Verhindern Sie die Ausführung von ausführbaren Windows-Dateien

11

Gibt es eine Möglichkeit, Windows (XP und höher) anzuweisen, keine Dateien (* .exe-Dateien) auszuführen, die in anderen Laufwerken / Ordnern als bestimmten Ordnern vorhanden sind, die ich erwähne? Kurz gesagt, ich möchte, dass ausführbare Dateien nur von einer ' Whitelist ' ausgeführt werden.

Ich denke, das ist besser, als die Benutzer zu bitten, keine ausführbaren Dateien von den Müll-CDs auszuführen, die sie von zu Hause mitbringen.

splattne
quelle

Antworten:

12

Sie möchten Richtlinien für Softwareeinschränkungen . Diese nicht ausreichend genutzte Funktion des modernen Windows ermöglicht es dem Administrator, die Ausführung ausführbarer Dateien basierend auf dem Pfad oder sogar basierend auf einer kryptografischen Signatur zuzulassen oder einzuschränken. Sie wollen übrigens mehr als nur EXE. Die Richtlinien für Softwareeinschränkungen enthalten eine Liste von 30 oder 40 zusätzlichen Dateitypen, die Sie einschränken müssen, z. B. CMD und SCR, Bildschirmschoner. Darüber hinaus können Sie DLLs blockieren.

Ich würde seine Wirksamkeit als wesentlich besser als Antiviren bewerten. Außerdem ist es schwierig, Benutzer über Social-Engineering-Angriffe aufzuklären, die moderne Malware verwendet, z. B. einen Benutzer dazu zu bringen, auf ListenToThisMusic.mp3.exe zu klicken.

Knox
quelle
Du hast den Nagel getroffen. :) Das Unternehmen war erfolgreich.
5

Ich würde damit vorsichtig sein. Sie werden nicht in der Lage sein, alles zu 100% zu sperren, und Sie werden es den Benutzern fast unmöglich machen, die Maschinen zu benutzen. Sie sollten darauf achten, Ihre Benutzer zu schulen und Prozesse, Richtlinien und Schulungen einzurichten. Sie müssen das richtige Gleichgewicht zwischen der Einschränkung von Aktionen und der Produktivität der Endbenutzer finden.

Ich sehe eine Menge verschwendetes Geld in Unternehmen, in denen Benutzer das Leben zur Hölle machen, nur um den Support-Mitarbeitern die Arbeit ein wenig zu erleichtern.

Bruce McLeod
quelle
1
Ich bin mir nicht sicher, warum die Leute Bruce hier abgelehnt haben. Er spricht einen guten Punkt an. Wenn Sie nicht über eine sehr klar definierte und kleine Liste von Apps verfügen, die die Benutzer verwenden sollen, können enge SRPs ein Problem sein.
Rob Moir
Es ist eine Art Cop-Out-Antwort und funktioniert nur mit Benutzern, die wirklich Fehler machen. Wenn Sie mit dem Benutzertyp zu tun haben, der immer schlecht sein wird, benötigen Sie eine festere Kontrolle. Eine von der Personalabteilung unterstützte Richtlinie kann den Vorfall erst behandeln, nachdem er aufgetreten ist, und bis dahin müssen Sie möglicherweise erhebliche Schäden beseitigen. Es geht mehr darum, das richtige Gleichgewicht zu erreichen, als drakonisch zu sein.
Maximus Minimus
Guter Punkt. Wie bei vielen Dingen ist es wichtig sicherzustellen, dass die IT-Richtlinien mit den Anforderungen des Unternehmens übereinstimmen. Wenn wir beispielsweise eine Bank hätten, könnten wir Computer in der Lobby für Kunden, Kassierer, Entwickler und einen CEO haben, der Doom spielen möchte. Lobby-Computer würden mit SRP und wahrscheinlich Steady State gesperrt. Kassierer können keine Software installieren. Sie sind keine Administratoren. und SRP erzwingt keine andere Software als die für sie installierte. Die Entwickler sind Administratoren auf ihren eigenen Computern und SRP ist ebenfalls weniger restriktiv. Und der CIO kümmert sich um die Maschine des CEO.
Knox
Tatsächlich können Sie es zu 100% sperren, es macht die Maschine nur weit weniger nützlich. Ich benutze SRP die ganze Zeit, um Dateneingabemaschinen zu erstellen.
Jim B
Ich verwende dies nicht auf den persönlichen Systemen (der Kabine des Benutzers) der Benutzer. Nur in den Labors, in denen die Benutzer die Systeme gemeinsam nutzen und wir genau wissen, welche Software sie verwenden werden. Diese Unterscheidung wird getroffen, da diese Systeme vertrauliche Daten enthalten, während die persönlichen Systeme normalerweise für ihre anderen Arbeiten verwendet werden, einschließlich E-Mail-Überprüfung, Porno (;-)) usw. Meine Irritation ist, dass einige Benutzer sich nicht in kurzer Zeit kontrollieren können Labor. Ergo gehen wir SRP Weg. :)
1

