.Exe'nin USB sürücüler gibi çıkarılabilir ortamlardan çalıştırılmasını nasıl durdurabilirim?

10

Bellek çubukları ve SD kartlar gibi çıkarılabilir depolamadan .exe çalışan kullanıcılarla ilgili bir sorun var.

Ben exe tüm bu çıkarılabilir depolamadan engelleme ayarlamaya çalışıyorum, ancak "Kullanıcı Yapılandırması> Windows Ayarları> Güvenlik Ayarları> Yazılım Kısıtlama İlkeleri> Ek Kurallar" altında Grup İlkesi ayarları altında bir "yol" oluşturabilirsiniz değişken. Tüm çıkarılabilir depolama için bir sistem değişkeni kullanmak istiyorum, ancak çalışan bir tane olup olmadığını bilmiyorum. Çıkarılabilir ortama atanabilen tüm potansiyel sürücü harfleri için (E: \ ila yaklaşık L: \) bir blok listesi oluşturmalı mıyım yoksa gerçekten çalışan bir tane var mı? %~dp0Görünüşe göre, sadece döngüler için çalışıyorsa, ifadeler ve toplu parametreler buldum .

Başka, daha iyi veya daha güvenilir önlemler varsa lütfen bana bildirin.

Oh, AppLocker'a baktım ama DC'miz Server 2008 çalıştırıyor ve AppLocker'ın Windows 7 ve 2008 R2'nin bir parçası olduğuna inanıyorum. Aşağıdaki cevabın yorumlarında belirtildiği gibi, Server 2008'in "Erişimi Reddet" ayarına sahip olduğunu düşünmüyorum, bu yüzden başka seçenekler var mı?

windows-server-2008  group-policy 
tombull89
kaynak

Yanıtlar:

12

GPO aracılığıyla çıkarılabilir aygıtlarda yazılım yürütülmesini durdurabilirsiniz. Bu ayar Bilgisayar> Yönetim Şablonları> Sistem> Çıkarılabilir Depolama Birimi Erişimi> Çıkarılabilir Diskler: Yürütme Erişimini Reddet altında

resim açıklamasını buraya girin

Düzenle:

Bir Server 2008 R2 Sistemine erişiminiz var mı? Öyleyse, ilke ayarını oluşturabilir, diske yedekleyebilir ve Server 2008 Sisteminize aktarabilir ve ilkeyi geri alabilirsiniz. Bu, ilkeyi değiştirme olanağı sağlamaz, ancak ayarları olduğu gibi görebilmeniz Extra Registry Settingsgerekir ve Windows 7 istemcilerinizde düzgün çalışması gerekir.

Eğer yardımcı olursa, böyle bir politikanın yedeğini yeni oluşturdum ve indirmeniz için Dropbox'a koydum . Her zamanki gibi kullanım riski size aittir.

Bryan
kaynak
Bu bir Server 2008 veya 2008 R2 özelliği mi? "Yürütme erişimini reddet" (veya teyp veya WPD özelliklerinden herhangi biri) görmüyorum.
tombull89
Kullanıcı politikalarına değil, kesinlikle Bilgisayar politikalarına mı bakıyorsunuz? 2008 R2'de, Kullanıcı ilkeleri altında yer almazlar, ancak Bilgisayar ilkeleri altında yer alırlar. R2 olmayan sürümdeki Bilgisayar ilkeleri altında bulunmayabilir, bu durumda sizi yanlış yönlendirdiğiniz için özür dilerim. Korkarım ki bunu kontrol etmek için R2 olmayan bir sistemim yok.
Bryan
Özür dilerim, yukarıdaki yorumumda yanılmışım. Ben yapmak Bandı ve WPD bölümden sadece hiçbiri erişimi, sadece Okuma / Yazma Yürütme sahip bulunuyor. Ben de Bilgisayar Politikaları altındayım. Eğer "tüm ayarları" görüntülersem o listede de yer almaz.
tombull89
3
Bunu test etmek için kullanılabilir bir sistemim yok, ancak Server 2008 R2 ve Windows 7 için Yönetim Şablonlarını indirmeyi deneyebilirsiniz . Bu, istemcilerinizi yapılandırmanız için gereken ilke ayarlarını sağlayabilir.
Bryan
Yürütme erişimini umulduğu gibi göstermeyen Yönetim Şablonları yüklendi.
tombull89
2

Bazı kurumsal anti-virüs ürünleri (örneğin McAfee , Sophos , Symantec ) bu işlevi şirket içinde etkinleştirilebilecek bir şey olarak içerir. Belki de kurumsal antivirüs çözümünüzün bir özelliği var.

dunxd
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.