Internet Explorer: como bloquear arquivos executáveis (exe / com / pif / scr / bat / ps1) de ser 'Executar' no download

O mais próximo que você pode obter é bloquear o download de tipos de arquivo de "alto risco" no Internet Explorer e fornecer algum outro método para os usuários baixá-los.

O bloqueio pode ser feito ativando a Diretiva de Grupo Configuração do usuário → Modelos administrativos → Componentes do Windows → Internet Explorer → Painel de controle da Internet → Página de segurança → Zona da Internet → Mostrar aviso de segurança para arquivos inseguros . (A política deve ser Ativada e a opção definida como Desativar .)

Consulte Informações sobre o Gerenciador de anexos no Microsoft Windows para obter a lista dos tipos de arquivo que o IE considera “inseguro”. (Inclui todos os que você mencionou, exceto .ps1.)

Observe que o Chromium e o Google Chrome também usam o Gerenciador de Anexos do Windows para downloads. Portanto, a configuração do IE também bloqueia os downloads nesses navegadores. Eu não sei sobre o Firefox.

Se você estiver executando a versão Enterprise do Windows 7, 8 / 8.1 ou 10, poderá usar o AppLocker para configurar essa política por meio do editor de Diretiva de Grupo local ( gpedit ).

O AppLocker é muito superior às Políticas de Restrição de Software. Você não só pode configurar regras executáveis como com o SRP, mas também pode definir políticas para instaladores MSI, scripts (.bat, .vbs, .ps1, etc.) e pacotes do Windows Universal (.appx). Você também pode configurar as regras de permissão / negação com base em caminhos, hashes de arquivo e informações do editor / versão no certificado (se o aplicativo / script estiver assinado com um).

O local para configurar a política está em Configuração do computador - > Configurações do Windows - > Configurações de segurança - > Políticas de controle de aplicativos.

A desvantagem do AppLocker é que ele só funciona nas edições Enterprise do Windows, não nas versões Pro. Além disso, você não pode usar as políticas de AppLocker e de Restrição de Software juntas.

Aqui está a documentação da Microsoft sobre o recurso . Se você tem uma versão Enterprise, definitivamente vale a pena dar uma olhada. Note que esse link faz referência ao Windows 8 / 8.1, mas funciona igualmente bem no Win7 e no Win10.

Internet Explorer: How to block executable files (exe/com/pif/scr/bat/ps1) from being 'Run' on download

Uma maneira de fazer isso seria restringir ou colocar uma Deny explícita na permissão de ACL do NTFS de Traverse folder / execute file para essa conta de usuário (ou grupo de segurança é um membro de) na pasta que o IE 11 baixa os arquivos que podem ser executados (por exemplo, a pasta /Downloads ).

Dessa forma, eles podem baixar e salvar esta pasta com o IE, mas quando forem executados, receberão uma permissão negada, etc., tipo de mensagem e serão impedidos de executar qualquer coisa deste local.

Adicionar nova segurança de negação explícita

Clique com o botão direito na pasta, selecione Propriedades , vá para a guia Segurança , selecione Avançado , selecione Adicionar strong>, selecione Mostrar permissões avançadas , selecione Selecione um tipo principal no nome de usuário ou grupo de segurança para restringir esse acesso. Quando o principal for selecionado no campo Tipo , elimine o valor para Negar e o campo Aplica-se a para um valor de Esta pasta e arquivo e, em seguida, vá para a seção Permissões avançadas e marque a Traverse folder / execute file e pressione OK .