mereka habiskan di laboratorium. Ergo kita pergi dengan cara SRP. :)
1

Anda dapat memasukkan daftar putih menggunakan kebijakan pembatasan perangkat lunak dalam GPO tetapi saya tidak yakin seberapa efektif itu. Saya berani bertaruh donat kecil di atasnya bekerja dengan sebagian besar pengguna tidak jahat di sebagian besar tempat, tetapi saya tidak akan bertaruh karier saya akan berhasil di mana saja dan saya tidak akan mengandalkannya di tempat-tempat yang saya harapkan akan diserang ( misalnya lingkungan pendidikan).

Anda tentu saja dapat memblokir kode agar tidak berjalan dari perangkat dan area tertentu dari disk dengan kombinasi ACL dan Pembatasan Perangkat Lunak dan itu adalah alat keamanan yang berguna, tetapi saya akan membuatnya menjadi bagian kecil dari kebijakan keamanan, bukan landasan dari satu .

Rob Moir
sumber
0

Anda bisa menggunakan Agen Keamanan Cisco dengan aturan yang (setelah periode "hanya menonton" untuk pelatihan) memblokir semua executable yang belum berjalan sebelumnya.

Anda dapat mengizinkan executable dari direktori tertentu jika Anda mau.

hellimat
sumber
0

Jauh lebih mudah untuk Daftar Hitam daripada Daftar Putih. Kemungkinan besar Anda memiliki gagasan tentang apa yang tidak Anda inginkan dijalankan oleh pengguna. Cara Windows menangani hal ini adalah melalui Kebijakan Pembatasan Perangkat Lunak di GPO Anda. Kebijakan Pembatasan Perangkat Lunak dapat digunakan untuk memungkinkan perangkat lunak untuk menjalankan serta menolaknya. Ada empat metode berbeda yang tersedia untuk digunakan dan mereka adalah: Aturan hash, aturan sertifikat, aturan jalur, dan aturan zona internet.

Aturan Hash Rules menggunakan hash MD5 atau SHA-1 dari file dalam kecocokannya. Ini bisa menjadi pertempuran yang sulit. Mencoba memblokir sesuatu seperti pwdump hanya dengan menggunakan aturan hash akan menghasilkan BANYAK entri, untuk setiap versi pwdump yang berbeda. Dan ketika versi baru keluar, Anda perlu menambahkan itu juga.

Aturan Jalan didasarkan pada lokasi file pada sistem file. Jadi Anda dapat membatasi "\ program file \ aol \ aim.exe" misalnya, tetapi jika pengguna memilih untuk menginstalnya ke "\ myapps \ aol \ aim.exe" itu akan diizinkan. Anda dapat menggunakan wildcard untuk membahas lebih banyak direktori. Dimungkinkan juga untuk menggunakan jalur registri jika perangkat lunak memiliki entri registri tetapi Anda tidak tahu di mana itu akan diinstal.

Aturan sertifikat berguna untuk perangkat lunak yang menyertakan sertifikat. Yang berarti sebagian besar perangkat lunak komersial. Anda bisa membuat daftar Sertifikat yang diizinkan berjalan di sistem Anda dan menolak yang lainnya.

Aturan Zona Internet hanya berlaku untuk Paket Pemasang Windows. Saya tidak pernah menggunakan ini jadi saya tidak bisa berkomentar banyak.

GPO yang tepat akan menggunakan beberapa aturan ini untuk mencakup semuanya. Membatasi perangkat lunak mengharuskan Anda untuk benar-benar memikirkan apa yang ingin Anda cegah agar benar. Meski begitu, itu mungkin masih tidak benar. Technet memiliki beberapa artikel bagus tentang penggunaan Kebijakan Pembatasan Perangkat Lunak, dan saya yakin ada dokumen bagus lain dari situs Microsoft yang ditemukan melalui mesin pencari favorit Anda.

Semoga berhasil!


sumber