Você pode realmente restringir onde os programas são executados em versões posteriores do Windows?

Acho que as Políticas de Restrição de Software, introduzidas com o Windows XP e o Windows Server 2003, são um instrumento válido para impedir a execução de programas indesejados.

Se as regras de caminho descritas não forem seguras o suficiente na sua opinião, você sempre poderá adicionar regras de hash ("impressões digitais" criptográficas dos executáveis que permanecem as mesmas, independentemente do nome ou local do arquivo.) e certificados.

A única maneira (que eu sei) de ignorar as Políticas de Restrição de Software no Windows XP é usar uma conta de logon secundário (começar com "Executar como").

Chegando no Windows 7 Enterprise & Server 2008 R2: AppLocker

Eu vi uma demonstração disso em uma recente conferência do TechNet. Você pode restringir / permitir com base nas seguintes características do executável:

Regras de caminho

Regras de hash

Regras do editor

Usando as regras acima, você pode "garantir que os programas não possam ser executados a partir de% TEMP%, que os programas não possam ser simplesmente iniciados a partir dos comandos cmd ou start, ou de outros programas?"

Mais informações aqui

Anapologetos

Um laboratório público em nossa universidade aparentemente usa essa política em um ambiente do Vista, mas não parece ser completamente restrito. Não tenho certeza de quais são as regras. O putty portátil funciona da minha área de trabalho, por exemplo. Uma vez, eu queria executar o executável simples da minha área de trabalho para codificar um arquivo wave e ele não seria executado.

Pessoalmente, não sou um grande fã, mas o McAfee Enterprise 8.5i (e outras probabilidades) permitirá que você crie facilmente regras personalizadas que restrinjam o local de onde .exe está sendo desativado.