‘_ noexec’ no NTFS no Windows?

6

Existe uma opção de sistema de arquivos equivalente no Windows como a opção de montagem 'noexec' no Linux? É o mesmo se eu definir a permissão "Ler", mas cancelar a permissão "Ler & Executar" no diretório raiz (unidade inteira)? Para os usuários locais, mas também para os usuários do LAn que acessam o diretório compartilhado na máquina do Windows Server.

Eu quero saber se posso desabilitar qualquer tipo ou possibilidade de executar programas a partir da unidade / partição de dados, incluindo não ser capaz de criar seu próprio subdiretório e definir permissão de execução nele. Portanto, o usuário deve poder ler e gravar, mas não executar nenhum programa, incluindo BATs. É sobre segurança de malware, é claro. É possível isso?

    
por igustin 02.12.2009 / 12:43

2 respostas

7

Não há analógico para uma montagem "noexec" para sistemas de arquivos no Windows. A concepção da Microsoft sobre a simples permissão "Read" inclui o direito de executar (já que a execução é apenas o carregador que lê a imagem na memória).

Você pode modificar a versão "Advanced" da permissão para remover (ou negar) a permissão "Traverse Folder / Execute File". Isso impedirá o clique duplo ou a execução da linha de comando dos arquivos .EXE. Os arquivos .BAT e .CMD não serão executados a partir de um clique duplo no Explorer, mas eles ainda serão executados a partir de um prompt de comando ou usando a sintaxe "CMD / c" de Iniciar / Executar.

A alteração da permissão quebra a "analogia" de uma montagem "noexec", pois "noexec" não requer nenhuma modificação nas permissões do volume montado.

Seria melhor você olhar para as Políticas de restrição de software como uma maneira de realizar o que você está procurando. Esse recurso altera o comportamento da API usada para executar programas para restringir os caminhos (ou por assinatura digital ou hash criptográfico) dos quais os programas podem ser executados. Supondo que seus usuários locais não tenham direitos de "Administrador", essa funcionalidade seria efetiva até certo ponto.

Em última análise, porém, se houver algum local do sistema de arquivos no computador em que o usuário possa gravar arquivos e executar, o usuário poderá copiar programas dos caminhos de execução restrita para esse local e executar o programa a partir daí. Você precisaria ser muito diligente para garantir que não haja tais locais.

Como alternativa, as Políticas de Restrição de Software podem ser usadas em um modo de "negação padrão", em que apenas os caminhos especificados (ou assinaturas digitais ou hashes criptográficos) permitirão a execução. Isso também é bastante difícil de configurar, já que você precisa testar todos os seus aplicativos para ter certeza de que sua execução seja bem-sucedida.

Você não menciona qual versão do Windows está falando. Para o Windows 7 e Windows Server 2008 R2, as Políticas de Restrição de Software fazem parte de AppLocker e a funcionalidade é semelhante.

    
por 02.12.2009 / 15:43
1

Vá para as opções de segurança da unidade (clique com o botão direito do mouse na guia de segurança) e clique em "Editar"; Se você quiser impedir que usuários padrão executem qualquer coisa na unidade, você pode selecionar a entrada "Usuários" e desmarcar "Ler e executar" e deixar "Ler" marcada.

    
por 23.12.2009 / 02:14