Sou um grande fã de Políticas de Restrição de Software para o Microsoft Windows e atualizei recentemente nossos configurações para isso. Fiquei curioso para saber onde a Microsoft implementou essa tecnologia na pilha. Posso imaginar uma implementação muito ingênua no Windows Explorer, na qual, quando você clica duas vezes em um exe ou outro tipo de arquivo bloqueado, o Explorer verifica a política. Eu chamo isso de ingênuo porque obviamente isso não protegeria contra alguém digitando algo em uma janela do CMD. Ou pior, o Adobe Reader executando um aplicativo externo. Por outro lado, posso imaginar que as políticas de restrição de software poderiam ser implementadas na pilha quase no metal. Nesse caso, o carregador de baixo nível carregaria na memória o arquivo questionável, mas marcaria a memória no gerenciador de memória como dados não executáveis.
Tenho certeza de que a Microsoft não fez a implementação mais ingênua, porque se eu bloquear o Java usando um bloco de caminho, o Internet Explorer irá falhar se tentar carregar o Java. Qual é o que eu quero. Mas eu não tenho certeza de quão fundo a pilha foi implementada e qualquer insight seria apreciado.
Tags windows group-policy