Sie können mithilfe von Richtlinien für Softwareeinschränkungen in Gruppenrichtlinienobjekten eine Whitelist erstellen, ich bin mir jedoch nicht sicher, wie effektiv diese ist. Ich würde einen kleinen Donut darauf wetten, der mit den meisten nicht böswilligen Benutzern an den meisten Orten zusammenarbeitet, aber ich würde meine Karriere nicht darauf wetten, dass er irgendwo funktioniert, und ich würde nicht an Orten damit rechnen, an denen ich erwartet habe, dass er angegriffen wird ( zB Bildungsumfeld).

Mit einer Kombination aus ACLs und Softwareeinschränkungen können Sie sicher verhindern, dass Code von bestimmten Geräten und Bereichen der Festplatte ausgeführt wird. Dies ist ein nützliches Sicherheitstool, aber ich würde es zu einem kleinen Teil einer Sicherheitsrichtlinie machen, nicht zum Eckpfeiler einer .

Rob Moir
quelle
0

Sie können Cisco Security Agent mit einer Regel verwenden, die (nach einer "Nur beobachten" -Periode für Schulungen) alle ausführbaren Dateien blockiert, die zuvor noch nicht ausgeführt wurden.

Sie können ausführbare Dateien aus bestimmten Verzeichnissen zulassen, wenn Sie möchten.

hellimat
quelle
0

Blacklist ist viel einfacher als Whitelist. Höchstwahrscheinlich haben Sie eine Vorstellung davon, was die Benutzer nicht ausführen sollen. Windows behandelt dies mithilfe von Richtlinien für Softwareeinschränkungen in Ihrem Gruppenrichtlinienobjekt. Richtlinien für Softwareeinschränkungen können verwendet werden, um das Ausführen von Software zuzulassen und zu verweigern. Es stehen vier verschiedene Methoden zur Verfügung: Hash-Regeln, Zertifikatregeln, Pfadregeln und Internetzonenregeln.

Die Hash-Regeln verwenden einen MD5- oder SHA-1-Hash einer Datei in ihrer Übereinstimmung. Dies kann eine harte Schlacht sein. Der Versuch, so etwas wie pwdump mit nur einer Hash-Regel zu blockieren, führt zu VIELEN Einträgen für jede unterschiedliche Version von pwdump. Und wenn eine neue Version herauskommt, müssen Sie diese ebenfalls hinzufügen.

Pfadregeln basieren auf dem Speicherort der Datei im Dateisystem. Sie könnten beispielsweise "\ program files \ aol \ aim.exe" einschränken, aber wenn der Benutzer es in "\ myapps \ aol \ aim.exe" installieren möchte, ist dies zulässig. Sie können Platzhalter verwenden, um mehr Verzeichnisse abzudecken. Es ist auch möglich, den Registrierungspfad zu verwenden, wenn die Software einen Registrierungseintrag hat, Sie jedoch nicht wissen, wo er installiert wird.

Zertifikatregeln sind nützlich für Software, die ein Zertifikat enthält. Was meistens kommerzielle Software bedeutet. Sie können eine Liste von Zertifikaten erstellen, die auf Ihren Systemen ausgeführt werden dürfen, und alles andere ablehnen.

Internetzonenregeln gelten nur für Windows Installer-Pakete. Ich habe das noch nie benutzt, daher kann ich nicht viel dazu sagen.

Ein ordnungsgemäßes Gruppenrichtlinienobjekt verwendet mehrere dieser Regeln, um alles abzudecken. Um Software einzuschränken, müssen Sie wirklich darüber nachdenken, was Sie verhindern möchten, um es richtig zu machen. Selbst dann ist es wahrscheinlich immer noch nicht richtig. Technet hat einige gute Artikel zur Verwendung von Richtlinien für Softwareeinschränkungen, und ich bin sicher, dass es andere gute Dokumente auf der Microsoft-Website gibt, die über Ihre bevorzugte Suchmaschine gefunden wurden.

Viel Glück!


quelle