Wie kann ich verhindern, dass .exe von Wechselmedien wie USB-Laufwerken ausgeführt wird?

10

Ich habe ein Problem mit Benutzern, die EXE-Dateien von Wechseldatenträgern wie Memory Sticks und SD-Karten ausführen.

Ich versuche, die Blockierung von Exe-Dateien einzurichten, die von allen Wechselspeichern ausgeführt werden, um dem entgegenzuwirken. Unter den Gruppenrichtlinieneinstellungen unter "Benutzerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Richtlinien für Softwareeinschränkungen> Zusätzliche Regeln" können Sie jedoch einen "Pfad" erstellen. Variable. Ich möchte eine Systemvariable für alle Wechseldatenträger verwenden, weiß aber nicht, ob es eine gibt, die funktioniert. Muss ich eine Sperrliste für alle potenziellen Laufwerksbuchstaben erstellen, die Wechselmedien zugewiesen werden könnten (E: \ bis ca. L: \), oder gibt es eine, die tatsächlich funktioniert? Ich habe herausgefunden, %~dp0was anscheinend nur für for-Schleifen funktioniert, wenn Anweisungen und Batch-Parameter.

Wenn es andere, bessere oder zuverlässigere Maßnahmen gibt, lassen Sie es mich bitte wissen.

Oh, ich habe mir AppLocker angesehen, aber auf unserem DC wird Server 2008 ausgeführt, und ich glaube, dass AppLocker Teil von Windows 7 und 2008 R2 ist. Wie in den Kommentaren zur Antwort unten erwähnt, hat Server 2008 meiner Meinung nach nicht die Einstellung "Zugriff ausführen verweigern". Gibt es also andere Optionen?

tombull89
quelle

Antworten:

12

Sie können die Ausführung von Software auf Wechselmedien über ein Gruppenrichtlinienobjekt stoppen. Die Einstellung befindet sich unter Computer> Administrative Vorlagen> System> Wechselspeicherzugriff> Wechseldatenträger: Ausführungszugriff verweigern

Geben Sie hier die Bildbeschreibung ein

Bearbeiten:

Haben Sie Zugriff auf ein Server 2008 R2-System? In diesem Fall können Sie die Richtlinieneinstellung erstellen, auf der Festplatte sichern, auf Ihr Server 2008-System übertragen und die Richtlinie zurück importieren. Dies gibt Ihnen nicht die Möglichkeit, die Richtlinie zu ändern, aber Sie sollten in der Lage sein, die Einstellungen als zu sehen, Extra Registry Settingsund es sollte auf Ihren Windows 7-Clients einwandfrei funktionieren.

Wenn es hilft, habe ich gerade ein Backup einer solchen Richtlinie erstellt und es auf Dropbox zum Herunterladen bereitgestellt. Die übliche Verwendung erfolgt auf eigenes Risiko usw.

Bryan
quelle
Ist dies eine Server 2008- oder 2008 R2-Funktion? Ich sehe nicht den "Deny Execute Access" (oder eine der Tape- oder WPD-Funktionen).
Tombull89
Betrachten Sie definitiv die Computerrichtlinien und nicht die Benutzerrichtlinien? In 2008 R2 werden sie nicht in den Benutzerrichtlinien, sondern in den Computerrichtlinien aufgeführt. Es ist möglicherweise nicht unter Computerrichtlinien für die Nicht-R2-Version verfügbar. In diesem Fall entschuldige ich mich für die Irreführung. Ich fürchte, ich habe kein Nicht-R2-System, um dies zu überprüfen.
Bryan
Entschuldigung, ich war in meinem Kommentar oben falsch. Ich tun das Band haben und WPD verfügt, nur keine der Abschnitte haben Zugriff ausführen, nur Lesen / Schreiben. Ich bin auch unter Computerrichtlinien. Wenn ich "alle Einstellungen" ansehe, ist es auch nicht in dieser Liste.
Tombull89
3
Ich habe kein System zum Testen verfügbar, aber vielleicht können Sie versuchen, die administrativen Vorlagen für Server 2008 R2 und Windows 7 herunterzuladen . Dies kann die Richtlinieneinstellungen bereitstellen, die Sie zum Konfigurieren Ihrer Clients benötigen.
Bryan
Installierte die administrativen Vorlagen, wobei der Ausführungszugriff immer noch nicht wie erhofft angezeigt wurde.
Tombull89
2

Einige Antivirenprodukte für Unternehmen (z. B. McAfee , Sophos , Symantec ) enthalten diese Funktion als etwas, das für Unternehmen aktiviert werden kann. Möglicherweise hat Ihre Unternehmens-Antivirenlösung dies als Funktion.

dunxd
quelle