Como posso impedir que o arquivo .exe seja executado a partir de mídia removível, como unidades USB?

10

Tenho um problema com usuários que executam .exe de armazenamento removível, como Memory Sticks e cartões SD.

Estou tentando configurar o bloqueio do exe que está sendo executado em todo o armazenamento removível para combater isso, no entanto, nas configurações de Diretiva de Grupo em "Configuração do usuário> Configurações do Windows> Configurações de segurança> Diretivas de restrição de software> Regras adicionais", você pode criar um "caminho" variável. Gostaria de usar uma variável de sistema para todo o armazenamento removível, mas não sei se existe alguma que funcione. Preciso analisar e criar uma lista de bloqueio para todas as letras de unidade em potencial que possam ser atribuídas a mídia removível (E: \ a cerca de L: \) ou existe uma que realmente funcione? Eu descobri %~dp0que, aparentemente, só funciona para loops, se instruções e parâmetros de lote.

Se houver outras medidas melhores ou mais confiáveis, entre em contato.

Ah, eu olhei para o AppLocker, mas nosso controlador de domínio está executando o Server 2008 e acredito que o AppLocker faz parte do Windows 7 e 2008 R2. Conforme mencionado nos comentários da resposta abaixo, não acho que o Server 2008 tenha a configuração "Negar acesso de execução", então existem outras opções?

windows-server-2008 group-policy tombull89
fonte

Respostas:

12

Você pode interromper a execução do software em dispositivos removíveis por meio de um GPO. A configuração está em Computador> Modelos Administrativos> Sistema> Acesso ao Armazenamento Removível> Discos Removíveis: Negar Acesso à Execução

insira a descrição da imagem aqui

Editar:

Você tem acesso a um sistema Server 2008 R2? Nesse caso, você pode criar a configuração de política, fazer backup em disco e transferi-la para o Sistema Server 2008 e importar a política de volta. Isso não permitirá modificar a política, mas você poderá ver as configurações Extra Registry Settingse funcionar bem nos seus clientes Windows 7.

Se ajudar, criei um backup dessa política e o instalei no Dropbox para você fazer o download. O uso usual por sua conta e risco, etc. se aplica.

Bryan
fonte
Esse é um recurso do Server 2008 ou 2008 R2? Não estou vendo o "Negar acesso de execução" (ou qualquer um dos recursos de fita ou WPD).
precisa saber é o seguinte
Você definitivamente está olhando as políticas de Computador e não as de Usuário? No 2008 R2, eles não aparecem nas políticas de Usuário, mas nas políticas de Computador. Pode não estar disponível em Políticas do computador na versão não R2; nesse caso, peço desculpas por enganá-lo. Receio não ter um sistema não R2 para verificar isso.
Bryan
Desculpas, eu estava incorreto no meu comentário acima. Eu faço tem a fita e WPD apresenta, assim nenhuma das seções têm acesso de execução, apenas a leitura / gravação. Também estou em Políticas de computador. Se eu visualizar "todas as configurações", também não está nessa lista.
precisa saber é o seguinte
3
Não tenho um sistema disponível para testar isso, mas talvez você possa tentar fazer o download dos Modelos Administrativos para Server 2008 R2 e Windows 7 . Isso pode fornecer as configurações de política necessárias para configurar seus clientes.
Bryan
Instalou os modelos administrativos, ainda não mostrando o acesso de execução conforme o esperado.
precisa saber é o seguinte
2

Alguns produtos antivírus corporativos (por exemplo , McAfee , Sophos , Symantec ) incluem essa função como algo que pode ser ativado corporativamente. Talvez a sua solução antivírus corporativa tenha isso como um recurso.

dunxd
fonte