Empêcher l'exécution des exécutables Windows

11

Existe-t-il un moyen de dire à Windows (XP et supérieur) de ne pas exécuter les fichiers (fichiers * .exe), qui sont présents dans des lecteurs / dossiers autres que certains dossiers, que je mentionne? En bref, je veux que les exécutables d'une seule « liste blanche » soient exécutés.

Je pense que c'est mieux que de demander aux utilisateurs de ne pas exécuter d'exécutables à partir de tous les CD de déchets qu'ils apportent de chez eux.

windows security malware splattne
la source

Réponses:

12

vous souhaitez des stratégies de restriction logicielle . Cette fonctionnalité sous-utilisée de Windows moderne permet à l'administrateur d'autoriser ou de limiter l'exécution des exécutables en fonction du chemin d'accès ou même en fonction d'une signature cryptographique. Soit dit en passant, vous voulez plus que des EXE. Les stratégies de restriction logicielle contiennent une liste de 30 ou 40 types de fichiers supplémentaires que vous devez restreindre, tels que CMD et SCR, économiseurs d'écran. De plus, vous pouvez bloquer les DLL.

Je dirais que son efficacité est nettement meilleure que celle de l'antivirus.En outre, il est difficile d'éduquer les utilisateurs sur les attaques d'ingénierie sociale que les logiciels malveillants modernes utilisent, comme faire en sorte qu'un utilisateur clique sur ListenToThisMusic.mp3.exe.

Knox
la source
Vous frappez le clou. :) L'entreprise a réussi.
5

Je serais prudent avec ça. Vous ne pourrez pas tout verrouiller à 100% et vous rendrez les machines presque impossibles à utiliser pour les utilisateurs. Vous devriez envisager d'éduquer vos utilisateurs et de mettre en place un processus, une politique et une éducation. Vous devez trouver le bon équilibre entre les actions restrictives et la productivité de l'utilisateur final.

Je vois BEAUCOUP de $$$ gaspillage dans des entreprises où ils font de la vie des utilisateurs un enfer absolu juste pour rendre les choses un peu plus faciles pour les gars du support.

Bruce McLeod
la source
1
Je ne sais pas pourquoi les gens ont voté contre Bruce ici. Il soulève un bon point. À moins que vous n'ayez une liste très clairement définie et petite d'applications que vous souhaitez que les gens utilisent, les SRP serrés peuvent être une douleur totale dans le cerceau.
Rob Moir
C'est un peu une réponse indirecte, et ne fonctionnera qu'avec des utilisateurs qui font vraiment des erreurs. Si vous avez affaire à un type d'utilisateur qui va toujours être mauvais, vous avez besoin d'un contrôle plus ferme. Une politique soutenue par les ressources humaines ne peut gérer l'incident qu'une fois qu'il s'est produit, et vous pourriez bien avoir des ravages importants à nettoyer d'ici là. Il s'agit plus de trouver le bon équilibre que d'être draconien.
Maximus Minimus
Bon point. Comme beaucoup de choses, il est important de s'assurer que les politiques informatiques correspondent à ce que veut l'entreprise. Par exemple, si nous avions une banque, nous pourrions avoir des ordinateurs dans le hall pour les clients, les scrutateurs, les développeurs et un PDG qui veut jouer à Doom. Les ordinateurs du lobby seraient verrouillés avec SRP et probablement Steady State. Les conteurs ne peuvent pas installer de logiciel; ils ne sont pas administrateurs; et SRP n'applique aucun logiciel autre que ce qui est installé pour eux. Les développeurs sont admin sur leurs propres machines et SRP est également moins restrictif. Et le CIO s'occupe de la machine du PDG.
Knox
En fait, vous pouvez le verrouiller à 100%, cela rend la machine beaucoup moins utilitaire. J'utilise tout le temps SRP pour créer des machines de saisie de données.
Jim B
Je ne l'utilise pas sur les systèmes personnels des utilisateurs (armoire de l'entreprise). Seulement dans les laboratoires où les gens partagent les systèmes et nous savons exactement quels logiciels ils utiliseront. Cette distinction est faite car ces systèmes contiennent des données sensibles tandis que les systèmes personnels sont normalement utilisés pour leurs autres travaux, y compris la vérification du courrier, le porno (;-)) etc. Mon irritation est que certains utilisateurs ne peuvent pas se contrôler en peu de temps laboratoire. Ergo nous allons de façon SRP. :)
1

