Comment puis-je empêcher l'exécution de .exe à partir de supports amovibles, tels que des clés USB?

10

J'ai un problème avec les utilisateurs exécutant des fichiers .exe à partir d'un stockage amovible tels que des Memory Sticks et des cartes SD.

J'essaie de configurer le blocage des fichiers exécutés exécutés à partir de tout le stockage amovible pour lutter contre cela, mais sous les paramètres de stratégie de groupe sous "Configuration utilisateur> Paramètres Windows> Paramètres de sécurité> Stratégies de restriction logicielle> Règles supplémentaires", vous pouvez créer un "chemin" variable. Je voudrais utiliser une variable système pour tout le stockage amovible mais je ne sais pas s'il y en a une qui fonctionne. Dois-je parcourir et créer une liste de blocage pour toutes les lettres de lecteur potentielles qui pourraient être affectées à un support amovible (E: \ à environ L: \) ou y en a-t-il une qui fonctionne réellement? J'ai trouvé %~dp0qui, apparemment, ne fonctionne que pour les boucles, les instructions if et les paramètres de lot.

S'il existe d'autres mesures, meilleures ou plus fiables, veuillez m'en informer.

Oh, j'ai regardé AppLocker mais notre contrôleur de domaine exécute Server 2008 et je crois que AppLocker fait partie de Windows 7 et 2008 R2. Comme mentionné dans les commentaires de la réponse ci-dessous, je ne pense pas que Server 2008 dispose du paramètre "Refuser l'accès". Existe-t-il d'autres options?

tombull89
la source

Réponses:

12

Vous pouvez arrêter l'exécution de logiciels sur des périphériques amovibles via un GPO. Le paramètre se trouve sous Ordinateur> Modèles d'administration> Système> Accès au stockage amovible> Disques amovibles: Refuser l'accès

entrez la description de l'image ici

Éditer:

Avez-vous accès à un système Server 2008 R2? Si tel est le cas, vous pouvez créer le paramètre de stratégie, le sauvegarder sur disque et le transférer sur votre système Server 2008 et réimporter la stratégie. Cela ne vous donnera pas la possibilité de modifier la stratégie, mais vous devriez pouvoir voir les paramètres Extra Registry Settingset cela devrait fonctionner correctement sur vos clients Windows 7.

Si cela vous aide, je viens de créer une sauvegarde d'une telle politique et je l'ai mise sur Dropbox pour que vous puissiez la télécharger. L'utilisation habituelle à vos risques et périls, etc. s'applique.

Bryan
la source
S'agit-il d'une fonctionnalité Server 2008 ou 2008 R2? Je ne vois pas le "Deny Execute Access" (ou l'une des fonctionnalités de bande ou WPD).
tombull89
Cherchez-vous vraiment les politiques de l'ordinateur et non les politiques de l'utilisateur? Sur 2008 R2, ils ne figurent pas dans les stratégies utilisateur, mais dans les stratégies ordinateur. Il peut ne pas être disponible sous Stratégies informatiques sur la version non R2, auquel cas je m'excuse de vous avoir induit en erreur. J'ai bien peur de ne pas avoir de système non R2 pour vérifier cela.
Bryan
Toutes mes excuses, j'avais tort dans mon commentaire ci-dessus. Je n'ont la bande et les caractéristiques WPD, juste aucune des sections ont accès en exécution, uniquement en lecture / écriture. Je suis également sous Stratégies informatiques. Si je vois "tous les paramètres", ce n'est pas dans cette liste non plus.
tombull89
3
Je n'ai pas de système disponible pour tester cela, mais vous pouvez peut-être essayer de télécharger les modèles d'administration pour Server 2008 R2 et Windows 7 . Cela peut fournir les paramètres de stratégie dont vous avez besoin pour configurer vos clients.
Bryan
Installation des modèles d'administration, ne montrant toujours pas l'accès d'exécution comme espéré.
tombull89
2

Certains produits antivirus d'entreprise (par exemple McAfee , Sophos , Symantec ) incluent cette fonction comme quelque chose qui peut être activé en entreprise. Peut-être que votre solution antivirus d'entreprise a ceci comme fonctionnalité.

dunxd
la source