Evitar la ejecución de ejecutables de Windows

11

¿Hay alguna manera de decirle a Windows (XP y superior) que no ejecute archivos (archivos * .exe), que están presentes en unidades / carpetas que no sean ciertas carpetas, como mencioné? En resumen, quiero que se ejecuten ejecutables de solo una ' lista blanca '.

Creo que esto es mejor que pedirles a los usuarios que no ejecuten ningún ejecutable desde cualquier CD basura que traigan de casa.

windows security malware splattne
fuente

Respuestas:

12

desea políticas de restricción de software . Esta característica infrautilizada de Windows moderno permite al administrador permitir o restringir la ejecución de ejecutables según la ruta o incluso según una firma criptográfica. Por cierto, quieres más que solo EXE's. Las Políticas de restricción de software tienen una lista de 30 o 40 tipos adicionales de archivos que debe restringir, como CMD y SCR, protectores de pantalla. Además, puede bloquear las DLL.

Calificaría su efectividad como sustancialmente mejor que el antivirus. Además, es difícil educar a los usuarios sobre los ataques de ingeniería social que utiliza el malware moderno, como hacer que un usuario haga clic en ListenToThisMusic.mp3.exe.

Knox
fuente
Golpeaste el clavo. :) La empresa fue exitosa.
5

Tendría cuidado con esto. No podrá bloquear el 100% de todo y hará que las máquinas sean casi imposibles de usar para los usuarios. Debe considerar educar a sus usuarios y poner en práctica el proceso, la política y la educación. Debe encontrar el EQUILIBRIO adecuado entre acciones restrictivas y productividad del usuario final.

Veo MUCHO $$$ desperdiciado en las compañías donde hacen que los usuarios vivan un infierno para hacer las cosas un poco más fáciles para los chicos de soporte.

Bruce McLeod
fuente
1
No estoy seguro de por qué la gente rechazó a Bruce aquí. Él plantea un buen punto. A menos que tenga una lista muy pequeña y claramente definida de aplicaciones que desea que la gente use, los SRP ajustados pueden ser un dolor total en el aro.
Rob Moir
Es una respuesta un poco descabellada, y solo funcionará con usuarios que realmente cometen errores. Si se trata del tipo de usuario que siempre será malo, necesita un control más firme. Una política respaldada por RR. HH. Solo puede tratar el incidente después de que haya sucedido, y es posible que tenga un caos significativo para limpiar para entonces. Se trata más de lograr el equilibrio correcto que de ser draconiano.
Maximus Minimus
Buen punto. Como muchas cosas, es importante asegurarse de que las políticas de TI estén de acuerdo con lo que la empresa quiere. Por ejemplo, si tuviéramos un banco, podríamos tener computadoras en el lobby para clientes, cajeros, desarrolladores y un CEO que quiera jugar a Doom. Las computadoras del lobby se bloquearían con SRP y probablemente Steady State. Los cajeros no pueden instalar software; no son admin; y SRP no aplica otro software que el que está instalado para ellos. Los desarrolladores son administradores en sus propias máquinas y SRP también es menos restrictivo. Y el CIO se encarga de la máquina del CEO.
Knox
En realidad, puede bloquearlo al 100%, solo hace que la máquina sea mucho menos utilitaria. Solía ​​usar SRP todo el tiempo para crear máquinas de entrada de datos.
Jim B
No estoy usando esto en los sistemas personales de los usuarios (cubículo de la compañía). Solo en los laboratorios donde las personas comparten los sistemas y sabemos exactamente qué software usarán. Esta distinción se hace ya que estos sistemas contienen datos confidenciales, mientras que los sistemas personales se usan normalmente para su otro trabajo, incluida la verificación de correo, pornografía (;-)), etc. Mi irritación es que algunos usuarios no pueden controlarse en poco tiempo. laboratorio. Ergo vamos camino SRP. :)
1

Puede incluir en la lista blanca el uso de políticas de restricción de software en los GPO, pero no estoy seguro de cuán efectivo sea. Apostaría una pequeña dona a que funcione con la mayoría de los usuarios no maliciosos en la mayoría de los lugares, pero no apostaría mi carrera a que funcione en ningún lado y no contaría con eso en los lugares donde esperaba que fuera atacado ( por ejemplo, ambiente educativo).

Ciertamente, puede bloquear el código para que no se ejecute desde ciertos dispositivos y áreas del disco con una combinación de ACL y restricciones de software y esa es una herramienta de seguridad útil, pero yo lo convertiría en una pequeña parte de una política de seguridad, no la piedra angular de una .

Rob Moir
fuente
0

Puede usar Cisco Security Agent con una regla que (después de un período de "observación" para entrenamiento) bloquea cualquier ejecutable que no se haya ejecutado antes.

Puede permitir ejecutables desde ciertos directorios si lo desea.

hellimat
fuente
0

Es mucho más fácil poner en la lista negra que en la lista blanca. Lo más probable es que tengas una idea de lo que no quieres que ejecuten los usuarios. La forma en que Windows maneja esto es a través de las Políticas de restricción de software en su GPO. Las Políticas de restricción de software se pueden usar para permitir que el software se ejecute y también para denegarlo. Hay cuatro métodos diferentes disponibles para usar y son: reglas de hash, reglas de certificado, reglas de ruta y reglas de zona de Internet.

Las reglas de reglas de hash utilizan un hash MD5 o SHA-1 de un archivo en su coincidencia. Esta puede ser una batalla cuesta arriba. Intentar bloquear algo como pwdump usando solo una regla hash dará como resultado MUCHAS entradas, para cada versión diferente de pwdump. Y cuando sale una nueva versión, también debe agregarla.

Las reglas de ruta se basan en la ubicación del archivo en el sistema de archivos. Por lo tanto, podría restringir "\ archivos de programa \ aol \ aim.exe", por ejemplo, pero si el usuario elige instalarlo en "\ myapps \ aol \ aim.exe", estaría permitido. Puede usar comodines para cubrir más directorios. También es posible usar la ruta de registro si el software tiene una entrada de registro, pero no sabe dónde se instalará.

Las reglas de certificado son útiles para el software que incluye un certificado. Lo que significa principalmente software comercial. Puede crear una lista de Certs que se pueden ejecutar en sus sistemas y negar todo lo demás.

Las reglas de la zona de Internet solo se aplican a los paquetes de Windows Installer. Nunca he usado esto, así que no puedo comentarlo mucho.

Un GPO adecuado utilizará varias de estas reglas para cubrir todo. Restringir el software requiere que pienses realmente en lo que quieres evitar para hacerlo bien. Incluso entonces, probablemente todavía no está bien. Technet tiene algunos buenos artículos sobre el uso de Políticas de restricción de software, y estoy seguro de que hay otros buenos documentos fuera del sitio de Microsoft que se encuentran a través de su motor de búsqueda favorito.

¡Buena suerte!


fuente