Bagaimana saya bisa menghentikan .exe dijalankan dari media yang dapat dihapus, seperti drive USB?

10

Saya memiliki masalah dengan pengguna yang menjalankan .exe dari penyimpanan yang dapat dilepas seperti Memory Sticks dan kartu SD.

Saya mencoba mengatur pemblokiran exe yang dijalankan dari semua penyimpanan yang dapat dilepas untuk mengatasi hal ini, namun di bawah pengaturan Kebijakan Grup di bawah "Konfigurasi Pengguna> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Pembatasan Perangkat Lunak> Aturan Tambahan" Anda dapat membuat "jalur" variabel. Saya ingin menggunakan variabel sistem untuk semua penyimpanan yang dapat dilepas tetapi tidak tahu apakah ada yang berfungsi. Apakah saya harus melalui dan membuat daftar blokir untuk semua huruf drive potensial yang dapat ditugaskan ke media yang dapat dihapus (E: \ hingga sekitar L: \) atau ada yang benar-benar berfungsi? Saya telah menemukan %~dp0yang, tampaknya, hanya berfungsi untuk loop, jika pernyataan dan parameter batch.

Jika ada langkah lain, lebih baik, atau lebih andal, beri tahu saya.

Oh, saya sudah melihat AppLocker tetapi DC kami menjalankan Server 2008 dan saya percaya bahwa AppLocker adalah bagian dari Windows 7 dan 2008 R2. Seperti disebutkan dalam komentar untuk jawaban di bawah ini saya tidak berpikir Server 2008 memiliki pengaturan "Deny Execute Access", jadi apakah ada opsi lain?

windows-server-2008 group-policy tombull89
sumber

Jawaban:

12

Anda dapat menghentikan eksekusi perangkat lunak pada perangkat yang dapat dilepas melalui GPO. Pengaturan ini di bawah Komputer> Template Administratif> Sistem> Akses Penyimpanan yang Dapat Dilepas> Removable Disk: Tolak Jalankan Akses

masukkan deskripsi gambar di sini

Edit:

Apakah Anda memiliki akses ke Sistem Server 2008 R2? Jika demikian, Anda dapat membuat pengaturan kebijakan, mencadangkannya ke disk dan mentransfernya ke Sistem Server 2008 Anda dan mengimpor kembali kebijakan tersebut. Ini tidak akan memberi Anda kemampuan untuk mengubah kebijakan, tetapi Anda harus dapat melihat pengaturan Extra Registry Settingsdan itu akan berfungsi dengan baik pada klien Windows 7 Anda.

Jika ini membantu, saya baru saja membuat cadangan dari kebijakan semacam itu, dan telah memasangnya di Dropbox untuk Anda unduh. Penggunaan yang biasa dengan risiko Anda sendiri, dll. Berlaku.

Bryan
sumber
Apakah ini fitur Server 2008 atau 2008 R2? Saya tidak melihat "Deny Execute Access" (atau fitur Tape atau WPD).
tombull89
Apakah Anda benar-benar melihat kebijakan Komputer dan bukan kebijakan Pengguna? Pada 2008 R2, mereka tidak memiliki fitur di bawah kebijakan Pengguna, tetapi melakukannya di bawah kebijakan Komputer. Mungkin tidak tersedia di bawah kebijakan Komputer pada versi non R2, dalam hal ini saya mohon maaf karena telah menyesatkan Anda. Saya khawatir saya tidak memiliki sistem non R2 untuk memeriksanya.
Bryan
Maaf, saya salah dalam komentar saya di atas. Saya lakukan memiliki Tape dan WPD fitur, hanya tak satu pun dari bagian memiliki Execute akses, hanya Baca / Tulis. Saya juga di bawah Kebijakan Komputer. Jika saya melihat "semua pengaturan" juga tidak ada dalam daftar itu.
tombull89
3
Saya tidak memiliki sistem yang tersedia untuk menguji ini, tetapi mungkin Anda dapat mencoba mengunduh Template Administratif untuk Server 2008 R2 dan Windows 7 . Ini mungkin memberikan pengaturan kebijakan yang Anda butuhkan untuk mengonfigurasi klien Anda.
Bryan
Menginstal Template Administratif, masih tidak menunjukkan akses eksekusi seperti yang diharapkan.
tombull89
2

Beberapa produk anti-virus perusahaan (mis. McAfee , Sophos , Symantec ) memasukkan fungsi ini sebagai sesuatu yang dapat diaktifkan secara korporat. Mungkin solusi anti-virus perusahaan Anda memiliki ini sebagai fitur.

dunxd
sumber