답변:
당신이 원하는 소프트웨어 제한 정책을 . 최신 Windows의이 활용률이 낮은 기능을 통해 관리자는 경로 또는 암호화 서명을 기반으로 실행 파일 실행을 허용하거나 제한 할 수 있습니다. 그건 그렇고, 당신은 EXE 이상의 것을 원합니다. 소프트웨어 제한 정책에는 CMD 및 SCR, 화면 보호기와 같이 제한해야하는 추가 파일 유형이 30 개 또는 40 개 있습니다. 또한 DLL을 차단할 수 있습니다.
안티 바이러스보다 효과가 훨씬 우수하다고 평가할뿐만 아니라 사용자가 ListenToThisMusic.mp3.exe를 클릭하도록하는 것과 같이 최신 맬웨어가 사용하는 사회 공학적 공격에 대해 사용자를 교육하는 것은 어렵습니다.
나는 이것을 조심할 것이다. 모든 것을 100 % 잠글 수 없으며 사용자가 기계를 거의 사용할 수 없게됩니다. 사용자를 교육하고 프로세스, 정책 및 교육을 시행해야합니다. 작업 제한과 최종 사용자 생산성간에 적절한 균형을 찾아야합니다.
나는 그들이 지원자들을 위해 일을 조금 더 쉽게하기 위해 사용자를 절대적으로 살게 만드는 회사에서 $$$를 낭비했습니다.
GPO에서 소프트웨어 제한 정책을 사용하여 허용 목록에 올릴 수 있지만 그 효과가 확실하지 않습니다. 나는 대부분의 장소에서 악의적이지 않은 대부분의 사용자와 함께 일하는 것에 작은 도넛을 걸었 지 만 어디서나 일하는 것에 대한 내 경력은 내기하지 않을 것이며 공격을받을 것으로 예상되는 곳에서는 그것을 의지하지 않을 것입니다 ( 예 : 교육 환경).
ACL과 소프트웨어 제한의 조합으로 디스크의 특정 장치와 디스크 영역에서 코드가 실행되는 것을 확실히 차단할 수 있으며 이는 유용한 보안 도구이지만, 보안 정책의 작은 부분으로 만들었습니다. .
화이트리스트보다 블랙리스트에 훨씬 쉽습니다. 사용자가 실행하기를 원하지 않는 것에 대해 잘 알고있을 것입니다. Windows에서이를 처리하는 방법은 GPO의 소프트웨어 제한 정책을 사용하는 것입니다. 소프트웨어 제한 정책을 사용하여 소프트웨어를 실행하고 거부 할 수 있습니다. 사용할 수있는 네 가지 방법이 있으며 해시 규칙, 인증서 규칙, 경로 규칙 및 인터넷 영역 규칙입니다.
해시 규칙 규칙은 일치하는 파일의 MD5 또는 SHA-1 해시를 사용합니다. 이것은 오르막 전투 일 수 있습니다. 해시 규칙 만 사용하여 pwdump와 같은 것을 차단하려고하면 각기 다른 버전의 pwdump에 대해 많은 항목이 생성됩니다. 새 버전이 나오면 추가해야합니다.
경로 규칙은 파일 시스템에서 파일의 위치를 기반으로합니다. 예를 들어 "\ program files \ aol \ aim.exe"를 제한 할 수 있지만 사용자가 "\ myapps \ aol \ aim.exe"에 설치하도록 선택하면 허용됩니다. 와일드 카드를 사용하여 더 많은 디렉토리를 커버 할 수 있습니다. 소프트웨어에 레지스트리 항목이 있지만 설치할 위치를 모르는 경우 레지스트리 경로를 사용할 수도 있습니다.
인증서 규칙은 인증서가 포함 된 소프트웨어에 유용합니다. 대부분 상용 소프트웨어를 의미합니다. 시스템에서 실행할 수있는 인증서 목록을 작성하고 다른 모든 것을 거부 할 수 있습니다.
인터넷 영역 규칙은 Windows Installer 패키지에만 적용됩니다. 나는 이것을 사용하지 않았으므로 그것에 대해 많이 언급 할 수 없습니다.
적절한 GPO는 이러한 규칙 중 몇 가지를 사용하여 모든 것을 처리합니다. 소프트웨어를 제한하려면 실제로 올바른 것을 방지하기 위해 원하는 것을 생각해야합니다. 그럼에도 불구하고, 아마도 여전히 옳지 않습니다. Technet에는 소프트웨어 제한 정책 사용에 관한 몇 가지 유용한 기사가 있으며 Microsoft 검색 엔진을 통해 찾을 수있는 다른 유용한 문서도 있습니다.
행운을 빕니다!