¿Cómo puedo evitar que .exe se ejecute desde medios extraíbles, como unidades USB?

10

Tengo un problema con los usuarios que ejecutan .exe desde el almacenamiento extraíble, como Memory Sticks y tarjetas SD.

Estoy tratando de configurar el bloqueo de los exe que se ejecutan desde todo el almacenamiento extraíble para combatir esto, sin embargo, en la configuración de la Política de grupo en "Configuración de usuario> Configuración de Windows> Configuración de seguridad> Políticas de restricción de software> Reglas adicionales" puede crear una "ruta" variable. Me gustaría usar una variable del sistema para todo el almacenamiento extraíble, pero no sé si hay una que funcione. ¿Tengo que pasar y crear una lista de bloqueo para todas las letras de unidad potenciales que podrían asignarse a medios extraíbles (E: \ a aproximadamente L: \) o hay alguna que realmente funcione? He encontrado %~dp0que, aparentemente, solo funciona para bucles, si las declaraciones y los parámetros de lote.

Si hay otras medidas mejores, o más confiables, hágamelo saber.

Ah, he visto AppLocker pero nuestro DC ejecuta Server 2008 y creo que AppLocker es parte de Windows 7 y 2008 R2. Como se menciona en los comentarios a la respuesta a continuación, no creo que Server 2008 tenga la configuración "Denegar acceso de ejecución", ¿hay alguna otra opción?

windows-server-2008 group-policy tombull89
fuente

Respuestas:

12

Puede detener la ejecución de software en dispositivos extraíbles a través de un GPO. La configuración se encuentra en Equipo> Plantillas administrativas> Sistema> Acceso al almacenamiento extraíble> Discos extraíbles: Denegar acceso de ejecución

ingrese la descripción de la imagen aquí

Editar:

¿Tiene acceso a un sistema Server 2008 R2? Si es así, puede crear la configuración de la política, hacer una copia de seguridad en el disco y transferirla a su Sistema Server 2008 e importar la política de nuevo. Esto no le dará la posibilidad de modificar la política, pero debería poder ver la configuración Extra Registry Settingsy debería funcionar bien en sus clientes de Windows 7.

Si ayuda, acabo de crear una copia de seguridad de dicha política, y la puse en Dropbox para que la descargues. Se aplica el uso habitual bajo su propio riesgo, etc.

Bryan
fuente
¿Es esta una característica de Server 2008 o 2008 R2? No veo el "Denegar acceso de ejecución" (ni ninguna de las funciones de Cinta o WPD).
tombull89
¿Definitivamente estás mirando las políticas de la computadora y no las políticas del usuario? En 2008 R2, no aparecen en las Políticas de usuario, pero sí en Políticas de computadora. Es posible que no esté disponible según las políticas de la computadora en la versión que no sea R2, en cuyo caso me disculpo por engañarlo. Sin embargo, me temo que no tengo un sistema que no sea R2 para verificar esto.
Bryan
Disculpas, estaba incorrecto en mi comentario anterior. Me hacer que la cinta y WPD características, simplemente ninguna de las secciones tiene el acceso de ejecución, solamente de lectura / escritura. Estoy bajo las Políticas Informáticas también. Si veo "todas las configuraciones" tampoco está en esa lista.
tombull89
3
No tengo un sistema disponible para probar esto, pero tal vez podría intentar descargar las Plantillas administrativas para Server 2008 R2 y Windows 7 . Esto podría proporcionar la configuración de política que necesita para configurar sus clientes.
Bryan
Instalé las Plantillas administrativas, aún no se muestra el acceso de ejecución como se esperaba.
tombull89
2

Algunos productos antivirus corporativos (por ejemplo , McAfee , Sophos , Symantec ) incluyen esta función como algo que se puede habilitar de manera corporativa. Tal vez su solución antivirus corporativa tenga esto como una característica.

dunxd
fuente