Kilitlendiğinde şirket ağında yürütülebilir bir dosyayı nasıl indirebilirim?

Bu ilk bakışta aptalca (veya hain) bir soru gibi görünebilir, ancak ayrıntılandırmama izin verin ...

Belirli dosya türlerinin şirket makinelerine indirilmesini önlemek için şirket ağı ve proxy üzerinde her türlü önlemi aldık. Çoğu dosya, exe'nin içinde olan zip dosyaları bile bu dosyaları indirmek için tıklandığında engellenir.

Ancak bazı "girişimci" kullanıcılar, indirme işlemlerinin yine de yapılmasını sağlar. Örneğin, birisinin (kim olduğunu bilmediğim veya hangi bölümde çalıştığım) arkasında duruyordum, gözümüzün önünde ".exe" ile biten bir URL'yi ".exe?" Olarak değiştirdi ve tarayıcı gitti ve "bilinmeyen" dosya türünü indirin. O zamandan beri bu deliği tıkadık, ancak başka birinin ağ güvenliğini atlayarak ve yazılımı kontrol ederek dosyaları indirmek için herhangi bir haksız yöntem olup olmadığını bilmek istiyorum.

Ya da belki yemin edebileceğiniz bazı ticari yazılımlar biliyorsanız kurşun geçirmezdir ve bir süre deneyebiliriz.

Herhangi bir yardım takdir ...

Hangi teknik çözümü bulursanız olun, biri bunun için bir yol bulacaktır. Bu konuda ciddi iseniz (ve sadece gündelik indirmeleri vazgeçirmek ya da bazı yüzsüz politika görevini yerine getirmek için yapmıyor), sonra lütfen, lütfen ,

Kullanıcılarınızla konuşun!

Neyi engellediğinizi neden engellediğinizi açıklayın. Bunun önemini anlamalarına yardımcı olun. Ve sonra size neden hala yürütülebilir dosyaları indirmeleri gerektiğini söylediklerinde dinleyin ve işinizi zorlaştırmadan işlerini yapmanın bir yolunu bulmalarına yardımcı olun.

Yıllar boyunca tedarikçilerimizden birinin sizinkine benzer bir sistemi vardı. Ne yazık ki, fiyatlandırma yazılımlarında bize düzenli güncellemeler sağlamaktan da sorumluydular ve test sırasında yürütülebilir dosyaların ağlarımız arasında sık sık ileri geri gitmesi yaygındı. Filtreler nedeniyle, hepimiz dosyaları yeniden adlandırma (.exe -> .ear vb.) Alışkanlığı kazandık, sıkıştırdık, sıkıştırdık, yeniden adlandırdık, hatta bunları aktarmak için kişisel makineler kullandık ... ve her iki şirket için de potansiyel tehlikeyi arttırmakla kalmıyor, aynı zamanda kısıtlamaların arkasındaki kişilere olan saygımızın çoğunu yok ediyor.

Sonunda, birisi mesajı aldı ve kullanmamız için güvenli bir FTP sunucusu kurdu.

Her şeyin teknik tarafına odaklanmak ve bunların sonuçlarıyla uğraşmak zorunda olan becerikli insanları unutmak çok yaygın. Doğal olarak, bunu zaten yapıyorsanız, o zaman size daha fazla güç!

Dış dünyada uygun erişiminiz varsa en basit yol: dosyayı şifreleyin, indirin, şifresini çözün. Dosya uzantısını tarayıcının tanımayacağı bir şeyle değiştirmeniz gerekebilir, ancak temel olarak içerik makul bir şifreleme kullandığınızı varsayarak "taranamaz" olacaktır.

Heck, sadece şifre korumalı bir zip dosyası işe yarayabilir - açıkça engellenmediyse.

Yalnızca anladığınız ve onayladığınız içeriğe izin verirseniz, bu daha etkili olabilir - ve yanlış pozitifler nedeniyle ilgili herkes için daha acı verici olabilir.

Dosya uzantısını .pdf olarak değiştirin. Ne gördüm en dama (pdfs ikili dosyalar olduğundan) bir pdf olduğunu varsayalım ve üzerinden izin.

Bu nedenle, [akıllı] bir kullanıcının harici bir proxy kurması ve kullanması oldukça kolaydır. Proxifier ve Http-Tunnel Client gibi bir şey yükleyin ve hazırsınız. Ücretsiz proxy sunucuları yavaş, ancak yıllık abonelik oldukça ucuz ve iyi performans alıyor. Bu çözüm, HTTP kanalınız üzerinden etkili bir şekilde şifrelenmiş, güvenli olmayan bir tünel oluşturur ve bu konuda yapabileceğiniz çok şey yoktur.

Belirli dosya türlerinin şirket makinelerine indirilmesini önlemek için şirket ağı ve proxy üzerinde her türlü önlemi aldık.

Buna yanlış gidiyor olabilirsiniz. Windows Active Directory, belirli yürütülebilir dosyaları engellemek için bir ilke ayarlamanıza veya daha pratik olarak yalnızca belirli yürütülebilir dosyaların çalışmasına izin vermenize izin verir. Tüm uygulamalarınızın istisnalar listesinde olduğundan emin olmak için biraz zaman harcamanız gerekir, ancak daha sonra çalıştırılabilir tüm diğer yürütülebilir dosyaları durdurabilirsiniz.

Websense gibi bir üst web filtreleme çözüm biliyorum. Bir filtre uzantısını ayarlayabilirsiniz ve normal ifade yapabildiğinden, bu küçük hileleri durdurabilirsiniz.

Ancak, bir iradenin olduğu yerde, bir yolu vardır. Bu nedenle, yönetim zincirinin aslında desteklediği ve uyguladığı dişlerle güçlü bir İnternet kullanım politikasına sahip olmanız ve seçtiğiniz filtreyi atlamanın başka yollarını bulup bulamayacağını görmek için web filtrelemenin sonuçlarını incelemeniz gerekir.

Diğer bir yol ise pasif FTP'dir. Çoğu ağ, tüm giden bağlantıların güvenlik duvarını içeriden bırakıp geri dönmesine izin verir. Normal FTP, bir bağlantı bağlantı noktasını ve ardından bir güvenlik duvarında engellenmesi kolay bir veri aktarım bağlantı noktasını kullanır, çünkü ikinci veri bağlantı noktası dışarıdan başlatılır. Pasif FTP, en azından Cisco dünyasında varsayılan güvenlik duvarı yapılandırmalarının çoğunda izin verilen iç bilgisayardan veri aktarım bağlantı noktasını başlatır.

Bir LiveCD'den önyükleme yapabilir ve istemci tarafı Windows önlemleri tarafından engellenen dosyaları indirmek için wget kullanabilirsiniz. Dosyalar ağ tarafından hala engelleniyorsa, başka bir makineye bir VPN tüneli başlatabilir ve bunları bu dosyadan indirebilirsiniz.