Impedir a execução de executáveis ​​do Windows

11

Existe alguma maneira de dizer ao Windows (XP e superior) para não executar arquivos (arquivos * .exe), presentes em unidades / pastas que não sejam determinadas pastas, que eu mencionei? Em resumo, eu quero que executáveis ​​de apenas uma ' lista branca ' sejam executados.

Eu acho que isso é melhor do que pedir aos usuários para não executar nenhum executável de qualquer CD de lixo que eles trazem de casa.

windows security malware splattne
fonte

Respostas:

12

você deseja diretivas de restrição de software . Esse recurso subutilizado do Windows moderno permite ao administrador permitir ou restringir a execução de executáveis ​​com base no caminho ou mesmo com base em uma assinatura criptográfica. A propósito, você quer mais do que apenas EXE. As diretivas de restrição de software têm uma lista de 30 ou 40 tipos adicionais de arquivos que você precisa restringir, como CMD e SCR, protetores de tela. Além disso, você pode bloquear as DLLs.

Além disso, é difícil educar os usuários sobre os ataques de engenharia social que o malware moderno usa, como fazer com que um usuário clique em ListenToThisMusic.mp3.exe.

Knox
fonte
Você acertou em cheio. :) O empreendimento foi bem sucedido.
5

Eu teria cuidado com isso. Você não poderá bloquear 100% de tudo e tornará as máquinas quase impossíveis de serem usadas pelos usuários. Você deve educar seus usuários e implementar processo, política e educação. Você precisa encontrar o BALANÇO correto entre restringir ações e produtividade do usuário final.

Eu vejo MUITO $ desperdiçado em empresas onde eles fazem a vida dos usuários um inferno, apenas para facilitar um pouco as coisas para os profissionais de suporte.

Bruce McLeod
fonte
1
Não sei por que as pessoas votaram contra Bruce aqui. Ele levanta um bom ponto. A menos que você tenha uma lista muito pequena e claramente definida de aplicativos que você deseja que as pessoas usem, os SRPs restritos podem ser uma dor de cabeça.
Rob Moir
É uma resposta um pouco negativa e funcionará apenas com usuários que realmente cometem erros. Se você está lidando com o tipo de usuário que sempre será ruim, precisa de um controle mais firme. Uma política apoiada por RH só pode lidar com o incidente após o ocorrido, e você pode ter um grande estrago para limpar até lá. É mais sobre alcançar o equilíbrio correto do que ser draconiano.
Maximus Minimus
Bom ponto. Como muitas coisas, é importante garantir que as políticas de TI estejam de acordo com o que a empresa deseja. Por exemplo, se tivéssemos um banco, poderíamos ter computadores no lobby para clientes, caixas, desenvolvedores e um CEO que quisesse jogar Doom. Os computadores do saguão seriam bloqueados com SRP e provavelmente Steady State. Caixas não podem instalar software; eles não são admin; e o SRP não aplica outro software além do que está instalado para eles. Os desenvolvedores são administradores em suas próprias máquinas e o SRP também é menos restritivo. E o CIO cuida da máquina do CEO.
284 Knox
Na verdade, você pode travar 100%, isso torna a máquina muito menos utilitária. Eu uso o SRP o tempo todo para criar máquinas de entrada de dados.
Jim B
Não estou usando isso nos sistemas pessoais (compartimento da empresa) dos usuários. Somente nos laboratórios onde as pessoas compartilham os sistemas e sabemos exatamente qual software eles usarão. Essa distinção é feita, pois esses sistemas contêm dados confidenciais, enquanto os sistemas pessoais são normalmente usados ​​para outros trabalhos, incluindo verificação de e-mail, pornografia (;-)) etc. Minha irritação é que alguns usuários não se controlam em pouco tempo. laboratório. Logo, seguimos o caminho SRP. :)
1

Você pode colocar na lista de permissões usando políticas de restrição de software nos GPOs, mas não tenho certeza de quão eficaz é. Eu apostaria uma pequena rosquinha trabalhando com a maioria dos usuários não maliciosos na maioria dos lugares, mas não apostaria minha carreira trabalhando em qualquer lugar e não contaria com isso em lugares onde esperava que fosse atacado ( por exemplo, ambiente educacional).

Certamente, você pode impedir que o código seja executado a partir de determinados dispositivos e áreas do disco com uma combinação de ACLs e restrições de software e isso é uma ferramenta de segurança útil, mas eu faria disso uma pequena parte de uma política de segurança, não a pedra angular de uma .

Rob Moir
fonte
0

Você pode usar o Cisco Security Agent com uma regra que (após um período "somente de observação" para treinamento) bloqueia qualquer executável que não tenha sido executado antes.

Você pode permitir executáveis ​​de determinados diretórios, se desejar.

hellimat
fonte
0

É muito mais fácil entrar na lista negra do que na lista branca. Provavelmente você tem uma ideia do que não deseja que os usuários executem. A maneira como o Windows lida com isso é por meio de Políticas de Restrição de Software no seu GPO. As diretivas de restrição de software podem ser usadas para permitir a execução do software e negá-lo. Existem quatro métodos diferentes disponíveis para uso e são: Regras de hash, regras de certificado, regras de caminho e regras de zona da Internet.

As regras de regras de hash usam um hash MD5 ou SHA-1 de um arquivo em sua correspondência. Esta pode ser uma batalha difícil. Tentar bloquear algo como pwdump usando apenas uma regra de hash resultará em MUITAS entradas, para cada versão diferente do pwdump. E quando uma nova versão for lançada, você precisará adicioná-la também.

As regras de caminho são baseadas no local do arquivo no sistema de arquivos. Portanto, você pode restringir "\ arquivos de programas \ aol \ aim.exe" por exemplo, mas se o usuário optar por instalá-lo em "\ myapps \ aol \ aim.exe", isso será permitido. Você pode usar curingas para cobrir mais diretórios. Também é possível usar o caminho do registro se o software tiver uma entrada de registro, mas você não souber onde será instalado.

As regras de certificado são úteis para softwares que incluem um certificado. O que significa principalmente software comercial. Você pode criar uma lista de certificados que podem ser executados em seus sistemas e negar todo o resto.

As regras da zona da Internet se aplicam apenas aos pacotes do Windows Installer. Eu nunca usei isso, então não posso comentar muito.

Um GPO adequado usará várias dessas regras para cobrir tudo. A restrição de software exige que você realmente pense no que deseja impedir para acertar. Mesmo assim, provavelmente ainda não está certo. A Technet tem alguns bons artigos sobre o uso de Políticas de Restrição de Software, e tenho certeza de que existem outros documentos bons no site da Microsoft encontrados no seu mecanismo de pesquisa favorito.

Boa sorte!


fonte