Evitar a execução de executáveis do Windows

10

Existe alguma maneira de dizer ao Windows (XP e acima) para não executar arquivos (arquivos * .exe), que estão presentes em unidades / pastas que não sejam determinadas pastas, que eu mencionei? Em resumo, quero que executáveis de apenas uma ' lista branca ' sejam executados.

Acho que isso é melhor do que pedir aos usuários que não executem nenhum executável de qualquer CD lixo que eles tragam de casa.

    
por splattne 14.06.2009 / 11:38

5 respostas

12

você quer Políticas de restrição de software . Esse recurso subutilizado do Windows moderno permite ao administrador permitir ou restringir a execução de executáveis com base no caminho ou até mesmo com base em uma assinatura criptográfica. By the way, você quer mais do que apenas EXE's. As Políticas de Restrição de Software têm uma lista de 30 ou 40 tipos adicionais de arquivos que você precisa restringir, como CMD e SCR, Protetores de tela. Além disso, você pode bloquear DLLs.

Eu classificaria sua eficácia como substancialmente melhor que o antivírus. Além disso, é difícil educar os usuários sobre ataques de engenharia social que o malware moderno usa, como fazer com que um usuário clique em ListenToThisMusic.mp3.exe.

    
por 14.06.2009 / 11:45
5

Eu tomaria cuidado com isso. Você não poderá 100% bloquear tudo e tornar as máquinas quase impossíveis de serem usadas pelos usuários. Você deve procurar educar seus usuários e implementar processos, políticas e educação. Você precisa encontrar o EQUILÍBRIO correto entre restringir ações e a produtividade do usuário final.

Eu vejo MUITOS dólares em empresas onde eles fazem dos usuários um inferno absoluto, só para facilitar um pouco as coisas para os caras de suporte.

    
por 14.06.2009 / 12:12
1

Você pode colocar na lista de permissões usando políticas de restrição de software em GPOs, mas não tenho certeza de como isso é eficaz. Eu apostaria um pequeno donut nele trabalhando com a maioria dos usuários não-maliciosos na maioria dos lugares, mas eu não apostaria que minha carreira nele funcionaria em qualquer lugar e eu não contaria com isso em lugares onde eu esperava que ele fosse atacado ( por exemplo, ambiente educacional).

Com certeza, você pode bloquear o código de determinados dispositivos e áreas do disco com uma combinação de ACLs e restrições de software, e isso é uma ferramenta de segurança útil, mas eu faria disso uma pequena parte de uma diretiva de segurança, não a pedra angular de um.

    
por 14.06.2009 / 11:49
0

Você poderia usar o Cisco Security Agent com uma regra que (após um período "somente de observação" para treinamento) bloqueia qualquer executável que não tenha sido executado antes.

Você pode permitir executáveis de certos diretórios, se quiser.

    
por 18.06.2009 / 20:28
0

É muito mais fácil para o Blacklist do que para o Whitelist. Muito provavelmente você tem uma ideia do que você não quer que os usuários executem. A maneira como o Windows lida com isso é por meio das Políticas de Restrição de Software em seu GPO. As Políticas de Restrição de Software podem ser usadas para permitir que o software rode e negue-o. Há quatro métodos diferentes disponíveis para uso e são: Regras de hash, Regras de certificado, Regras de caminho e Regras de zona da Internet.

As regras de Regras de hash usam um hash MD5 ou SHA-1 de um arquivo em sua correspondência. Isso pode ser uma batalha difícil. Tentar bloquear algo como pwdump usando apenas uma regra hash resultará em MUITAS entradas, para cada versão diferente do pwdump. E quando uma nova versão for lançada, você precisará adicionar isso também.

As regras de caminho são baseadas na localização do arquivo no sistema de arquivos. Então, você pode restringir "\ program files \ aol \ aim.exe", por exemplo, mas se o usuário optar por instalá-lo em "\ myapps \ aol \ aim.exe", ele será permitido. Você pode usar curingas para cobrir mais diretórios. Também é possível usar o caminho do registro se o software tiver uma entrada de registro, mas você não souber onde ela será instalada.

As regras de certificado são úteis para software que inclui um certificado. O que significa principalmente software comercial. Você pode criar uma lista de Certs que podem ser executados em seus sistemas e negar todo o resto.

As regras da zona da Internet aplicam-se apenas aos pacotes do Windows Installer. Eu nunca usei isso, então não posso comentar muito sobre isso.

Um GPO adequado usará várias dessas regras para cobrir tudo. A restrição de software exige que você realmente pense no que deseja evitar para acertar. Mesmo assim, provavelmente ainda não está certo. A Technet tem alguns bons artigos sobre o uso de Políticas de Restrição de Software, e tenho certeza de que existem outros bons documentos no site da Microsoft encontrados através de seu mecanismo de busca favorito.

Boa sorte!

    
por 20.06.2009 / 21:17