Você pode realmente restringir onde os programas são executados em versões posteriores do Windows?

1

Eu estava procurando aqui

Agora, parece promissor restringir a execução dos programas, certificando-se de que eles sejam executados apenas a partir de% PROGFILES% e% WINDIR%, mas tenho de me perguntar como isso é obrigatório e bloqueável. Supondo que a página é seguida e não há vulnerabilidades atuais (apenas para os propósitos da minha pergunta).

Você pode garantir que os programas não possam ser executados a partir de% TEMP%, que os programas não possam ser iniciados apenas a partir dos comandos cmd ou start ou de outros programas? Basicamente, há alguma maneira de contornar isso e, em caso afirmativo, como você também poderia bloqueá-los?

    
por Bill Gray 07.06.2009 / 16:23

4 respostas

1

Acho que as Políticas de Restrição de Software, introduzidas com o Windows XP e o Windows Server 2003, são um instrumento válido para impedir a execução de programas indesejados.

Se as regras de caminho descritas não forem seguras o suficiente na sua opinião, você sempre poderá adicionar regras de hash ("impressões digitais" criptográficas dos executáveis que permanecem as mesmas, independentemente do nome ou local do arquivo.) e certificados.

A única maneira (que eu sei) de ignorar as Políticas de Restrição de Software no Windows XP é usar uma conta de logon secundário (começar com "Executar como").

    
por 07.06.2009 / 16:52
1

Chegando no Windows 7 Enterprise & Server 2008 R2: AppLocker

Eu vi uma demonstração disso em uma recente conferência do TechNet. Você pode restringir / permitir com base nas seguintes características do executável:

Regras de caminho

Regras de hash

Regras do editor

Usando as regras acima, você pode "garantir que os programas não possam ser executados a partir de% TEMP%, que os programas não possam ser simplesmente iniciados a partir dos comandos cmd ou start, ou de outros programas?"

Mais informações aqui

Anapologetos

    
por 07.06.2009 / 20:44
0

Um laboratório público em nossa universidade aparentemente usa essa política em um ambiente do Vista, mas não parece ser completamente restrito. Não tenho certeza de quais são as regras. O putty portátil funciona da minha área de trabalho, por exemplo. Uma vez, eu queria executar o executável simples da minha área de trabalho para codificar um arquivo wave e ele não seria executado.

    
por 07.06.2009 / 18:38
0

Pessoalmente, não sou um grande fã, mas o McAfee Enterprise 8.5i (e outras probabilidades) permitirá que você crie facilmente regras personalizadas que restrinjam o local de onde .exe está sendo desativado.

    
por 08.06.2009 / 02:26