Windows 실행 파일 실행 방지


11

내가 언급 한 특정 폴더 이외의 드라이브 / 폴더에있는 파일 (* .exe 파일)을 실행하지 않도록 Windows (XP 이상)에 알리는 방법이 있습니까? 요컨대 ' 화이트리스트 '의 실행 파일 만 실행하고 싶습니다 .

나는 이것이 집에서 가져온 쓰레기 CD에서 실행 파일을 실행하지 않도록 사용자에게 요청하는 것보다 낫다고 생각합니다.

답변:


12

당신이 원하는 소프트웨어 제한 정책을 . 최신 Windows의이 활용률이 낮은 기능을 통해 관리자는 경로 또는 암호화 서명을 기반으로 실행 파일 실행을 허용하거나 제한 할 수 있습니다. 그건 그렇고, 당신은 EXE 이상의 것을 원합니다. 소프트웨어 제한 정책에는 CMD 및 SCR, 화면 보호기와 같이 제한해야하는 추가 파일 유형이 30 개 또는 40 개 있습니다. 또한 DLL을 차단할 수 있습니다.

안티 바이러스보다 효과가 훨씬 우수하다고 평가할뿐만 아니라 사용자가 ListenToThisMusic.mp3.exe를 클릭하도록하는 것과 같이 최신 맬웨어가 사용하는 사회 공학적 공격에 대해 사용자를 교육하는 것은 어렵습니다.


당신은 못을 쳤다. :) 모험은 성공적이었다.

5

나는 이것을 조심할 것이다. 모든 것을 100 % 잠글 수 없으며 사용자가 기계를 거의 사용할 수 없게됩니다. 사용자를 교육하고 프로세스, 정책 및 교육을 시행해야합니다. 작업 제한과 최종 사용자 생산성간에 적절한 균형을 찾아야합니다.

나는 그들이 지원자들을 위해 일을 조금 더 쉽게하기 위해 사용자를 절대적으로 살게 만드는 회사에서 $$$를 낭비했습니다.


1
사람들이 왜 브루스를 억압했는지 모르겠습니다. 그는 좋은 지적을합니다. 당신은 매우 명확하게 정의하고 있지 않는 작은 당신은 사람들이 사용하고자하는 응용 프로그램의 목록을 꽉 SRPs는 후프에서 총 고통이 될 수 있습니다.
Rob Moir 2016 년

그것은 약간의 cop-out 답변이며, 실수를 범한 사용자와 만 작동합니다. 항상 나빠질 사용자 유형을 다루는 경우 더 철저한 통제가 필요합니다. HR 지원 정책은 사건이 발생한 후에 만 ​​처리 할 수 ​​있으며 그때까지 정리해야 할 큰 혼란이있을 수 있습니다. 그것은 드라코 니안보다 정확한 균형을 이루는 것에 관한 것입니다.
Maximus Minimus

좋은 지적. 많은 것들과 마찬가지로 IT 정책이 회사가 원하는 것에 동의하는지 확인하는 것이 중요합니다. 예를 들어, 은행이 있다면 고객, 텔러, 개발자 및 Doom을 플레이하려는 CEO를위한 컴퓨터가 로비에있을 수 있습니다. 로비 컴퓨터는 SRP와 아마도 정상 상태로 잠겨있을 것입니다. 텔러는 소프트웨어를 설치할 수 없습니다. 그들은 관리자가 아닙니다. SRP는 설치된 소프트웨어 이외의 소프트웨어를 시행하지 않습니다. 개발자는 자신의 컴퓨터에서 관리자이며 SRP도 덜 제한적입니다. 그리고 CIO는 CEO의 머신을 관리합니다.
녹스