Vous pouvez ajouter une liste blanche à l'aide de stratégies de restriction logicielle dans les objets de stratégie de groupe, mais je ne suis pas sûr de son efficacité. Je parierais un petit beignet sur lui en travaillant avec la plupart des utilisateurs non malveillants dans la plupart des endroits, mais je ne parierais pas ma carrière sur ça en travaillant n'importe où et je ne compterais pas là-dessus dans des endroits où je m'attendais à ce qu'il soit attaqué ( ex: environnement éducatif).

Vous pouvez certainement empêcher le code de s'exécuter à partir de certains périphériques et zones du disque avec une combinaison d'ACL et de restrictions logicielles et c'est un outil de sécurité utile, mais j'en ferais une petite partie d'une politique de sécurité, pas la pierre angulaire d'une .

Rob Moir
la source
0

Vous pouvez utiliser Cisco Security Agent avec une règle qui (après une période de "surveillance uniquement" pour la formation) bloque tout exécutable qui ne s'est pas exécuté auparavant.

Vous pouvez autoriser les exécutables de certains répertoires si vous le souhaitez.

hellimat
la source
0

C'est beaucoup plus facile de mettre sur liste noire que sur liste blanche. Vous avez très probablement une idée de ce que vous ne voulez pas que les utilisateurs exécutent. La façon dont Windows gère cela est via les stratégies de restriction logicielle dans votre objet de stratégie de groupe. Les stratégies de restriction logicielle peuvent être utilisées pour permettre au logiciel de s'exécuter ainsi que pour le refuser. Il existe quatre méthodes différentes à utiliser: les règles de hachage, les règles de certificat, les règles de chemin et les règles de zone Internet.

Les règles de règles de hachage utilisent un hachage MD5 ou SHA-1 d'un fichier dans sa correspondance. Cela peut être une bataille difficile. Essayer de bloquer quelque chose comme pwdump en utilisant juste une règle de hachage entraînera BEAUCOUP d'entrées, pour chaque version différente de pwdump. Et lorsqu'une nouvelle version sort, vous devez également l'ajouter.

Les règles de chemin d'accès sont basées sur l'emplacement du fichier sur le système de fichiers. Vous pouvez donc restreindre "\ program files \ aol \ aim.exe" par exemple, mais si l'utilisateur choisit de l'installer dans "\ myapps \ aol \ aim.exe", il serait autorisé. Vous pouvez utiliser des caractères génériques pour couvrir plus de répertoires. Il est également possible d'utiliser le chemin du registre si le logiciel a une entrée de registre mais vous ne savez pas où il sera installé.

Les règles de certificat sont utiles pour les logiciels qui incluent un certificat. Ce qui signifie principalement des logiciels commerciaux. Vous pouvez créer une liste de certificats autorisés à s'exécuter sur vos systèmes et refuser tout le reste.

Les règles de zone Internet s'appliquent uniquement aux packages Windows Installer. Je ne l'ai jamais utilisé, donc je ne peux pas en parler beaucoup.

Un GPO approprié utilisera plusieurs de ces règles pour tout couvrir. Restreindre un logiciel vous oblige à vraiment penser à ce que vous voulez éviter pour bien faire les choses. Même alors, ce n'est probablement toujours pas correct. Technet a de bons articles sur l'utilisation des stratégies de restriction logicielle, et je suis sûr qu'il existe d'autres bons documents sur le site de Microsoft trouvés via votre moteur de recherche préféré.

Bonne chance!


la source