Windows'a (XP ve üzeri) bahsettiğim belirli klasörler dışındaki sürücülerde / klasörlerde bulunan dosyaları (* .exe dosyaları) yürütmemesini söylemenin bir yolu var mı? Kısacası, sadece bir ' beyaz listeden' yürütülebilir dosyalar yürütülmesini istiyorum.
Bu, kullanıcıların evden getirdikleri çöp CD'lerinden herhangi bir yürütülebilir dosyayı çalıştırmamalarını istemekten daha iyi olduğunu düşünüyorum.
Yanıtlar:
Yazılım Kısıtlama İlkeleri'ni istiyorsunuz . Modern Windows'un bu az kullanılan özelliği, yöneticinin yürütülebilir dosyaların yola veya hatta bir şifreleme imzasına dayanarak çalışmasına izin vermesine veya kısıtlamasına izin verir. Bu arada, sadece EXE'lerden daha fazlasını istiyorsunuz. Yazılım Kısıtlama İlkeleri'nin CMD ve SCR, Ekran koruyucular gibi kısıtlamanız gereken 30 veya 40 ek dosya türü vardır. Ayrıca, DLL'leri engelleyebilirsiniz.
Etkinliğini anti-virüsden önemli ölçüde daha iyi olarak değerlendiririm.
Buna dikkat ederdim. Her şeyi% 100 kilitleyemezsiniz ve makineleri kullanıcıların kullanması neredeyse imkansız hale getirirsiniz. Kullanıcılarınızı eğitmeye ve süreç, politika ve eğitimi uygulamaya koymaya bakmalısınız. Kısıtlayıcı eylemler ile son kullanıcı verimliliği arasında doğru DENGEYİ bulmanız gerekir.
Ben sadece destek adamlar için işleri biraz daha kolay hale getirmek için kullanıcıların mutlak cehennem yaşadığı şirketler boşa $$$ bir sürü görüyorum.
GPO'larda yazılım kısıtlama ilkelerini kullanarak beyaz listeye ekleyebilirsiniz, ancak bunun ne kadar etkili olduğundan emin değilim. Çoğu yerde kötü niyetli olmayan kullanıcılarla çalışarak küçük bir donut bahse girerim, ancak kariyerimi hiçbir yerde çalışma konusunda bahse girmezdim ve saldırıya girmesini beklediğim yerlerde buna güvenmezdim ( örneğin eğitim ortamı).
ACL'lerin ve Yazılım Kısıtlamalarının bir kombinasyonuyla kodun belirli cihazlardan ve disk alanlarından çalışmasını kesinlikle engelleyebilirsiniz ve bu kullanışlı bir güvenlik aracıdır, ancak bunu bir güvenlik ilkesinin küçük bir parçası haline getireceğim, .
Kara Liste'ye eklemek Beyaz Liste'ye göre çok daha kolay. Büyük olasılıkla kullanıcıların kaçmasını istemediğiniz hakkında bir fikriniz vardır. Windows'un bunu işleme şekli GPO'nuzdaki Yazılım Kısıtlama İlkeleri'dir. Yazılım Kısıtlama İlkeleri, yazılımın çalışmasının yanı sıra reddedilmesine de izin vermek için kullanılabilir. Kullanılabilecek dört farklı yöntem vardır ve bunlar şunlardır: Karma kuralları, Sertifika kuralları, Yol kuralları ve İnternet bölgesi kuralları.
Karma Kuralları kuralları, eşleşmesinde bir dosyanın MD5 veya SHA-1 karmasını kullanır. Bu yokuş yukarı bir savaş olabilir. Sadece bir karma kuralı kullanarak pwdump gibi bir şeyi engellemeye çalışmak, pwdump'ın her farklı sürümü için girişlerin LOTS'u ile sonuçlanacaktır. Yeni bir sürüm çıktığında da eklemeniz gerekir.
Yol Kuralları, dosyanın dosya sistemindeki konumunu temel alır. Örneğin, "\ program files \ aol \ aim.exe" dosyasını kısıtlayabilirsiniz, ancak kullanıcı "\ myapps \ aol \ aim.exe" dosyasına kurmayı seçerse buna izin verilir. Daha fazla dizini kapsamak için joker karakterler kullanabilirsiniz. Yazılımda bir kayıt defteri girdisi varsa ancak nereye yükleneceğini bilmiyorsanız, kayıt defteri yolunu da kullanabilirsiniz.
Sertifika kuralları, sertifika içeren yazılımlar için kullanışlıdır. Bu da çoğunlukla ticari yazılım anlamına gelir. Sistemlerinizde çalışmasına izin verilen Sertifikaların bir listesini oluşturabilir ve diğer her şeyi reddedebilirsiniz.
Internet Bölgesi Kuralları yalnızca Windows Installer Paketleri için geçerlidir. Bunu hiç kullanmadım, bu yüzden çok fazla yorum yapamam.
Uygun bir GPO, her şeyi kapsamak için bu kurallardan birkaçını kullanacaktır. Yazılımı kısıtlamak, doğru olmasını önlemek için neyi önlemek istediğinizi gerçekten düşünmenizi gerektirir. O zaman bile, muhtemelen hala doğru değil. Technet'in Yazılım Kısıtlama İlkelerini kullanma konusunda bazı iyi makaleleri var ve eminim Microsoft'un sitesinden en sevdiğiniz arama motorunda bulunan başka iyi belgeler de vardır.
İyi şanslar!