실제로 100 % 잠글 수있어 기계의 실용성이 훨씬 떨어집니다. 나는 항상 SRP를 사용하여 데이터 입력 기계를 만듭니다.
Jim B

나는 사용자의 개인 (회사의 칸막이) 시스템에서 이것을 사용하지 않습니다. 사람들이 시스템을 공유하는 실험실에서만 사용할 소프트웨어를 정확히 알고 있습니다. 개인 시스템은 일반적으로 메일 확인, 포르노 (;-) 등의 다른 작업에 사용되는 반면 이러한 시스템에는 민감한 데이터가 포함되어 있기 때문에 이러한 구분이 이루어집니다. 랩. Ergo 우리는 SRP 길을 간다. :)

1

GPO에서 소프트웨어 제한 정책을 사용하여 허용 목록에 올릴 수 있지만 그 효과가 확실하지 않습니다. 나는 대부분의 장소에서 악의적이지 않은 대부분의 사용자와 함께 일하는 것에 작은 도넛을 걸었 지 만 어디서나 일하는 것에 대한 내 경력은 내기하지 않을 것이며 공격을받을 것으로 예상되는 곳에서는 그것을 의지하지 않을 것입니다 ( 예 : 교육 환경).

ACL과 소프트웨어 제한의 조합으로 디스크의 특정 장치와 디스크 영역에서 코드가 실행되는 것을 확실히 차단할 수 있으며 이는 유용한 보안 도구이지만, 보안 정책의 작은 부분으로 만들었습니다. .


0

시스코 보안 에이전트를 "훈련을위한"감시 기간 "이후에 이전에 실행되지 않은 실행 파일을 차단하는 규칙과 함께 사용할 수 있습니다.

원하는 경우 특정 디렉토리에서 실행 파일을 허용 할 수 있습니다.


0

화이트리스트보다 블랙리스트에 훨씬 쉽습니다. 사용자가 실행하기를 원하지 않는 것에 대해 잘 알고있을 것입니다. Windows에서이를 처리하는 방법은 GPO의 소프트웨어 제한 정책을 사용하는 것입니다. 소프트웨어 제한 정책을 사용하여 소프트웨어를 실행하고 거부 할 수 있습니다. 사용할 수있는 네 가지 방법이 있으며 해시 규칙, 인증서 규칙, 경로 규칙 및 인터넷 영역 규칙입니다.

해시 규칙 규칙은 일치하는 파일의 MD5 또는 SHA-1 해시를 사용합니다. 이것은 오르막 전투 일 수 있습니다. 해시 규칙 만 사용하여 pwdump와 같은 것을 차단하려고하면 각기 다른 버전의 pwdump에 대해 많은 항목이 생성됩니다. 새 버전이 나오면 추가해야합니다.

경로 규칙은 파일 시스템에서 파일의 위치를 ​​기반으로합니다. 예를 들어 "\ program files \ aol \ aim.exe"를 제한 할 수 있지만 사용자가 "\ myapps \ aol \ aim.exe"에 설치하도록 선택하면 허용됩니다. 와일드 카드를 사용하여 더 많은 디렉토리를 커버 할 수 있습니다. 소프트웨어에 레지스트리 항목이 있지만 설치할 위치를 모르는 경우 레지스트리 경로를 사용할 수도 있습니다.

인증서 규칙은 인증서가 포함 된 소프트웨어에 유용합니다. 대부분 상용 소프트웨어를 의미합니다. 시스템에서 실행할 수있는 인증서 목록을 작성하고 다른 모든 것을 거부 할 수 있습니다.

인터넷 영역 규칙은 Windows Installer 패키지에만 적용됩니다. 나는 이것을 사용하지 않았으므로 그것에 대해 많이 언급 할 수 없습니다.

적절한 GPO는 이러한 규칙 중 몇 가지를 사용하여 모든 것을 처리합니다. 소프트웨어를 제한하려면 실제로 올바른 것을 방지하기 위해 원하는 것을 생각해야합니다. 그럼에도 불구하고, 아마도 여전히 옳지 않습니다. Technet에는 소프트웨어 제한 정책 사용에 관한 몇 가지 유용한 기사가 있으며 Microsoft 검색 엔진을 통해 찾을 수있는 다른 유용한 문서도 있습니다.

행운을 빕니다!

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.